Auditoria Contínua Uma visão do IIA Global. Oswaldo Basile, CIA, CCSA, QAR. CEO Trusty Consultores Presidente IIA Brasil

Transcrição

1 Auditoria Contínua Uma visão do IIA Global Oswaldo Basile, CIA, CCSA, QAR. CEO Trusty Consultores Presidente IIA Brasil

2 Normas Internacionais para a Prática Profissional - NIPP Elementos - NIPP Definição Código de Ética Normas Internacionais Orientações Prática Declarações de Posicionamento Guias Prática

3 IIA Global GTAG - Guias Práticas 13 Guias de Auditoria de Tecnologia Global Guias para avaliação de riscos de TI (GAIT, em inglês) São emitidas guias adicionais regularmente

4 GTAG Auditoria Contínua

5 Auditoria Interna - Desafios Opinião sobre Controles Internos Compliance Regulatório Valor da Auditoria Interna e Independência Disponibilidade de recursos qualificados Tecnologia de ponta Detecção de fraude Outros

6 Auditoria Contínua É qualquer método usado por auditores para realizar trabalhos auditoria em bases contínuas. Tecnologia da informação é fundamental para identificação de anomalias, exceções, análises de padrões, tendências, etc. Engloba atividades de: Avaliação contínua de controles, até Avaliação contínua de riscos

7 Avaliação Contínua de Controles Atividades usadas pelos auditores para avaliação contínua de controles internos Através desta avaliação os auditores fornecem a garantia ao comitê de auditoria e a alta administração de que os controles estão funcionando adequadamente Transações individuais monitoradas a partir de controles implementados A extensão da ACC pelos auditores depende do grau que a gerência realiza Monitoramento continuo

8 Avaliação Contínua de Riscos Atividades usadas pelos auditores para identificar e avaliar os níveis de riscos ACR identifica e avalia riscos examinando tendências e fazendo comparações entre sistemas / processos ao longo do tempo ou com outros processos na organização (ex: comparação anual de performance de uma linha de produtos, ou com a mesma linha de outra planta) Fornecem early warning sobre riscos em processos ou sistemas

9 Avaliação Contínua de Riscos ACR pode ser usada com um maior escopo para definição de localidades, fábricas, plantas a serem visitadas e processos que devem ser incluídos no Plano Anual Pode ser usada também para iniciar imediatamente um trabalho de auditoria, quando os riscos aumentam significativamente É útil para avaliar se a administração está implementando os planos de ação dos relatórios, reduzindo os níveis de exposição a risco

10 Monitoramento Contínuo É um processo utilizado pela administração para assegurar que as políticas, procedimentos e processos de negócio estão operando de maneira eficiente A administração deve identificar pontos críticos de controle e implementar testes automatizados para determinar se estes controles estão funcionando adequadamente

11 Monitoramento Contínuo Pode ser executado diariamente, semanalmente ou mensalmente, dependendo da natureza do controle Identificação de alertas ou exceções de controle (KPI) e informação imediata a administração É responsabilidade da administração agir no caso de alertas e remediar as deficiências de controle e corrigir transações com defeitos

12 Sequência contínua de Auditoria Contínua Ajuda os auditores a identificar e avaliar riscos, assim como estabelecer um sistema inteligente e dinâmico para respondes as mudanças da organização Suporta o processo de identificação e avaliação de riscos para todo o Universo Auditável, contribuindo para a definição do Plano Anual de Trabalhos e objetivos de uma auditoria específica

13 Sequência contínua de Auditoria Contínua Foco baseado em controles e baseado em riscos

14 Conceitos importantes Relacionamento e diferenças entre: Avaliação contínua Monitoramento contínuo Auditoria contínua

15 Avaliação contínua Pode ser descrita como uma opinião de um terceiro sobre um processo, situação ou negócio Envolve normalmente 3 partes: A pessoa ou grupo que prepara a informação A pessoa ou grupo que usa a informação para tomada de decisão O objetivo do terceiro na avaliação É normalmente uma função da auditoria interna

16 Avaliação contínua Avaliação da auditoria é uma opinião quanto a adequação e efetividade de controles, sobre integridade da informação, etc. A auditoria fornece serviços de avaliação realizando exames objetivos de evidências para fornecer uma opinião independente sobre processos de gerenciamento de riscos, de governança corporativa e controles internos

17 Monitoramento contínuo Refere-se ao processo utilizado pela Administração para assegurar que políticas, procedimentos, e processos de negócio estão funcionando de maneira efetiva Muitas técnicas utilizadas pela Administração para monitor controles de forma contínua são similares as utilizadas por auditores internos em auditoria contínua

18 Monitoramento contínuo Os princípios de monitoramento contínuo incluem: Definição de atividades de controle de um processo Identificação dos objetivos de controle Estabelecimento de uma serie de estes automatizados que indicarão se uma transação específica parece ter falhado com relação ao objetivo de controle Teste de todas as transações no período em análise Investigação de toda transação que parece ter falhado no teste de controle Se apropriado correção da transação / falha controle

19 Monitoramento contínuo Ponto Chave no processo: O processo de monitoramento contínuo deve ser de propriedade e ser realizado pela Administração, como parte de sua responsabilidade por implementar e manter um efetivo sistema de controles internos. O gestor é o dono do controle.

20 Auditoria contínua Atuação da Administração Extenso Monitoramento de Controles Internos Esforço Reduzido Baixo Monitoramento de Controles Esforço significativo e maior necessidade de recursos Esforço Auditoria Relação inversa atividades Administração e Auditoria

21 Monitoramento Contínuo

22 Auditoria contínua Key steps Auditoria Contínua Objetivos Defina os objetivos da Auditoria Contínua Obtenha e mantenha apoio da Alta Administração Verifique o nível em que a administração está realizando monitoramento contínuo Identifique e priorize áreas e tipos de auditoria contínua a ser implementada

23 Auditoria contínua Key steps Auditoria Contínua Objetivos Identifique sistemas de informação chave e fonte de dados Entenda os processos de negócio e os sistemas de aplicação Desenvolva relacionamento com a Administração de TI

24 Auditoria contínua Key steps Acesso e uso das informações Selecione e tenha a sua disposição ferramentas de análise de dados Desenvolva capacidade de acesso e análise dos dados Desenvolva e mantenha na equipe, habilidades de análise e técnicas de TI Avalie integridade e confiabilidade das informações Analise, limpe e prepare as infomrações

25 Auditoria contínua Key steps Avaliação contínua de controles Identifique pontos críticos de controle Defina regras de controle Defina exceções Desenhe uma abordagem e utilize ferramentas para testar controles e identificar deficiências

26 Auditoria contínua Key steps Avaliação contínua de riscos Defina as entidades a serem avaliadas Identifique categorias de riscos Identifique KPI e indicadores Desenhe testes analíticos para medir aumento do nível de risco

27 Auditoria contínua Key steps Informe e gerencie resultados Priorize os resultados e determine a freqüência das atividades de Auditoria Contínua Realize os testes de maneira regular e tempestiva Identifique deficiências de controle ou aumento em níveis de risco Priorize resultados Desenvolva planos de ação e report de resultados

28 Auditoria contínua Key steps Informe e gerencie resultados Gerencie resultados acompanhamento, report, monitoramento e follow up Avalie resultados da ações tomadas Monitore e avalie a efetividade do processo de auditoria contínua, tanto as análises quanto os resultados Avalie a segurança do processo de auditoria contínua e o relacionamento com outras iniciativas da administração

29 Perguntas & Respostas Oswaldo Basile, CIA, CCSA, QAR