Os Novos Desafios da Auditoria e Monitoração Contínua Michael Alles Miklos A. Vasarhelyi Rutgers...

Os Novos Desafios da Auditoria e Monitoração Contínua

Michael AllesMiklos A. Vasarhelyi

Rutgers Business School

CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu

Auditoria Contínua

3

Índice

• Introdução• Uma Economia em Tempo Real• Teoria• Ambiente• Exemplos• Implantação• Conclusões


Auditoria Contínua

4

Introdução

• Eletronização– Pagamentos, recebimentos, investimentos, tesouraria,

etc.– Dell, Federal Express, American Airlines, etc.

• Auditoria Contínua– É a eletronização dos processos de aferição “à la

auditoria”.– Verificação de dados rapidamente – Transmissão de dados em tempo real– Minimização de erros– Aferição e confiabilidade de processos chave


Auditoria Contínua

5

Índice



Auditoria Contínua

6

Latências

Processo daatividade

comercial 1Consequências

Latênciada decisão

Latência entre processos

Tempo paraa execução

de um processo

Tempo de transmissão

entre processos

Tempo para a decisão ter

consequências

Decisão

Tempo paratomar

decisões

Latência das consequências

Processo daatividade

comercial 2

Latências

XBRL


Auditoria Contínua

7

Uma Economia em Tempo Real

• Classificação de Processos Corporativos– Processos que são mantidos por sistemas em tempo real,– Processos que são monitorados quase que em uma base

contínua,– Processos que são altamente dependentes, e– Processos dos quais decisões oportunas proporcionam uma

vantagem competitiva.

• XML (Extensible Markup Language)– XBRL para relatórios financeiros

• Gerenciamento de dinheiro em tempo real• Gerenciamento de contas a pagar e receber• Implantação do sistema “just in time”


Auditoria Contínua

8

Índice



Auditoria Contínua

9

• Laboratórios Bell (AT&T) 1986 – 1991• CICA/AICPA – 1999 – o livro vermelho• Simpósios de auditoria continua na Rutgers

1999• Lei Sarbanes Oxley 2002• IIA – 2005 – GTAG # 3• CarLab Fundado – 2002• Surveys (pesquisas) da ACL e PWC 2005-

2007

Auditoria Contínua uma Historia


Auditoria Contínua

10

The Audit Maturity Model (2009)

Traditional Emerging Maturing Continuous


Auditoria Contínua

11

Teoria de Auditoria Contínua

• Auditoria Contínua de Dados (ACD)• Monitoramento Contínuo de Controles

(MCC)• Monitoramento e avaliação contínua de

risco (MACR) – Administração de risco corporativo

(ERM)


Auditoria Contínua

12

Auditoria Contínua de Dados

Monitoramento de Controles Contínua

Monitoramento e Avaliação de

Riscos Contínuos

Figura 2: Auditoria Contínua


Auditoria Contínua

13

ACD (Auditoria Continua de Dados)

• Monitoramento de– Métricas de processos chave usando índices analíticos (KPIs)– Transações comerciais– Dados de arquivo-mestre– Eventos especiais

• Periodização de relatórios de auditoria• Controlável dentro de um programa de deterrence e

prioridades estratégicas

• Exemplos: AT&T, HCA, Seguradora, HP, IBM, etc.


Auditoria Contínua

14

MCC (Monitoramento Continuo de Controles)

• Monitoramento de– Controle de autorização e acesso– Configuração de sistema– Parâmetros determinantes de processos

administrativos

• Exemplos: Siemens, BD, Talecris• Em grandes sistemas integrados

(ERPs) progressivamente se tornará impossivel auditar sem AC


Auditoria Contínua

15

Monitoramento e Avaliação Contínua de Risco (MACR)

• Contribui com informação para planejamento de auditoria

• Parameteriza as contribuições da evidencia provida pela auditoria tradicional, ACD e MCC

• Medem fatores de risco em uma base contínua

• Integra diferentes cenários de risco em quadros quantitativos


Auditoria Contínua

16

Índice



Auditoria Contínua

17

Ambiente

• Surgimento de uma indústria– ACL– Idea– Approva– Oversight– SAP GRC– Varios outros inclusive McAffeee

produtos de segurança


Auditoria Contínua

18

Índice


AT&T (Bell Laboratories)


Auditoria Contínua

20

CPAS VISÃO GERALSistemas

RelatórioOperacional


Filtro

Base deDados

Relatórios do Sistema OperacionalEstação de trabalho

FD-nível 0Alarme

Diagrama de Fluxo de Dados

FD-nível 1 FD-nível 1 FD-nível 1

FD-nível 2

Relatórios Análises Medidas


Figura 4: Auditoria Contínua de dados na AT&T


Auditoria Contínua

21

DadosTrans

fer

FlowFront - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ

Data:

RPC:

04/01/89

Silver Springs

Data Definida Recalcular Medidas Traçar gráfico nível 1

Ajuda Texto SairPE: 60FlowFront Hierarquia

VisãoGeral

Pagamento

Faturamento

Inquérito

Erros

Atualizaç

Valor

Sistema de Faturamento - Visão Geral

Percentual de Contas Faturadas com Sucesso

Gráfico S

Per

cent

ual F

atur

ado

0

20

40

6

0

80

100

10099 99 991009898 9795

98

67

23

85

3/16 3/17 3/18 3/21 3/22 3/23 3/24 3/25 3/28 3/29 3/30 3/31 4/1

Média: 89.076923076923 Desvio Padrão: 21.8725914424944/1/89Pro

Tra

fernsu

Figura 5: Indicadores Analíticos Sistema CPAS


Auditoria Contínua

22

Sistema de Faturamento - Módulo de Faturamento por Cliente

Base deDados doCliente

ExtratoDe ContasDe Clientes

Calcular Valor

de Dívida

AtualizarInformações

de Faturamento

Arquivosde Diário

FormatarFatura

ImprimirFatura

Arquivosde Diário

ContasDesaparecidas:

10Tabelas

ProcessamentoDe Erros

1000 1000

998 988

2

0

Pagamento

Faturamento

Inquérito

Erros

Valor

Atualizaç

fer

FlowFront - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ

Data:

RPC:

04/01/89

Silver Springs

Data Definida Recalcular Medidas Traçar gráfico nível 1

Ajuda Texto SairPE: 60FlowFront Hierarquia

fernsu

VisãoGeral

Figura 6: Fluxograma e Número de Transações no CPAS


Auditoria Contínua

24

Pesquisa em HCA

• Experimentação de modelagem de supply chain• Erros básicos

– Erros de dados– Erros de integridade referencial

• Modelagem matemática para identificar anomalias(1) Variância = |Valor medido (metric) – Valor de base (modelo)(2) Se Variância > variância aceitável Emitir um Alerta


Auditoria Contínua

25

Panorama do Sistema da Empresa

Encomendas

Contas a Pagar

Gerenciamento de Materiais

Vendas

Contas a Receber Recursos Humanos

Depósito de Dados Comerciais

Verificação Automática de Transação

Alarmes de Exceções

Monitoramento Automático Analítico:Equações Contínuas

Alarmes de Anomalias

Sistema de Auditoría Contínua Baseado em Dados

Responsabilidade dos Funcionários

da Empresa

Figura 7: Arquitetura de um Sstema de Auditoria Contínua de Dados

Itau Unibanco


Auditoria Contínua

27

Projeto Itau Unibanco

• 1600 agências• 18 testes analíticos

– Reduz falsos positivos– Facilita análises de auditoria– Rotina automatizada– Monitoração de créditos de risco

• Software – FOCUS para extração de dados– SAS e outros

• Indicadores chave• Reduziu tempo de auditoria de 160h para 40h• Emissão de 200 a 400 alertas por semana

Fabiola

confirmar com o washington se o nome do software - focus- ta certo


Auditoria Contínua

28

Questões referentes ao Itau Unibanco

• Quais processos devem ser monitorados on-line? • Este monitoramento deve ser em nível de mainframe ou

numa estação de trabalho (workstation)?• A que nível de detalhe?• A que nível de detalhe filtros de contas estão a ser

desenvolvidos para extrair erros de transações? • Como escolher os padrões - base nível de emissão de uma

alerta para minimizar os falsos positivos e falsos negativos?• Como deve ser projetado o painel para auditoria contínua?

Devería-se focar nos resultados financeiros, em processos, ou outras variáveis em particular, eventos, etc.?

Siemens


Auditoria Contínua

30

Projeto Siemens

• Foco é automatizar auditoria dos sistemas SAP• 68% das ações de auditoria podem ser automatizadas• Que provas seriam realmente exigidas em uma nova

auditoria, de sistemas extremamente automatizados, se uma nova metodologia de auditoria é projetada a partir do zero?

• Quais são os efeitos (visíveis e invisíveis) da auditoria remota?


Auditoria Contínua

31

Sistema Piloto CMBPC na Siemens

Alerta 1: Dlat XXX, Mensagem = YYYAlerta 2 : Dlat HHH, Mensagem = KKK Workflow de Comunicação / Portal

Alerta 3 : Dlat = OOO, Mensagem = AAAAlerta 4 : Dlat = GGG, Mensagem = LLL

Regras CO. A•Sys= PD2•Co = W001&W103•COA – WX01•Etc…

Regras CO. D•Sys= P40•Co = 001•CDA - 1000•Etc…

CA Analisador•Checar AAS 1.02.00 – F XX= o enviar alerta 4•Checar AAS 1.02.10 – F Y = X enviar alerta 5

•etc

Armazenamento deDados Relacionados

Companhia BSAP SYS.

P88

Companhia CSAP SYS.

P51

Companhia ASAP SYS

PD2

Company DSAP SYS.

P40

Alertas

Dados para Análise

Comum - Extrações em uma Base ContínuaComum - Extrações em uma Base Contínua

Retorno de Alertas

para Companhias

Alertas para:•Gerenciamento•Auditoria•Etc

Figura 8: Arquitetura de um Sistema de Monitoramento de Controles Proposto para a Siemens


Auditoria Contínua

32

Modelagem de Comparação de Dados• Monitoramento deveria ser realizado a qual nível de

agregação?• Que tipo de erros é encontrado em fluxos de dados?

Como podem estes ser classificados? Como se relacionam estes erros às deficiências do controle interno?

• Quais são as latências intrínsecas da cadeia de valor? Como o modelo de cadeia de valor e modelado integrando estas latências?

• Se transações são avaliadas como errôneas, é possível corrigi-las automaticamente?

Seguradora de Grande Porte

Monitoramento / auditoria de “wires”(remessas electronicas)


Auditoria Contínua

34

Seguradora

• Avaliação de wires remetidos para detecção de fraudes, fraquesas em controles, e outros problemas

• Trabalho feito em paralelo com o processo de auditoria interna

• Trabalho evoluiu em direção à criação de um Sistema Especialista com uma serie de regras para extração de eventos de caráter dúbio

• Auditores verificam as transações assinaladas e propõe regras de verificação

• Uma vez refinado o processo a frequencia da verificação aumenta

Outros Projetos em Andamento


Auditoria Contínua

36

Outros Projetos

• Monitoramento de KPIs (key perfornance indicators)– Firma de liderança mundial em produtos ao consumidor– Com manufatura em mais de 100 paises– E distribuição em mais de 160 países– Detecção de anomalias

• Monitoramento de atividades bancárias– BSA– Money Laundering– Sistema baseado em regras– Unindo uma série de requisitos– Multiplas fontes (credito, depositos e saques, etc....)


Auditoria Contínua

37

Índice



Auditoria Contínua

38

Seis Passos

1) Criação de áreas prioritárias2) Identificação de monitoramento e regras de

auditoria,3) Determinação da freqüência do processo,4) Configuração de parâmetros de auditoria

contínua5) Dar seguimento, e6) Comunicar os resultados


Auditoria Contínua

39

Implementação de AC

5. Seguimento 4. Parametrização

3. Frequência

2. Regra1. Área de Prioridade

6. Ação e reação Painel de Controle de Auditoria


Auditoria Contínua

40

EconomiceventsEconomic

eventsEconomiceventsEconomic

eventsEventosEconômicos

Sensoriamento Organização deProcessamento

de dados e Processo de

Armazenamento 1

Integraçãoentre

sistemas

Entrega

Tomada dedecisão

Automática

Execução

Elementos de Automação Progressiva

Organização deProcessamento

de dados e Processo de

Armazenamento 2


Auditoria Contínua

41

Índice



Auditoria Contínua

42

Conclusões

• Organizações devem examinar o âmbito dos seus processos para aplicações e o “tradeoff”.

• Auditoria contínua possibilita o mapeamento de riscos.• A auditoria contínua acontecerá ao longo da série de

empresas.• Organizações financeiras e processos financeiros

corporativos serão os inovadores.• Avanços em TI devem ser complementados por

avanços na modelagem analítica.


Auditoria Contínua

43

Conclusões

• O advento do XML, XBRL e outros padrões de interoperabilidade irão acelerar auditoria contínua e permitir uma cooperação inter-organizacional de auditoria de processos.

• A comunidade acadêmica tem liderado o pensamento em auditoria contínua.

• A integração das instalações de auditoria contínua em software integrados (ERPs) permitirá alguns dos benefícios para fluir a organizações menores.


Auditoria Contínua

44

Visite-nos

• Conferencias– Anualmente em Newark 1a semana de novembro– Estes anos junto com a CONTECSI (4 de junho de 2009)– Thessalonika (18 de Maio de 2009)

• http://raw.rutgers.edu– Inclui um grande numero de materiais sobre as conferencias

(videos), papers, e noticias

• [email protected]

http://raw.rutgers.edu/

Slides Extras


Auditoria Contínua

47

The Audit Maturity Model (1)Stage 1 Stage 2 Stage 3 Stage 4

Traditional Audit Emerging Maturing Continuous Audit

Objectives •Assurance on thefinancial reportspresented bymanagement

•Effective controlmonitoring

•Verification of thequality of controls andoperational results

•Improvements in thequality of data•Creation of a criticalmeta-control structure

Approach •Traditional interim andyear-end audit

•Traditional plus somekey monitoringprocesses

•Usage of alarms asevidence•Continuous controlmonitoring

•Audit by exception

IT/Data access •Case by case basis•Data is captured duringthe audit process

•Repeating keyextractions on cycles

•Systematic monitoringof processes with datacapture

•Complete data access•Audit data warehouse,production, finance,benchmarking anderror history

Audit Automation •Manual processes & separate IT audit

•Audit managementsoftware•Work paperpreparation software

•Automated monitoringmodule•Alarm and follow-upprocess

•Continuous monitoringand immediateresponse• Most of audit automated


Auditoria Contínua

48

The Audit Maturity Model (2)Stage 1 Stage 2 Stage 3 Stage 4

Traditional Audit Emerging Maturing Continuous Audit

Audit and management sharing

•Independent andAdversarial

•Independent withsome core monitoringshared

•Shared systems andresources wherenatural processsynergies allow

•Purposeful Parallelsystems and commoninfrastructures

Management of audit functions

•Financial organizationsupervises audit and matrix to Board of director

•Some degree of coordination between the areas of risk, auditing and complianceIT audit works independently

•IA and IT audit coordinate risk management and share automatic audit processes•Auditing links financial to operational processes

•Centralized and integrates with risk management, compliance and SOX/ layer with external audit.

Analytic methods •Financial ratios •Financial ratios atsector level/account level

•KPI level monitoring•Structural continuityequations•Monitoring attransaction level

•Corporate models ofthe main sectors of thebusiness•Early warning system


Auditoria Contínua

49

AuditoriaContínua

MonitoramentoContínuo

de Controles

ERM Corporativo

Monitoramento e Avaliação Contínua de Risco

Figura 3: Usando ERM para auditoria contínua

Os Novos Desafios da Auditoria e Monitoração Contínua Michael Alles Miklos A. Vasarhelyi Rutgers...

Documents

Transcript of Os Novos Desafios da Auditoria e Monitoração Contínua Michael Alles Miklos A. Vasarhelyi Rutgers...