Segregação de Funções Processo de Auditoria Contínua Novembro 2016

Transcrição

1 Processo de Auditoria Contínua

2 Agenda Auditoria Interna e I. Auditoria Contínua II. III. Implementação de Auditoria Contínua no âmbito da 2

3 Auditoria Contínua 3

4 Ciclo de Auditoria Projeto Auditoria Interna Tradicional Avaliação de Risco Definição de Âmbito Comunicação e Planeamento Trabalho de Campo Report Fecho Pontos chave Âmbito definido responde adequadamente aos riscos da gestão Alocação de recursos e disponibilidade de intervenientes operacionais Interações adequadas, alinhamento da execução com o plano de trabalho inicial. Relatório preciso e suportado por evidências adequadas. 4

5 Ciclo de Auditoria Projeto Auditoria Interna Contínua Pontos chave One Time Task Avaliação de Risco Levantamento de Processo Avaliação Risco Strategy leadership Definição de âmbito Implementação de Solução Exclusão de âmbito por falta de fontes de informação que possibilitem Auditoria Contínua. Implementação incorreta gera outputs incorretos. Auditoria Contínua Deteção de situações de falsos positivos. Alterações dos processos, implicam alteração de Solução de Auditoria. 5

6 Monitorização contínua vs Auditoria contínua Monitorização contínua A monitorização contínua é um processo e tecnologia usado para detetar situações de compliance e de risco associadas ao ambiente financeiro e operacional. O ambiente financeiro e operacional é composto por pessoas processos e sistemas que trabalham em conjunto para suportar de forma eficiente e efetiva as operações. São implementados controlos para endereçar os riscos dentro destas componentes. Auditoria contínua Auditoria contínua significou historicamente o uso de software para detectar excepções definidas pelo auditor de entre todas as transacções que são processadas quer em tempo real ou quase em tempo real. Estas excepções podem ser investigadas imediatamente ou escrita para um log de um auditor para trabalho subsequente. 6

7 Visão de Auditoria Interna Monitorização Contínua Auditoria Contínua Stakeholders First Line of Defense Second Line of Defense Third Line of Defense External Defense Assessed and Reviewed by Business Strategy Design and Implementation evaluated by Tests Achieved through Business Process Have Managed through Controls Mitigated by Required by Laws & Regulations; Policies; Standards & Guidance; Compliance verified by Reviewed by Tests Provide Evidence Used to Evidence Provide Used to Evaluated through Risks Monitored by Risk Assessment Report Certify Business Owners Shareholders Operational Management IT Security Compliance Risk Management Internal Audit External Audit Regulatory Bodies 7

8 8

9 Controlo Controlo é uma atividade desenhada para providenciar maior segurança quanto ao alcançar dos objetivos da empresa, nomeadamente em duas categorias: Eficiência e Eficácia das Operações. 9

10 A segregação de funções é um atributo de desenho dos processos de negócio que permite reduzir o risco de erro e de fraude, potenciando a eficácia dos controlos desenhados pela gestão. É relevante avaliar o desenho dos processos no que diz respeito à, aferindo sobre a adequabilidade do desenho do processo e sobre a eficácia da sua implementação. Teste de Desenho Teste de Eficácia 10

11 Frameworks COSO 2013 When selecting and developing control activities management should consider whether duties are divided or segregated among different people to reduce the risk of error or inappropriate or fraudulent actions. Such consideration should include the legal environment, regulatory requirements, and stakeholder expectations. This segregation of duties generally entails dividing the responsibility for recording, authorizing, and approving transactions, and handling the related asset. Authorizing Recording & Reporting Handling the Related Asset Approving 11

12 Frameworks AICPA American Institute of Certified Public Accountants Segregation of Duties (SOD) is a basic building block of sustainable risk management and internal controls for a business. The principle of SOD is based on shared responsibilities of a key process that disperses the critical functions of that process to more than one person or department. Without this separation in key processes, fraud and error risks are far less manageable. As a result, the risk management goal of SOD controls is to prevent unilateral actions from occurring in key processes where irreversible affects are beyond an organization s tolerance for error or fraud. 12

13 Order Processing Sales Order Input Generate Sales Order Request Price Master Invoicing Generate Invoice Record Sale in General Ledger Invoice Customer Master Cash Receipts Customer Returns Apply Payument Prepare Adjustments & Credit Memos Record Cash Receipts Record Adjustment Entries Cash Goods Sales System Bad Debts Generate A/R Aging Report Prepare Write- Off Entries Record Write- Off Entries Acc. Receivable Sub-Ledger Adjustments & YE Close Prepare Adjusting (G/L) Recording Adjusting Entries Close Sub-Ledger and Post to G/L General Ledger Master Data Management Change Master Data Aprove Master Data Change 13

14 Master Data Management Order Processing Invoicing Cash Receipt Customer Rebates; Discounts; Allowances Bad Debt Management Adjustments & Period End Authorizing Bank Account Access Prepare Write Off Proposal Recording & Reporting Change Master Data Input order in Sales System Record Sale Cash Receipt posting Post Discounts / Rebates / Allowances Post Write Off Post Adjustments Handling the Related Asset Contact customer Generate Sales Order Generate Invoice Handle Picking List (Warehouse) Cash Handling Contact customer Prepare Aging Report Prepare Adjustments Reconcile customer accounts to general ledger Approving Approve Master Data Changes Approving Sales order Approving commercial terms (price; terms of payment) Review Bank Reconciliation Approve Bank Movements Approve Discounts Review Write Off Proposal Review Aging Report Review reconciliation with General Ledger Request Invoice Cash Goods Price Master Customer Master Sales System Acc. Receivable Sub-Ledger General Ledger 14

15 Implementação 15

16 Implementação Levantamento do Processo Identificação de Matriz de Conflitos Teste ao desenho do Processo Auditoria Contínua Embed Auditoria Contínua Real Time Implementação de Triggers nos sistemas de Registo. Implementação de camada de análise em real-time. 16

17 Exemplos Auditoria Contínua Caso I: SAP SoD Tool Caso II: Detective SoD Tool 17

18 Caso I: SAP SoD Tool Objetivo Criação de ferramenta pela destinada a efetuar análise sobre acessos sensíveis (SA) ou falha de segregação de funções (SoD) sobre qualquer processo que se considere relevante. Processo deve ser simples, rápido e preciso. 18

19 Caso I: SAP SoD Tool Ferramenta de Auditoria Contínua Real Time User Interface Web Role Profile Authorization Objects Authorization Fields Ligação direta a SAP Parametrização ágil Report Automático SAP Libraria de Conflitos 19

20 Caso I: SAP SoD Tool 20

21 Caso I: SAP SoD Tool 21

22 Caso I: SAP SoD Tool 22

23 Caso I: SAP SoD Tool 23

24 Exemplos Auditoria Contínua Caso I: SAP SoD Tool Caso II: Detective SoD Tool 24

25 Caso II: Detective SoD Tool Objetivo Rever todos os registos efetuados de forma a identificar possíveis conflitos de, após os registos efetuados. Revisão da totalidade dos registos com impacto Financeiro. Ferramenta independente do Sistema Contabilístico. Processo deve ser simples, rápido e preciso. 25

26 Caso II: Detective SoD Tool Informação Financeira Lógica Output Registo Utilizador Conta - Valor Conta - Valor Data Processo Negócio Fluxo Débito 12 Crédito 21 Crédito 68 Processo Negócio Fluxo Fluxo Fluxo Registos Registos Registos Totalidade dos Registos 26

27 Caso II: Detective SoD Tool Ferramenta de Monitorização Contínua Interface Web System xp G/L como Fonte de dados Parametrização ágil System yp Report Automático System z P Libraria de Conflitos Libraria de Fluxos 27

28 Caso II: Detective SoD Tool Setembro

29 Caso II: Detective SoD Tool Setembro

30 Caso II: Detective SoD Tool Setembro

31 Caso II: Detective SoD Tool User H Setembro

32 Questões? 32

33 Obrigado PricewaterhouseCoopers & Associados S.R.O.C., Lda. Palácio Sottomayor Rua Sousa Martins, 1 3º Lisboa T: M: antonio.loureiro@pt.pwc.com António Loureiro Director PricewaterhouseCoopers Limitada Todos os direitos reservados. refere-se à rede de entidades que são membros da PricewaterhouseCoopers International Limited, cada uma das quais é uma entidade legal autónoma e independente.