Os Novos Desafios da Auditoria e
Monitoração Contínua
Michael Alles
Miklos A. Vasarhelyi
Rutgers Business School
Auditoria Contínua
Índice
• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
3
Auditoria Contínua
Introdução
• Eletronização
– Pagamentos, recebimentos, investimentos, tesouraria,
etc.
– Dell, Federal Express, American Airlines, etc.
• Auditoria Contínua
– É a eletronização dos processos de aferição “à la
auditoria”.
– Verificação de dados rapidamente
– Transmissão de dados em tempo real
– Minimização de erros
– Aferição e confiabilidade de processos chave
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
4
Auditoria Contínua
Índice
• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
5
Auditoria Contínua
Latências
Tempo para
a execução
de um
processo
Processo da
atividade
comercial 1
Latências
Tempo de
transmissão
entre
processos
Processo da
atividade
comercial 2
Tempo para a
decisão ter
consequências
Tempo para
tomar
decisões
Decisão
Consequências
Latência das
consequências
Latência entre processos
Latência
da decisão
XBRL
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
6
Auditoria Contínua
Uma Economia em Tempo Real
• Classificação de Processos Corporativos
– Processos que são mantidos por sistemas em tempo real,
– Processos que são monitorados quase que em uma base
contínua,
– Processos que são altamente dependentes, e
– Processos dos quais decisões oportunas proporcionam uma
vantagem competitiva.
• XML (Extensible Markup Language)
– XBRL para relatórios financeiros
• Gerenciamento de dinheiro em tempo real
• Gerenciamento de contas a pagar e receber
• Implantação do sistema “just in time”
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
7
Auditoria Contínua
Índice
• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
8
Auditoria Contínua
Auditoria Contínua uma Historia
• Laboratórios Bell (AT&T) 1986 – 1991
• CICA/AICPA – 1999 – o livro vermelho
• Simpósios de auditoria continua na Rutgers
1999
• Lei Sarbanes Oxley 2002
• IIA – 2005 – GTAG # 3
• CarLab Fundado – 2002
• Surveys (pesquisas) da ACL e PWC 20052007
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
9
Auditoria Contínua
The Audit Maturity Model (2009)
Traditional Emerging Maturing Continuous
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
10
Auditoria Contínua
Teoria de Auditoria Contínua
• Auditoria Contínua de Dados (ACD)
• Monitoramento Contínuo de Controles
(MCC)
• Monitoramento e avaliação contínua de
risco (MACR)
– Administração de risco corporativo
(ERM)
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
11
Auditoria Contínua
Monitoramento e
Avaliação de
Riscos Contínuos
Auditoria Contínua de
Dados
Monitoramento de
Controles Contínua
Figura 2: Auditoria Contínua
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
12
Auditoria Contínua
ACD (Auditoria Continua de Dados)
• Monitoramento de
–
–
–
–
Métricas de processos chave usando índices analíticos (KPIs)
Transações comerciais
Dados de arquivo-mestre
Eventos especiais
• Periodização de relatórios de auditoria
• Controlável dentro de um programa de deterrence e
prioridades estratégicas
• Exemplos: AT&T, HCA, Seguradora, HP, IBM, etc.
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
13
Auditoria Contínua
MCC
(Monitoramento
Controles)
Continuo
de
• Monitoramento de
– Controle de autorização e acesso
– Configuração de sistema
– Parâmetros determinantes de processos
administrativos
• Exemplos: Siemens, BD, Talecris
• Em grandes sistemas integrados
(ERPs) progressivamente se tornará
impossivel auditar sem AC
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
14
Auditoria Contínua
Monitoramento e Avaliação Contínua de
Risco (MACR)
• Contribui com informação para planejamento
de auditoria
• Parameteriza as contribuições da evidencia
provida pela auditoria tradicional, ACD e MCC
• Medem fatores de risco em uma base
contínua
• Integra diferentes cenários de risco em
quadros quantitativos
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
15
Auditoria Contínua
Índice
• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
16
Auditoria Contínua
Ambiente
• Surgimento de uma indústria
– ACL
– Idea
– Approva
– Oversight
– SAP GRC
– Varios outros inclusive McAffeee
produtos de segurança
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
17
Auditoria Contínua
Índice
• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
18
AT&T (Bell Laboratories)
Auditoria Contínua
CPAS VISÃO GERAL
Sistemas
Estação de trabalho
Relatórios do Sistema Operacional
FD-nível 2
Relatório
Operacional
Relatório
Operacional
FD-nível 1
FD-nível 1
FD-nível 1
Relatório
Operacional
Filtro
Alarme
FD-nível 0
Diagrama de Fluxo de Dados
Relatórios
Análises
Medidas
Base de
Dados
Figura 4: Auditoria Contínua de dados na AT&T
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
20
Auditoria Contínua
FlowFront - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ
fernsu
fer
Data: 04/01/89
Data Definida
RPC: Silver Springs
Traçar gráfico nível 1
Recalcular Medidas
PE: 60
Ajuda
Texto
Sair
FlowFront Hierarquia
Sistema de Faturamento - Visão Geral
Gráfico
S
80
Percentual de Contas Faturadas com Sucesso
Tra
98
99
98
100
97
Valor
Pagamento
Visão
Geral
99
60
85
67
23
0
100
Dados
Trans
100
40
Faturamento
20
Percentual Faturado
Atualizaç
99
98
95
Inquérito
3/16
3/17
3/18
3/21
3/22
3/23
Pro
3/24
3/25
3/28
3/29
3/30
3/31
4/1
4/1/89
Média: 89.076923076923
Desvio Padrão: 21.872591442494
Erros
Figura 5: Indicadores Analíticos Sistema CPAS
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
21
Auditoria Contínua
FlowFront - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ
fernsu
fer
Data: 04/01/89
RPC: Silver Springs
Data Definida Recalcular Medidas
PE: 60
Traçar gráfico nível 1
Ajuda
Texto
Sair
FlowFront Hierarquia
Sistema de Faturamento - Módulo de Faturamento por Cliente
Base de
Dados do
Cliente
Atualizaç
Faturamento
Valor
Pagament
o
Extrato
De Contas
De Clientes
1000
Calcular
Valor
de Dívida
1000
Atualizar
Informações
de Faturamento
Visão
Geral
Arquivos
de Diário
Formatar
Fatura
Inquérito
Contas
Desaparecidas:
10
998
2
Processamento
De Erros
988
Arquivos
de Diário
Tabelas
Erros
Imprimir
Fatura
0
Figura 6: Fluxograma e Número de Transações no CPAS
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
22
HCA
Auditoria Contínua
Pesquisa em HCA
• Experimentação de modelagem de supply chain
• Erros básicos
– Erros de dados
– Erros de integridade referencial
• Modelagem matemática para identificar anomalias
(1) Variância = |Valor medido (metric) – Valor de base (modelo)
(2) Se Variância > variância aceitável  Emitir um Alerta
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
24
Auditoria Contínua
Sistema de Auditoría Contínua Baseado em Dados
Monitoramento Automático Analítico:
Equações Contínuas
Alarmes de Anomalias
Verificação Automática de Transação
Alarmes de Exceções
Responsabilidade
dos Funcionários
da Empresa
Depósito de Dados Comerciais
Panorama do Sistema da Empresa
Vendas
Contas a Receber
Gerenciamento de
Materiais
Recursos Humanos
Encomendas
Contas a Pagar
Figura 7: Arquitetura de um Sstema de Auditoria Contínua de Dados
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
25
Itau Unibanco
Auditoria Contínua
Projeto Itau Unibanco
• 1600 agências
• 18 testes analíticos
–
–
–
–
Reduz falsos positivos
Facilita análises de auditoria
Rotina automatizada
Monitoração de créditos de risco
• Software
– FOCUS para extração de dados
– SAS e outros
• Indicadores chave
• Reduziu tempo de auditoria de 160h para 40h
• Emissão de 200 a 400 alertas por semana
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
27
Auditoria Contínua
Questões referentes ao Itau Unibanco
• Quais processos devem ser monitorados on-line?
• Este monitoramento deve ser em nível de mainframe ou
numa estação de trabalho (workstation)?
• A que nível de detalhe?
• A que nível de detalhe filtros de contas estão a ser
desenvolvidos para extrair erros de transações?
• Como escolher os padrões - base nível de emissão de uma
alerta para minimizar os falsos positivos e falsos negativos?
• Como deve ser projetado o painel para auditoria contínua?
Devería-se focar nos resultados financeiros, em processos,
ou outras variáveis em particular, eventos, etc.?
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
28
Siemens
Auditoria Contínua
Projeto Siemens
• Foco é automatizar auditoria dos sistemas SAP
• 68% das ações de auditoria podem ser automatizadas
• Que provas seriam realmente exigidas em uma nova
auditoria, de sistemas extremamente automatizados,
se uma nova metodologia de auditoria é projetada a
partir do zero?
• Quais são os efeitos (visíveis e invisíveis) da auditoria
remota?
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
30
Auditoria Contínua
Sistema Piloto CMBPC na Siemens
Companhia A
SAP SYS
PD2
Companhia B
SAP SYS.
P88
Companhia C
SAP SYS.
P51
Company D
SAP SYS.
P40
Comum - Extrações em uma Base Contínua
Armazenamento de
Dados Relacionados
Retorno de Alertas
para Companhias
Regras CO. A
•Sys= PD2
•Co = W001&W103
•COA – WX01
•Etc…
Dados para Análise
CA Analisador
•Checar AAS 1.02.00 – F XX= o enviar alerta 4
•Checar AAS 1.02.10 – F Y = X enviar alerta 5
•etc
Regras CO. D
•Sys= P40
•Co = 001
•CDA - 1000
•Etc…
Alertas para:
•Gerenciamento
•Auditoria
•Etc
Alertas
Alerta 1: Dlat XXX, Mensagem = YYY
Alerta 2 : Dlat HHH, Mensagem = KKK
Alerta 3 : Dlat = OOO, Mensagem = AAA
Workflow de Comunicação / Portal Alerta 4 : Dlat = GGG, Mensagem = LLL
Figura 8: Arquitetura de um Sistema de Monitoramento de Controles Proposto para a Siemens
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
31
Auditoria Contínua
Modelagem de Comparação de Dados
• Monitoramento deveria ser realizado a qual nível de
agregação?
• Que tipo de erros é encontrado em fluxos de dados?
Como podem estes ser classificados? Como se
relacionam estes erros às deficiências do controle
interno?
• Quais são as latências intrínsecas da cadeia de valor?
Como o modelo de cadeia de valor e modelado
integrando estas latências?
• Se transações são avaliadas como errôneas, é
possível corrigi-las automaticamente?
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
32
Seguradora de Grande Porte
Monitoramento / auditoria de “wires”
(remessas electronicas)
Auditoria Contínua
Seguradora
• Avaliação de wires remetidos para detecção de
fraudes, fraquesas em controles, e outros problemas
• Trabalho feito em paralelo com o processo de
auditoria interna
• Trabalho evoluiu em direção à criação de um Sistema
Especialista com uma serie de regras para extração
de eventos de caráter dúbio
• Auditores verificam as transações assinaladas e
propõe regras de verificação
• Uma vez refinado o processo a frequencia da
verificação aumenta
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
34
Outros Projetos em Andamento
Auditoria Contínua
Outros Projetos
• Monitoramento de KPIs (key perfornance indicators)
–
–
–
–
Firma de liderança mundial em produtos ao consumidor
Com manufatura em mais de 100 paises
E distribuição em mais de 160 países
Detecção de anomalias
• Monitoramento de atividades bancárias
–
–
–
–
–
BSA
Money Laundering
Sistema baseado em regras
Unindo uma série de requisitos
Multiplas fontes (credito, depositos e saques, etc....)
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
36
Auditoria Contínua
Índice
• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
37
Auditoria Contínua
Seis Passos
1) Criação de áreas prioritárias
2) Identificação de monitoramento e regras de
auditoria,
3) Determinação da freqüência do processo,
4) Configuração de parâmetros de auditoria
contínua
5) Dar seguimento, e
6) Comunicar os resultados
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
38
Auditoria Contínua
Implementação de AC
1. Área de
Prioridade
6. Ação
e reação
2. Regra
Painel de Controle de Auditoria
5. Seguimento
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
3. Frequência
4. Parametrização
39
Auditoria Contínua
Elementos de Automação Progressiva
Economic
Economic
events
Economic
events
Economic
events
Eventos
events
Econômicos
Sensoriamento
Organização de
Processamento
de dados e
Processo de
Armazenamento 1
Organização de
Processamento
de dados e
Processo de
Armazenamento 2
Entrega
Integração
entre
sistemas
Execução
Tomada de
decisão
Automática
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
40
Auditoria Contínua
Índice
• Introdução
• Uma Economia em Tempo Real
• Teoria
• Ambiente
• Exemplos
• Implantação
• Conclusões
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
41
Auditoria Contínua
Conclusões
• Organizações devem examinar o âmbito dos seus
processos para aplicações e o “tradeoff”.
• Auditoria contínua possibilita o mapeamento de riscos.
• A auditoria contínua acontecerá ao longo da série de
empresas.
• Organizações financeiras e processos financeiros
corporativos serão os inovadores.
• Avanços em TI devem ser complementados por
avanços na modelagem analítica.
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
42
Auditoria Contínua
Conclusões
• O advento do XML, XBRL e outros padrões de
interoperabilidade irão acelerar auditoria contínua e
permitir uma cooperação inter-organizacional de
auditoria de processos.
• A comunidade acadêmica tem liderado o pensamento
em auditoria contínua.
• A integração das instalações de auditoria contínua em
software integrados (ERPs) permitirá alguns dos
benefícios para fluir a organizações menores.
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
43
Auditoria Contínua
Visite-nos
• Conferencias
– Anualmente em Newark 1a semana de novembro
– Estes anos junto com a CONTECSI (4 de junho de 2009)
– Thessalonika (18 de Maio de 2009)
• http://raw.rutgers.edu
– Inclui um grande numero de materiais sobre as conferencias
(videos), papers, e noticias
• [email protected]
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
44
Slides Extras
Auditoria Contínua
The Audit Maturity Model (1)
Stage 1
Stage 2
Stage 3
Stage 4
Traditional Audit
Emerging
Maturing
Continuous Audit
Objectives
•Assurance on the
financial reports
presented by
management
•Effective control
monitoring
•Verification of the
quality of controls
and
operational results
Approach
•Traditional interim and
year-end audit
IT/Data access
•Case by case basis
•Data is captured during
the audit process
•Traditional
plus
some
key monitoring
processes
•Repeating key
extractions on cycles
•Usage of alarms as
evidence
•Continuous control
monitoring
•Systematic
monitoring
of
processes
with
data
capture
•Improvements
in
the
quality of data
•Creation of a critical
meta-control
structure
•Audit by exception
Audit Automation
•Manual processes
separate IT audit
& •Audit management
software
•Work paper
preparation software
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
•Automated
monitoring
module
•Alarm and follow-up
process
•Complete
data
access
•Audit
data
warehouse,
production, finance,
benchmarking and
error history
•Continuous
monitoring
and immediate
response
•
Most
of47 audit
automated
Auditoria Contínua
The Audit Maturity Model (2)
Audit
management
sharing
and
Management
audit functions
Analytic methods
of
Stage 1
Stage 2
Stage 3
Stage 4
Traditional Audit
Emerging
Maturing
Continuous Audit
•Independent and
Adversarial
•Independent with
some core monitoring
shared
•Purposeful Parallel
systems and common
infrastructures
•Financial
organization
supervises audit and
matrix to Board of
director
•Some
degree
of
coordination between
the areas of risk,
auditing
and
compliance
IT
audit
works
independently
•Financial ratios
•Financial ratios at
sector level/account
level
•Shared systems and
resources where
natural process
synergies allow
•IA and IT audit
coordinate
risk
management
and
share automatic audit
processes
•Auditing
links
financial
to
operational processes
•KPI level monitoring
•Structural continuity
equations
•Monitoring at
transaction level
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
•Centralized
and
integrates with risk
management,
compliance and SOX/
layer with external
audit.
•Corporate models of
the main sectors of
the
business
•Early
warning
system
48
Auditoria Contínua
Monitoramento e Avaliação Contínua de Risco
ERM Corporativo
Auditoria
Contínua
Monitoramento
Contínuo
de Controles
Figura 3: Usando ERM para auditoria contínua
CONTECSI 6 - Alles e Vasarhelyi
http://raw.rutgers.edu
49
Descargar

Auditoria Contínua