Desafios na Implementação de uma Auditoria Contínua Efetiva

Transcrição

1 21/06/13 Desafios na Implementação de uma Auditoria Contínua Efetiva Igor Estrada Gouvêa, CIA, CRMA Head de Auditoria Interna Qualicorp Soluções em Saúde

2 Todas as informações fornecidas e opiniões emitidas nessa palestra vinculam-se ao exercício profissional do palestrante, não representando necessariamente o posicionamento de sua empregadora (Qualicorp Soluções em Saúde).

3 Informações sobre o Palestrante Formação em Ciências Econômicas pela UNICAMP; Atuação, desde 2003, na área de Auditoria Interna em empresas de destaque, entre as quais se incluem Schincariol, BM&FBOVESPA e ITAU UNIBANCO. Responsável pela estruturação da Gerência de Compliance e Controles Internos da SOCOPA Sociedade Corretora Paulista SA; Em 2010, obteve a maior pontuação em todo o mundo nos exames do certificado CIA Certified Internal Auditors e foi agraciado com a William S Smith Gold Medal Award, concedida pelo The Institute of Internal Auditors; Desde 2011, é o Gerente/ Head da Auditoria Interna da Qualicorp SA, onde foi responsável pela implantação da Auditoria Interna. Em 2012, foi convidado a assumir a Diretoria de Certificações do Instituto dos Auditores Internos do Brasil.

4 Tópicos Definições - Auditoria contínua X Monitoramento Visão do THE IIA Benefícios e visão de futuro; O que é necessário para implementação: Obtendo apoio; Definindo o foco; Pessoas; Tecnologia; Obtendo e protegendo os dados; Metodologia: desenvolver e implantar rotinas; Aumentando o valor agregado; Perguntas

5 Definições Auditoria contínua: é um método usado pela auditoria para realizar testes de controle e avaliações de risco automaticamente com uma frequência maior. Monitoramento Contínuo: procedimentos realizados pelos gestores para garantir que os processos e controles estão operando efetivamente.

6 Definições Fonte: Global Technology Audit Guide Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment THE IIA

7 Monitoramento Contínuo Auditoria Contínua Fonte: Declaração de Posicionamento do IIA: As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles (Janeiro 2013)

8 Exemplo Avaliação de integridade de dados entre sistema operacional e financeiro. Auditoria tradicional Auditoria com CAATs Auditoria contínua Monitoramento Continuo Durante aud. planejada Selecionar, via ACL, amostra de 48 clientes; Confrontar informações individualmente Durante aud. Planejada. Extrair bases de dados dos 2 sistemas. Confrontar (via Excel ou ACL) 100% dos registros. Feito periodicamente pela auditoria Confronto para 100% dos registros. Via Excel ou ACL. Feito periodicamente pelo Gestor ou 2ª linha de defesa (compliance ou controles Internos) Confronto para 100% dos registros. Via Excel ou ACL.

9 Visão do The IIA Apesar do monitoramento dos controles internos ser uma responsabilidade de gestão, a auditoria interna pode usar e alavancar auditoria contínua para fortalecer o monitoramento geral em uma organização. O nível de monitoramento pró-ativo realizado pela administração afetará diretamente como auditores abordadam auditoria contínua. Fonte: Global Technology Audit Guide Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment THE IIA

10 Visão do The IIA Nos casos em que o monitoramento contínuo de controles é realizado pela administração, o mesmo nível de detalhes dos teste de transação não pode ser exigida da contínua auditoria. Em vez disso, os auditores podem se concentrar em procedimentos para determinar a eficácia do processo de monitoramento feito pela administração e, dependendo do resultado de tais testes, ajustar o escopo, número e freqüência de testes de auditoria. Fonte: Global Technology Audit Guide Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment THE IIA

11 Visão do The IIA Fonte: Global Technology Audit Guide Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment THE IIA

12 Benefícios Efetividade/Cobertura; Tempestividade; Custo decrescente; Expande oportunidades de testes e análises; Possibilita aumentar profundidade dos testes.

13 Futuro Aumento gigantesco nas informações disponíveis eletronicamente; Facilidade de acesso e análise de dados. Quem não dominar as novas tecnologias estará obsoleto.

14 Mudança de Paradigma Análise estruturada de dados e auditoria contínua não são apenas técnicas adicionais. Refletem uma nova abordagem e são elementos estratégicos para a assegurar que a Auditoria Interna permaneça relevante. Portanto, exige visão e planejamento de médio e longo prazo.

15 O que é necessário? Estratégia Tecnologia Pessoas Dados Metodologia

16 Obtendo apoio Auditoria contínua muda a forma de atuação, o relacionamento com as áreas, a necessidade de recursos a forma e a tempestividade do reporte da auditoria. Portanto, é fundamental obter o apoio da Alta Administração e do Comitê de Auditoria. É necessário educá-los sobre os conceitos; Exponha os benefícios; Deixe claro os objetivos e limites do projeto; Alinhe os objetivos e riscos a serem priorizados; Para justificar o investimento e agregar valor, a Auditoria contínua deve focar nos riscos relevantes!

17 Definindo o foco Metodologia integrada: Para garantir alinhamento e cobertura dos riscos críticos Planejamento baseado em riscos Defini os processos críticos; Atualizado com base nos resultados da Aud. Contínua. Monitora controles críticos; Evolução dos riscos relevantes; Auditoria Contínua Auditorias planejadas Identifica: os riscos críticos; as oportunidades de automação; o ponto de controle mais apropriado; Sugere a lógica do teste Desafiar os indicadores/ rotinas já implantados: permanecem válidos?

18 Definindo o foco Foco adequado é crucial para como a Auditoria será percebida pela Adm: Agrega valor X Pelo em Ovo / Gera custo Cuidado para não criar mais rotinas do que a empresa tem capacidade de tratar; Explore oportunidades de ganhos rápidos;

19 Pessoas: mudando o mindset Auditoria Contínua muda o perfil do auditor; Menos tempo ticando e mais tempo PENSANDO; Habilidades necessárias; Raciocínio crítico/ Capacidade analítica Conhecimento de relacionamento de dados; Técnicas de extração de dados; Desenvolva talentos! Auditor com expertise em Contínua e conhecimento de processos/riscos é raro:

20 Pessoas: mudando o mindset Cuidado para não criar ilha de excelência. Não basta criar célula/equipe de Auditoria Contínua; É preciso integrá-la com a auditoria tradicional/ planejada; Análise estruturada de dados deve fazer parte do DNA de todos os auditores; Analisar principais riscos; Sugerir e realizar testes automatizados; Analisar criticamente bases de dados;

21 Pessoas: mudando o mindset Senão... Aud. Contínua focando em riscos não relevantes; Profundidade inadequada por falta de conhecimento do negócio; Auditores de processo usando ACL só para selecionar amostra; Solicitando indicadores não relevantes; Indicadores gerados e...engavetados;

22 Pessoas: mudando o mindset Aud. Contínua Expertise em análise de dados; Aud. Processos Conhecimento do negócio; Expertise em riscos

23 Pessoas: mudando o mindset Sugestões: Difundir conceitos e técnicas básicas; Exigir na metodologia de auditoria a análise crítica dos dados; Enfatizar a importância de testes com CAATs. Prever em cada trabalho a avaliação de possíveis indicadores/ testes para aud. Contínua. Cobrar, reconhecer e valorizar evolução (Feedback).

24 Tecnologia: muitas oportunidades Fonte: Apresentação Techsupply

25 Tecnologia Lembre-se: O poder da auditoria Contínua não está na ferramenta mas sim na inteligencia do indicador/ rotina; Metodologia Pessoas

26 Tecnologia Deve ser compatível com complexidade do ambiente de TI e com os objetivos do projeto; Inicie com baixa complexidade/ investimentos; É possível até obter resultados relevantes com Excel e SQL (para extrair dados). Após mostrar resultados será mais fácil obter orçamento; Evita ferramentas subutilizadas; Recomendação para iniciar: ACL/IDEA

27 Obtendo e protegendo os dados Acesso direto ao Banco de Dados garante independência, autonomia e tira a auditoria da fila de TI; Mas pode depender da aprovação de TI; Transforme o CIO em aliado: mostre que demandas diminuirão no médio prazo; Exige conhecimento técnico específico (SQL, Oracle) e entendimento do banco de dados. Alinhamento com produção: risco de derrubar sistemas;

28 Obtendo e protegendo os dados Cuidado: uma das maiores vulnerabilidades de segurança da informação da sua empresa pode ser a auditoria interna! Em uma auditoria: Auditor com acesso Full de consulta direta aos Bancos de Dados e Pen-drive liberado para gravação; Bases criticas extraídas integralmente e armazenadas localmente sem proteção por tempo indeterminado; Ou mantidas em pastas compartilhas com toda equipe.

29 Obtendo e protegendo os dados Segurança da Informação: CAE deve definir procedimentos para resguardar dados e evitar acessos indevidos. Defina padrões rígidos; Crie uma política/procedimento; Exemplo: auditor deve solicitar autorização prévia para consultas e extração na Base de Dados; Restrinja as informações extraídas; Exclua as bases após utilização: mantenha somente as evidências; Use criptografia; Solicite periodicamente uma avaliação de consultoria independente ou da Segurança da Informação: entenda e corrija suas vulnerabilidades; Reporte o Resultado ao Comitê e Alta Administração.

30 Metodologia de Aud. Contínua Crie uma metodologia de definição e implementação de indicadores/rotinas alinhada: à estrutura e complexidade do projeto. à metodologia de Auditoria Interna Políticas e Procedimentos O executivo chefe de auditoria deve estabelecer políticas e procedimentos para orientar a atividade de auditoria interna. Interpretação: A forma e o conteúdo das políticas e procedimentos dependem do tamanho e da estrutura da atividade de auditoria interna, e da complexidade de seu trabalho.

31 Metodologia Planejamento: Divulgação e Followup Desenv e Homologação Análise Produção

32 Metodologia de Auditoria Contínua Planejamento: Fase mais critica! Definir claramente: Risco; Objetivo; Ponto de controle a ser testado; Procedimento/inteligência: qual será a logica aplicada. Fonte dos dados; Forma de apresentação dos resultados (gráfico, lista de exceções etc.); Auditor responsável pela Análise Destinatário; Periodicidade; Deve ser formalizado e aprovado;

33 Metodologia de Auditoria Contínua Desenvolvimento: Automação exige conhecimentos específicos (scripts) mas é fundamental para assegurar os ganhos esperados; Valide a ideia: Execute os passos/ lógica manualmente para avaliar se o resultado é adequado; Documente os scripts utilizados! Homologação: Essencial para assegurar integridade e proteger a credibilidade da Auditoria; Valide internamente; Desafie as premissas; Discuta com o dono do risco; Falsos positivos são esperados no início. Há um processo de calibração dos parâmetros

34 Metodologia de Auditoria Contínua Produção: Defina um cronograma de execução; Analise criticamente o resultado: anormalidades podem significar mudança nas premissas e/ ou nos dados; Fique atento a mudanças nos negócios ou sistemas;

35 Metodologia de Auditoria Contínua Análise: Não divulgue os resultados antes de analisá-los! Pode arruinar a credibilidade da área. AI pode desprezar uma informação relevante Uma exceção pode ser: Falso positivo Um erro do processo; Indício de fraude ou falha sistêmica. Defina um auditor responsável por analisar os dados (Crucial conhecer o processo).

36 Metodologia de Auditoria Contínua Divulgação: 2440.A1 O executivo chefe de auditoria é o responsável pela comunicação dos resultados finais às partes que possam assegurar que os resultados recebam a devida consideração. Alinhe com os Gestores o melhor fluxo / destinatários padrões para cada tipo de rotina.

37 Metodologia de Auditoria Contínua Follow-up: 2500.A1 O executivo chefe de auditoria deve estabelecer um processo de acompanhamento para monitorar e assegurar que as ações da administração tenham sido efetivamente implantadas ou que a alta administração tenha aceitado o risco de não tomar nenhuma ação. Estão sendo tomadas as medidas para regularização?

38 Aumentando o valor agregado: Auditoria pode (e deve) difundir o conceito de monitoramento contínuo para a 1ª e 2ª linha de defesa; Com base nos resultados da Auditoria Contínua demostre aos gestores o poder dessa abordagem; Sempre que pertinente, recomende a implementação de rotinas de monitoramento contínuo para mitigação de riscos;

39 Aumentando o valor agregado: Compartilhe conhecimento; Compartilhe a inteligência dos indicadores? Independência X Agregar Valor Deixe claro as responsabilidades de cada área! Lembre- se o monitoramento contínuo também deve ser auditado.

40 Sugestão

41 Perguntas??

42 Obrigado pela sua Atenção Contato: Igor Estrada Gouvêa Tel: (11)