Os Novos Desafios da Auditoria e Monitora

1
Os Novos Desafios da Auditoria e Monitoração
Contínua

• Michael Alles
• Miklos A. Vasarhelyi
• Rutgers Business School

2
(No Transcript)
3
Índice

• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões

4
Introdução

• Eletronização
• Pagamentos, recebimentos, investimentos,
  tesouraria, etc.
• Dell, Federal Express, American Airlines, etc.
• Auditoria Contínua
• É a eletronização dos processos de aferição à la
  auditoria.
• Verificação de dados rapidamente
• Transmissão de dados em tempo real
• Minimização de erros
• Aferição e confiabilidade de processos chave

5
Índice

• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões

6
Latências
XBRL
7
Uma Economia em Tempo Real

• Classificação de Processos Corporativos
• Processos que são mantidos por sistemas em tempo
  real,
• Processos que são monitorados quase que em uma
  base contínua,
• Processos que são altamente dependentes, e
• Processos dos quais decisões oportunas
  proporcionam uma vantagem competitiva.
• XML (Extensible Markup Language)
• XBRL para relatórios financeiros
• Gerenciamento de dinheiro em tempo real
• Gerenciamento de contas a pagar e receber
• Implantação do sistema just in time

8
Índice

• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões

9
Auditoria Contínua uma Historia

• Laboratórios Bell (ATT) 1986 1991
• CICA/AICPA 1999 o livro vermelho
• Simpósios de auditoria continua na Rutgers 1999
• Lei Sarbanes Oxley 2002
• IIA 2005 GTAG 3
• CarLab Fundado 2002
• Surveys (pesquisas) da ACL e PWC 2005-2007

10
The Audit Maturity Model (2009)
Traditional Emerging Maturing Continuous
11
Teoria de Auditoria Contínua

• Auditoria Contínua de Dados (ACD)
• Monitoramento Contínuo de Controles (MCC)
• Monitoramento e avaliação contínua de risco
  (MACR)
• Administração de risco corporativo (ERM)

12
Monitoramento e Avaliação de Riscos Contínuos
Auditoria Contínua de Dados
Monitoramento de Controles Contínua
Figura 2 Auditoria Contínua
13
ACD (Auditoria Continua de Dados)

• Monitoramento de
• Métricas de processos chave usando índices
  analíticos (KPIs)
• Transações comerciais
• Dados de arquivo-mestre
• Eventos especiais
• Periodização de relatórios de auditoria
• Controlável dentro de um programa de deterrence e
  prioridades estratégicas
• Exemplos ATT, HCA, Seguradora, HP, IBM, etc.

14
MCC (Monitoramento Continuo de Controles)

• Monitoramento de
• Controle de autorização e acesso
• Configuração de sistema
• Parâmetros determinantes de processos
  administrativos
• Exemplos Siemens, BD, Talecris
• Em grandes sistemas integrados (ERPs)
  progressivamente se tornará impossivel auditar
  sem AC

15
Monitoramento e Avaliação Contínua de Risco (MACR)
Em desenvolvimento

• Contribui com informação para planejamento de
  auditoria
• Parameteriza as contribuições da evidencia
  provida pela auditoria tradicional, ACD e MCC
• Medem fatores de risco em uma base contínua
• Integra diferentes cenários de risco em quadros
  quantitativos

16
Índice

• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões

17
Ambiente

• Surgimento de uma indústria
• ACL
• Idea
• Approva
• Oversight
• SAP GRC
• Varios outros inclusive McAffeee produtos de
  segurança

18
Índice

• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões

19
ATT (Bell Laboratories)
20
CPAS VISÃO GERAL
Sistemas
Estação de trabalho
Relatórios do Sistema Operacional
FD-nível 2
Relatório Operacional
Relatório Operacional
FD-nível 1
FD-nível 1
FD-nível 1
Relatório Operacional
Filtro
Alarme
FD-nível 0
Diagrama de Fluxo de Dados
Base de Dados
Relatórios
Análises
Medidas
Figura 4 Auditoria Contínua de dados na ATT
21
FlowFront - Visualisador de Diagrama Interativo
de Fluxo - ATT Bell Laboratories - Murray Hill,
NJ
Data
04/01/89
fernsu
fer
Data Definida
Traçar gráfico nível 1
RPC
Silver Springs
PE 60
Ajuda
Texto
Sair
FlowFront Hierarquia
Sistema de Faturamento - Visão Geral
Gráfico S
Percentual de Contas Faturadas com Sucesso
100
100
99
99
99
98
98
98
Tra
97
95
Atualizaç
85
Valor
67
Percentual Faturado
0 20 40
60 80
100
Pagamento
Visão Geral
Dados Trans
23
Inquérito
3/16 3/17 3/18 3/21 3/22
3/23 3/24 3/25 3/28 3/29
3/30 3/31 4/1
Pro
4/1/89
Média 89.076923076923 Desvio Padrão
21.872591442494
Erros
Figura 5 Indicadores Analíticos Sistema CPAS
22
Figura 6 Fluxograma e Número de Transações no
CPAS
23
HCA
24
Pesquisa em HCA

• Experimentação de modelagem de supply chain
• Erros básicos
• Erros de dados
• Erros de integridade referencial
• Modelagem matemática para identificar anomalias
• (1) Variância Valor medido (metric) Valor de
  base (modelo)
• (2) Se Variância gt variância aceitável ? Emitir
  um Alerta

25
Sistema de Auditoría Contínua Baseado em Dados
Monitoramento Automático Analítico
Verificação Automática de Transação
Equações Contínuas
Alarmes de Exceções
Alarmes de Anomalias
Responsabilidade dos Funcionários da Empresa
Depósito de Dados Comerciais
Panorama do Sistema da Empresa
Gerenciamento de Materiais
Vendas
Encomendas
Contas a Receber
Contas a Pagar
Recursos Humanos
Figura 7 Arquitetura de um Sstema de Auditoria
Contínua de Dados
26
Itau Unibanco
27
Projeto Itau Unibanco

• 1600 agências
• 18 testes analíticos
• Reduz falsos positivos
• Facilita análises de auditoria
• Rotina automatizada
• Monitoração de créditos de risco
• Software
• FOCUS para extração de dados
• SAS e outros
• Indicadores chave
• Reduziu tempo de auditoria de 160h para 40h
• Emissão de 200 a 400 alertas por semana

28
Questões referentes ao Itau Unibanco

• Quais processos devem ser monitorados on-line?
• Este monitoramento deve ser em nível de mainframe
  ou numa estação de trabalho (workstation)?
• A que nível de detalhe?
• A que nível de detalhe filtros de contas estão a
  ser desenvolvidos para extrair erros de
  transações?
• Como escolher os padrões - base nível de emissão
  de uma alerta para minimizar os falsos positivos
  e falsos negativos?
• Como deve ser projetado o painel para auditoria
  contínua? Devería-se focar nos resultados
  financeiros, em processos, ou outras variáveis em
  particular, eventos, etc.?

29
Siemens
30
Projeto Siemens

• Foco é automatizar auditoria dos sistemas SAP
• 68 das ações de auditoria podem ser
  automatizadas
• Que provas seriam realmente exigidas em uma nova
  auditoria, de sistemas extremamente
  automatizados, se uma nova metodologia de
  auditoria é projetada a partir do zero?
• Quais são os efeitos (visíveis e invisíveis) da
  auditoria remota?

31
Sistema Piloto CMBPC na Siemens
Companhia B SAP SYS. P88
Companhia C SAP SYS. P51
Companhia A SAP SYS PD2
Company D SAP SYS. P40
Comum - Extrações em uma Base Contínua
Armazenamento de Dados Relacionados
Retorno de Alertas para Companhias
Dados para Análise

• Alertas para
• Gerenciamento
• Auditoria
• Etc

• Regras CO. A
• Sys PD2
• Co W001W103
• COA WX01
• Etc

• Regras CO. D
• Sys P40
• Co 001
• CDA - 1000
• Etc

• CA Analisador
• Checar AAS 1.02.00 F XX o enviar alerta 4
• Checar AAS 1.02.10 F Y X enviar alerta 5
• etc

Alertas
Alerta 1 Dlat XXX, Mensagem YYY Alerta 2
Dlat HHH, Mensagem KKK
Workflow de Comunicação / Portal
Alerta 3 Dlat OOO, Mensagem AAA Alerta 4
Dlat GGG, Mensagem LLL
Figura 8 Arquitetura de um Sistema de
Monitoramento de Controles Proposto para a Siemens
32
Modelagem de Comparação de Dados

• Monitoramento deveria ser realizado a qual nível
  de agregação?
• Que tipo de erros é encontrado em fluxos de
  dados? Como podem estes ser classificados? Como
  se relacionam estes erros às deficiências do
  controle interno?
• Quais são as latências intrínsecas da cadeia de
  valor? Como o modelo de cadeia de valor e
  modelado integrando estas latências?
• Se transações são avaliadas como errôneas, é
  possível corrigi-las automaticamente?

33
Seguradora de Grande Porte

• Monitoramento / auditoria de wires
• (remessas electronicas)

34
Seguradora

• Avaliação de wires remetidos para detecção de
  fraudes, fraquesas em controles, e outros
  problemas
• Trabalho feito em paralelo com o processo de
  auditoria interna
• Trabalho evoluiu em direção à criação de um
  Sistema Especialista com uma serie de regras para
  extração de eventos de caráter dúbio
• Auditores verificam as transações assinaladas e
  propõe regras de verificação
• Uma vez refinado o processo a frequencia da
  verificação aumenta

35
Outros Projetos em Andamento
36
Outros Projetos

• Monitoramento de KPIs (key perfornance
  indicators)
• Firma de liderança mundial em produtos ao
  consumidor
• Com manufatura em mais de 100 paises
• E distribuição em mais de 160 países
• Detecção de anomalias
• Monitoramento de atividades bancárias
• BSA
• Money Laundering
• Sistema baseado em regras
• Unindo uma série de requisitos
• Multiplas fontes (credito, depositos e saques,
  etc....)

37
Índice

• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões

38
Seis Passos

• 1) Criação de áreas prioritárias
• 2) Identificação de monitoramento e regras de
  auditoria,
• 3) Determinação da freqüência do processo,
• 4) Configuração de parâmetros de auditoria
  contínua
• 5) Dar seguimento, e
• 6) Comunicar os resultados

39
Implementação de AC
1. Área de Prioridade
2. Regra
6. Ação e reação
3. Frequência
Painel de Controle de Auditoria
4. Parametrização
5. Seguimento
40
Elementos de Automação Progressiva
Economic events
Economic events
Economic events
Sensoriamento
Economic events
Organização de Processamento de dados e Processo
de Armazenamento 1
Organização de Processamento de dados e Processo
de Armazenamento 2
Eventos Econômicos
Entrega
Integração entre sistemas
Execução
Tomada de decisão Automática
41
Índice

• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões

42
Conclusões

• Organizações devem examinar o âmbito dos seus
  processos para aplicações e o tradeoff.
• Auditoria contínua possibilita o mapeamento de
  riscos.
• A auditoria contínua acontecerá ao longo da série
  de empresas.
• Organizações financeiras e processos financeiros
  corporativos serão os inovadores.
• Avanços em TI devem ser complementados por
  avanços na modelagem analítica.

43
Conclusões

• O advento do XML, XBRL e outros padrões de
  interoperabilidade irão acelerar auditoria
  contínua e permitir uma cooperação
  inter-organizacional de auditoria de processos.
• A comunidade acadêmica tem liderado o pensamento
  em auditoria contínua.
• A integração das instalações de auditoria
  contínua em software integrados (ERPs) permitirá
  alguns dos benefícios para fluir a organizações
  menores.

44
Visite-nos

• Conferencias
• Anualmente em Newark 1a semana de novembro
• Estes anos junto com a CONTECSI (4 de junho de
  2009)
• Thessalonika (18 de Maio de 2009)
• http//raw.rutgers.edu
• Inclui um grande numero de materiais sobre as
  conferencias (videos), papers, e noticias
• miklosv_at_rutgers.edu

45
(No Transcript)
46
Slides Extras
47
The Audit Maturity Model (1)
Stage 1 Stage 2 Stage 3 Stage 4
Traditional Audit Emerging Maturing Continuous Audit
Objectives Assurance on the financial reports presented by management Effective control monitoring Verification of the quality of controls and operational results Improvements in the quality of data Creation of a critical meta-control structure
Approach Traditional interim and year-end audit Traditional plus some key monitoring processes Usage of alarms as evidence Continuous control monitoring Audit by exception
IT/Data access Case by case basis Data is captured during the audit process Repeating key extractions on cycles Systematic monitoring of processes with data capture Complete data access Audit data warehouse, production, finance, benchmarking and error history
Audit Automation Manual processes separate IT audit Audit management software Work paper preparation software Automated monitoring module Alarm and follow-up process Continuous monitoring and immediate response Most of audit automated
48
The Audit Maturity Model (2)
Stage 1 Stage 2 Stage 3 Stage 4
Traditional Audit Emerging Maturing Continuous Audit
Audit and management sharing Independent and Adversarial Independent with some core monitoring shared Shared systems and resources where natural process synergies allow Purposeful Parallel systems and common infrastructures
Management of audit functions Financial organization supervises audit and matrix to Board of director Some degree of coordination between the areas of risk, auditing and compliance IT audit works independently IA and IT audit coordinate risk management and share automatic audit processes Auditing links financial to operational processes Centralized and integrates with risk management, compliance and SOX/ layer with external audit.
Analytic methods Financial ratios Financial ratios at sector level/account level KPI level monitoring Structural continuity equations Monitoring at transaction level Corporate models of the main sectors of the business Early warning system
49
Monitoramento e Avaliação Contínua de Risco
ERM Corporativo
Monitoramento Contínuo de Controles
Auditoria Contínua
Figura 3 Usando ERM para auditoria contínua