Monitoramento Contínuo e Auditoria Contínua: Uma Perspectiva Prática
Perfil Caseware Fornecedor líder no setor de softwares para análise de dados, auditoria contínua e monitoramento contínuo. A Caseware Inc. é uma empresa com sede no Canadá e unidades nos EUA, América Latina, Europa e China Mais de 40 parceiros distribuidores que atendem 90 países com tradução para 16 idiomas 2 distribuidores no Brasil;
GTAGs - Guias de Prática Guias de Auditoria de Tecnologia em questões relacionadas à gestão de TI, controle e segurança GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring and Risk Assessment GTAG 16: Data Analysis Technologies
Effectiveness of Controls Auditoria Periódicas Audit 1 Audit 2 Audit 3 Real Esperada Efectividad Time Source: Continuous Auditing From a Practical Perspective, Kevin Handscombe 4
Effectiveness of Controls Auditoria Contínua CA CA CA CA CA CA CA CA CA CA CA CA Real Esperada Efectividad Time Source: Continuous Auditing From a Practical Perspective, Kevin Handscombe 5
Terminologia Auditoria Contínua Monitoramento Contínuo Data Analytics
Auditoria Contínua Utiliza-se tecnologia da informação, para automatizar o trabalho convencional de auditoria tornando mais abrangente e tempestivo. Efetuamos testes de controles automaticamente em bases de dados contínuas, de forma a identificar exceções e anomalias, tendências e indicadores de riscos Auditoria contínua é uma das ferramentas da auditoria interna. Fonte: IIA / AICPA / CICA
Auditoria Contínua Tipo de auditoria que produz resultados simultaneamente ou em um pequeno período de tempo após a ocorrência de um evento relevante Fonte: Prof. Miklos Vasarhelyi (Rutgers University) A capacidade de realizar avaliações de controle e risco em tempo real, ou o mais próximo do tempo real quanto possível.. Fonte: IIA / AICPA / CICA
Monitoramento Contínuo 2009 COSO Guidance - effective controls systems must include monitoring.
Monitoramento Contínuo Fazer auditoria contínua como parte do processo de core business da organização Obter maior apoio (buy-in) da alta administração Demonstrar que Controles economizam dinheiro e podem ser utilizados como indicadores do negócio O gestor é o dono do controle e o monitoramento contínuo é uma ferramenta da administração
Monitoramento Contínuo É um processo da Administração para assegurar que os processos e controles de negócio estão operando de modo eficiente. A administração deve identificar pontos críticos de controle e implementar testes automatizados para monitorar estes controles de modo contínuo É responsabilidade da administração agir nas deficiências de controle e corrigir transações com defeitos
Data Analytics Análise de dados é definida como o processo de inspeção, limpeza, transformação, e modelagem de dados com o objetivo de encontrar a informação útil, sugerindo conclusões, e apoiando a tomada de decisão. Análise de dados é um processo analítico pelo qual insights são extraídos de dados eletrônicos internos ou externos da organização. Estes insights podem ser históricos, em tempo real ou preditivos.
Automação Fonte: Adaptado Elder Aquino (7º CONTECSI)
Ferramentas Alto Otimizado Execução contínua de auditoria automatizada e testes de monitoramento com foco no negócio. Ferramentas estatísticas e integradas Repetitivo Análises e testes automatizados e reusáveis, com softwares de auditoria em ambiente centralizado. Os resultados são para avaliação de risco em todo o processo de auditoria Baixo Ad hoc Análises de dados pontuais sobre certas auditorias. Uso de planilhas ou ferramentas em ambiente local ou desktop.
Arquitetura DATA ANALYTICS
Exemplo Risco: Faturas podem não ser válidas e / ou devidamente autorizada Atividade de controle: Conferencia de faturas para a entrada de mercadorias Método: parcialmente automatizado Tipo: Preventivo Freqüência: Recorrente Componente de COSO: Atividades de Controle
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada Risco
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Risco Controle
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada Risco Para diferenças abaixo do limite uma prova de reconciliação manual e criada pelo funcionário de contas a pagar e aprovado e publicado pelo seu Supervisor para a conta de ajuste no sistema. Controle
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada As diferenças acima do limite são colocados em espera e investigadas pelo gerente da área e o funcionário de contas a pagar Risco Controle
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Risco Controle
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Obter uma lista de todas as faturas para o período de teste selecionado. Risco Controle Passos
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Obter o formulário de entrada de mercadorias e re-executar a reconciliação Risco Controle Passos
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Verificar que uma folha de prova reconciliação manual é criada pelo funcionário de contas a pagar Risco Controle Passos
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Verificar que a folha de prova da reconciliação manual é aprovada pelo Supervisor de contas a pagar Risco Controle Passos
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Obter do sistema uma cópia impressa de todos ajustes e verificar a que a diferença foi postada pelo Supervisor Risco Controle Passos
Risco, controle e Passos de auditoria Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Verificar que todas as diferenças que se enquadram acima do limite são investigados pela gerencia da área e o funcionário de contas a pagar Risco Controle Passos
O componente análise de dados Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Extrai todas as novas faturas do sistema Compare entradas no sistema com Mercadorias Recebidas Risco Controle Passos
O componente análise de dados Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Reconcilie as diferenças abaixo do limite para a conta de ajuste Atribui quaisquer exceções ao gerente da area envolvida. Risco Controle Passos
O componente de data analytics Faturas podem não ser válidas e / ou devidamente autorizada O funcionário de contas a pagar checa o formulario de entrada de mercadorias com a fatura no sistema e permite uma diferença máxima de 0,5%. Atribui qualquer variação acima do limite para o Gerente da Area. Risco Controle Passos
Propriedade dos testes automatizados Frequência: Diariamente Detecção: Qualquer não cumprimento acima e abaixo do limite Atribuição: Gerenciamento da area Prazo: Resolver no mesmo dia Evidência: Due diligence realizada para aquelas acima do limite e quaisquer outras exceções detectadas Valor: Certifique-se que a eficácia de controle é mantida em alto nível
Benefícios Independência Eficiência e eficácia Menos dependência da gestão Podem ser integrados nas operações Solução de TI compreensiva Colaboração
Desafios Mesmo com denominações diversas, o monitoramento contínuo controles está surgindo como um conjunto de recursos que proporciona retorno tangível e rápido. Condições macroeconômicas irão acelerar a adoção de soluções de Auditoria Contínua e Monitoramento Contínuo, com o aumento da regulação, orçamentos mais apertados, e staff reduzido, priorizando um foco sobre a eficiência.
Desafios Os gestores estão amadurecendo e permitindo que o negócio gerencie os controles com a supervisão da auditoria. Controles manuais ainda são um problema, mas são gerenciáveis se olharmos a partir da perspectiva dos processos de negócios. Cada vez mais, as empresas querem descobrir a origem dos controles manuais e automatizá-las.
Marcello Siqueira marcello@vixteam.com.br (11) 3280-0309 (27) 9962-1305 Vixteam Consultoria Ronny Miranda ronny.miranda@caseware.com +506 4000-0900 +506 6050-4002 CaseWare RCM Inc.