01 de outubro de 2010 Continuous Auditing & Continuous Monitoring André Rangel Gerente Sênior KPMG Risk Advisory Services
Conteúdo Contexto Definições e objetivos Dimensões Enterprise Risk Management Ambiente de Auditoria Interna Redução de Custos Fases de um projeto de Auditoria Contínua Fatores Críticos de Sucesso Cases (Logística/Vendas e Compras) CA/CM Survey 2010 Highlights - Brasil
Contexto No atual complexo cenário econômico, vem ocorrendo um aumento no foco da adoção de formas inovadoras para avaliar e gerenciar riscos enquanto aprimoramento do desempenho. Os avanços tecnológicos vem pavimentando o caminho para o aumento do uso de Auditoria Contínua nos processos, transações, sistemas e controles das organizações. As organizações estão utilizando tecnologias como fator de mudança na forma com que avaliam a efetividade dos controles e o monitoramento do seu desempenho. A Auditoria Contínua fornece profundo conhecimento sobre as áreas de risco e oportunidades, enquanto fortalece as estruturas de governança corporativa.
Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditoria, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. Aprimora a governança corporativa Melhoria no ambiente de controles internos Reação em tempo aos riscos de negócios Obtenção efetiva e eficaz de evidências de auditoria População dos testes de auditoria Tecnologia como instrumento de auditoria interna eficiente Redução da dependência de TI para obtenção de informações Auxilia no monitoramento da conformidade com políticas, procedimentos e regulamentos Contribui para o planejamento dos trabalhos de campo para auditoria interna
Dimensões da Auditoria Contínua Integrando ferramentas de análises Dimensão Analítica Análise de Nível Macro para tendências, padrões e resultados (e.g., Giro dos estoques, PMR, PMP, Turnover, etc.) Dimensão de Controles Gerenciamento dos controles financeiros, Segregação de função, etc. Risco/ Performance Análise de exceções baseadas em transações e gerenciamento das regras de negócio Dimensão de Transações A otimização de riscos e performance é efetivada quando todas as três dimensões são implementadas
Enterprise Risk Management Auditoria Contínua para suportar o monitoramento dos riscos em uma base contínua
Ambiente de Auditoria Interna Auditoria Auditoria cíclica Focada em riscos Foco na cobertura do universo de auditoria Seleção de um percentual de população (testes) Auditoria de processos/unidades de negócios ponta a ponta Extração limitada de dados nas auditorias X Auditoria Contínua Auditorias baseadas em alertas/indicadores Plano de auditoria dinâmico Análise de 100% da população (testes) Análise próxima da ocorrência do desvio Facilidade de seleção de itens para testes da auditoria Possibilidade de histórico das tendências dos desvios Melhoria/acompanhamento das normas e políticas internas Aprimoramento do conhecimento do auditor interno (processo e ferramentas de TI)
Redução de Custos Exemplos de áreas para redução de custos utilizando AC/MC Economias potenciais relativas à performance - Redução de custos associada à fraude, desperdícios e abusos - Redução de custos associada com a redução de erros e re-trabalhos - Redução de custos de compliance com regulamentos e políticas Economias potenciais relativas aos riscos - Realocação de recursos focando-os em atividades significativas de riscos - Potencial redução dos custos de compliance com a SOX - Incremento na detecção e prevenção de fraudes e redução no número de incidentes - Aumento na cobertura e redução do tempo de execução das auditorias
Fases de um projeto de auditoria contínua / monitoramento contínua
Cronograma Atividades Agosto Setembro Outubro Novembro Dezembro Status Reestruturação Levantamento de informações Desenvolvimento de Scripts Homologação (Testes) Ações corretivas Implementação Planejado Real e/ou previsão de término Finalizado Em processo Não iniciado
Projetar MATRIZ DAS EXCEÇÕES return PROCESSO SUBPROCESSO REF. OBJETIVOS EXCEÇÃO PERIODICIDADE MM- SUPRIMEN TOS M4-PEDIDO DE COMPRA MENSAL MM- SUPRIMEN TOS MM- SUPRIMEN TOS M4.4 Compras fora do padrão: Identificar o volume de compras fora do padrão versus o volume de compras da companhia por produto. Identificar se as compras que não tiveram a aprovação em conformidade com a alçada competente estabelecida na norma de suprimentos. M3-COTAÇÃO M3.2 Verificar se as compras abaixo do limite não estão sendo manipuladas M4-PEDIDO DE COMPRA M4.1 Identificar o volume de compras realizadas sem requisição 1) Pedidos de compras que não utilizaram a estratégia de liberação 2) Volume de compras fora do padrão por tipo de produto 1)Volume de compras abaixo do limite mínimo estabelecido para compras sem cotação Pedidos de compras sem requisição MENSAL MENSAL MM- SUPRIMEN TOS M5- RECEBIMENTO MATERIAIS/SER VIÇOS M5.1 Identificar pedidos de compras criados para poder registrar a nota fiscal de mercadoria e/ou serviço recebido fora do processo normal de suprimentos: Requisição de compras Cotação Pedido de compras Recebimento de mercadoria, ou seja, pedido criado para registro da nota fiscal no contas a pagar Notas fiscais de fornecedores emitidas com data inferior e/ou igual a data do pedido de compras criado pela área de suprimentos MENSAL
Implementar Documentação das Exceções return
Avaliar Tarefas realizadas Desenho e estrutura das exceções Mapeamentos das tabelas e campos do SAP Desenvolvimento e automação das exceções do projeto piloto Validação das exceções geradas Definição dos próximos processos e exceções Próximos passos Definir o modelo de relatório para apresentar as exceções Concluir a documentação do projeto Treinar os envolvidos para utilização das rotinas Pontos críticos Monitoramento do cronograma Auxílio da infra-estrutura (Cliente) para viabilizar Macro cronograma Atividades Agosto Reestruturação Setembr o Outubro Novembr o Dezembr o Status que o ACL envie as exceções por email Levantamento Desenvolv. Homologação Implementação Ações corretivas
Fatores críticos de sucesso Fatores críticos de sucesso Respostas para esses problemas vitais Apoio dos executivos sênior Recursos experientes e ferramentas tecnológicas Abordagem estabelecida para a AC - Educação executiva no desenvolvimento de um 'business case' - Suporte do Diretor de Auditoria no que tange à abordagem - Compromisso de treinar os recursos internos - Equipe experiente que pode começar o trabalho de campo imediatamente - Conhecimento profundo dos processos de negócio e conteúdo das indústrias - Seleção das ferramentas de Auditoria Contínua apropriada - Capacidades de análise da causa raiz para erros, violações de políticas e má conduta - Identificação dos principais pontos de verificação de controle - A metodologia enfatiza o aprimoramento contínuo Abordagem bem planejada - Início detalhado do projeto e documentos do plano de trabalho - O perfil de risco da organização é fundamental para a avaliação e projeto da abordagem de AC - Conhecimento e ligação com as exposições a riscos empresariais Alinhamento organizacional - Associação com membros da equipe interna para possibilitar a transferência de conhecimento - Alinhamento consistente das metas, medidas e incentivos - Auditar a função de monitoramento sob uma perspectiva da Auditoria Interna
CASE Objetivos do Projeto: Disponibilizar relatórios de análise para os trabalhos de Auditoria Interna. Identificação antecipada de erros Aumentar a eficiência e eficácia da interna Racionalizar os Trabalhos Aumentar as capacidades e competências auditores auditoria Maior velocidade na prestação de contas aos gestores, comitê de auditoria e conselho de administração dos
Case Logística e Vendas Preço Predador
Preço Predador CLIENTE
Case Logística e Vendas Análise do fluxo dos caminhões (tempo x distância percorrida)
Case - Compras Pedidos de Compras X Regra de Cotação
Pedidos de compras fora da regra de cotação JUNHO JULHO AGOSTO TOTAL DE TOTAL DE PEDIDOS FORNECEDOR 26 27 28 29 30 31 32 33 34 35 PEDIDOS JAN a SET/09 (R$) COMPANHIA ABCS LTDA. 9 11 6 3 5 34 163.461 12345 LTDA 9 4 13 28.953 XYZ LTDA 16 8 24 116.897 DEF GHU LTDA 19 14 18 11 62 397.232 AAAAAAAAAAAAAAAA LTDA. 8 8 36.800 TOTAL 9 11 19 35 15 8 4 18 15 18 152 743.343
Pedidos de compras fora da regra de cotação JUNHO JULHO AGOSTO TOTAL DE TOTAL DE PEDIDOS FORNECEDOR 26 27 28 29 30 31 32 33 34 35 PEDIDOS JAN a SET/09 (R$) COMPANHIA ABCS LTDA. 9 11 6 3 5 34 163.461 12345 LTDA 9 4 13 28.953 XYZ LTDA 16 8 24 116.897 DEF GHU LTDA 19 14 18 11 62 397.232 AAAAAAAAAAAAAAAA LTDA. 8 8 36.800 TOTAL 9 11 19 35 15 8 4 18 15 18 152 743.343 CÓD. FORNECEDOR MES SEMANA DATA PEDIDO R$ 96740 AAAAAAAAAAAAAAAA LTDA. 8 34 17/08/2009 4501217506 7.500,00 4501219005 1.980,00 18/08/2009 4501219827 6.500,00 21/08/2009 4501221109 4.890,00 4501222460 3.850,00 4501225393 4.500,00 4501226666 4.730,00 22/08/2009 4501227071 2.850,00 TOTAL 8 36.800,00
Pedidos de compras fora da regra de cotação CÓD. FORNECEDOR MES SEMANA DATA PEDIDO R$ 96740 AAAAAAAAAAAAAAAA LTDA. 8 34 17/08/2009 4501217506 7.500,00 4501219005 1.980,00 18/08/2009 4501219827 6.500,00 21/08/2009 4501221109 4.890,00 4501222460 3.850,00 4501225393 4.500,00 4501226666 4.730,00 22/08/2009 4501227071 2.850,00 TOTAL 8 36.800,00 Requisições quebradas em mais de um pedido REQUISIÇÃO PEDIDO DATA FORNECEDOR R$ 29865 4501217506 17/07/09 AAAAAAAAAAAAAAAA LTDA. 7.500,00 4501219005 17/07/09 AAAAAAAAAAAAAAAA LTDA. 1.980,00 30054 4501221109 21/08/09 AAAAAAAAAAAAAAAA LTDA. 4.890,00 4501222460 21/08/09 AAAAAAAAAAAAAAAA LTDA. 3.850,00 4501225393 21/08/09 AAAAAAAAAAAAAAAA LTDA. 4.500,00 4501226666 21/08/09 AAAAAAAAAAAAAAAA LTDA. 4.730,00
Indicador Pedidos de compras versus regra de cotação
Relatórios Modelos
Modelo de relatório Pedidos de compras x regra de cotação Objetivo Identificar pedidos de compras que tiveram cotações manipuladas e/ou favorecidas Risco Pedidos de compras que não passaram pelo processo de cotação, ocasionando perdas financeiras decorrente de compras em condições desfavoráveis. Atos ilegais decorrentes de cotações indevidas e/ou manipuladas para favorecimento. CÓD. FORNECEDOR MES SEMANA DATA PEDIDO R$ 96740 AAAAAAAAAAAAAAAA LTDA. 8 34 17/08/2009 18/08/2009 450121750 6 7.500,00 450121900 5 1.980,00 450121982 7 6.500,00
Modelo de relatório Pedido emitido após a data da nota fiscal do fornecedor return Identificar pedidos que podem ter sido criados de forma irregular 21% 79% PD EMITIDOS POST. NF FORN. PEDIDOS OK
Auditoria Contínua Visão Geral Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. Aprimora a governança corporativa Com a auditoria contínua foi possível analisar alguns controles descritos em normas quanto ao seu cumprimento. Averiguar a necessidade de atualização de normas internas (Exemplo: Suprimentos atualizou em sua norma os itens que não necessitam de requisição para confecção do pedido). Manter histórico de exceções/desvios para análise de tendências Voltar
Auditoria Contínua Visão Geral Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. Melhoria no ambiente de controles internos O processo de auditoria contínua identificou a necessidade de criação de controles para mitigação de riscos Identificação de controles não efetivos sem razão para existir. (Exemplo: Planilha de controle de descontos financeiros sem integração com sistema e com ausência de informações) Voltar
Auditoria Contínua Visão Geral Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. Reação em tempo aos riscos de negócios Criação de indicadores para identificar os centros (localidades) que mais possuem exceção Empenhar mais esforços em processos/centros com mais exceções Auditor embasado de informações privilegiadas antes de iniciar o trabalho de auditoria em campo Voltar
Auditoria Contínua Visão Geral Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. Obtenção efetiva e eficaz de evidências de auditoria Identificação de pedidos de compra sem a existência de requisições Existência demasiada de compras emergênciais (Aprovações reduzidas) Entrada de material por meio de Nota fiscal sem a existência de pedidos de compras Entrada de materiais com valor maior que o acordado em pedido de compra Descontos concedidos a clientes sem aprovação de gestores Voltar
Auditoria Contínua Visão Geral Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. População dos testes de auditoria Analise de 100% da população Possibilidade de analisar apenas o período desejado Voltar
Auditoria Contínua Visão Geral Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. Tecnologia como instrumento de auditoria interna eficiente Processo de auditoria contínua automatizado (Periodicamente a ferramenta realiza a busca por exceções por meio de agendamento) Mobilidade na obtenção dos resultados pela ferramenta enviar as exceções por email Eficiência e eficácia na obtenção dos resultados Voltar
Auditoria Contínua Visão Geral Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. Redução da dependência de TI para obtenção de informações Acesso de consulta a base de dados do sistema, possibilitando maior alcance e velocidade na obtenção de informações Voltar
Auditoria Contínua Visão Geral Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. Auxilia no monitoramento da conformidade com políticas, procedimentos e regulamentos Aquisições de serviços e materiais com a quantidade de cotações em desacordo com as normas Identificação de quebras de pedidos de compras para reduzir número de aprovações Voltar
Auditoria Contínua Visão Geral Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. Contribui para a atualização das políticas, procedimentos e normas internas Averiguar a necessidade de atualização de normas internas (Ex.: Suprimentos atualizou em sua norma os itens que não necessitam de requisição para confecção do pedido). Voltar
Auditoria Contínua Visão Geral Definições e objetivos Auditoria Contínua Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de um período. Contribui para o planejamento dos trabalhos de campo para auditoria interna Focar mais esforços nos: Centros com maior número de exceções; Fornecedores com maior número de ocorrências/problemas; Usuários recorrentes identificados; etc. Voltar
KPMG Brasil Continuous Audit / Continuous Monitoring CA/CM Survey 2010 Highlights
Perfil Receita Operacional Bruta Não informado 5% Até 20 milhões 10% > 100 milhões e <= 500 milhões 18% > 500 milhões e <= 1 bilhão 3% > 1 bilhão 64%
Quase metade ainda espera estar na fase de entendimento da proposta de valor da AC em 24 meses Não informado 3% Projeto piloto já iniciado 15% Projeto já implantado há um ou mais anos 26% Conduzido pelo Dep. de Auditoria Interna 8% Compreendendo a proposição de valor 41% Business Case já finalizado. Aguardando inclusão no orçamento. Business Case e orçamento aprovados. Projeto piloto prestes a iniciar. 3% 5% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
A grande maioria já iniciou uma implementação da AC Não informado Outros 3% 3% Não considerou implementar a abordagem de AC/MC. 10% Já considerou, porém não iniciou nenhuma fase 26% Conduzido pelo Dep. de Auditoria Interna Compreende a proposição de valor da abordagem AC/MC Business Case já finalizado. Aguardando inclusão no orçamento. 5% 8% 13% Projeto piloto já iniciado 23% Projeto já implantado há um ou mais anos 10% 0% 5% 10% 15% 20% 25% 30%
Os objetivos foram atingidos? Não informado 3% Objetivos plenamente atingidos 8% Objetivos parcialmente atingidos 18% Objetivos não atingidos 21% Ainda não houve tempo para avaliação e julgamento 51% 0% 10% 20% 30% 40% 50% 60%
Redução de despesa posicionada como o impulsionador mais importante para a AC Não informado 3% Outros 8% Upgrade de sistema 3% Terceirização / Offshoring Integração de empresas pós fusões e aquisições 5% 5% Implementação de SAP / outro ERP 15% Ambientes descentralizados 28% Ambiente em constante transformação/mudança 21% Ambiente altamente regulado 13% 0% 5% 10% 15% 20% 25% 30%
A falta de recursos internos e ferramentas tecnológicas apropriadas continuam sendo as maiores barreiras para a implementação da AC Não informado 3% Outros Suporte interno de tecnologia inadequado 8% 8% Diferentes e diversas plataformas e aplicativos 15% Cultura corporativa 10% Configuração atual dos processos de negócios 8% Ausência de suporte e patrocínio da liderança 13% Ausência de recursos internos para implementação 10% Ausência de habilidade técnica em análise de dados 5% Ausência de ferramentas e tecnologias apropriadas 21% 0% 5% 10% 15% 20% 25%
Muitos continuam afirmando que a Detecção/Prevenção de Fraudes poderiam se beneficiar significativamente com a integração do processo de AC Conformidade com políticas e procedimentos 18% Conformidade com marcos regulatórios 12% Melhoria do suporte de TI aos processos de negócio da empresa 7% Implementação / desenvolvimento de sistemas de TI 5% Gerenciamento de risco empresarial 18% Detecção e prevenção de fraudes 28% Conformidade SOx 12% 0% 5% 10% 15% 20% 25% 30%
André Rangel (21) 3515-9498 asilveira@kpmg.com.br www.kpmg.com.br