Indicadores para Auditoria Contínua Ronaldo Fragoso Sócio. Deloitte.
Agenda Objetivo da auditoria contínua Contexto e evolução da auditoria interna Tendências em auditoria contínua Implementação metodologia e ferramentas (case) Metodologia na definição de KRIs Principais benefícios da auditoria contínua
Impacto no Valor Objetivo da Auditoria Contínua Assegurar a capacidade de resposta Alto Segurança quanto ao nível de preparo Aprimorar mitigação do risco P R Prevenir Detectar Corrigir Explorar M IC Realocar recursos Medição do Impacto cumulativo Baixo Vulnerabilidade Alto
Outros Contexto e evolução da Auditoria Interna Evolução sobre conceitos de Auditoria Interna Manutenção da independência Gestão de Riscos Conhecimento do risco Governança Estrutura de Comitês Stakeholders Aumento da eficiência Pressão por demonstrar valor agregado Expectativa de detecção de fraude e oportunidades de redução de custos Economia globalizada Aderência regulatória SOX Chief Executive Auditors Redução de Custos IFRS Fatores de Negócio Automatização de processos Aumento da complexidade das operações Regulamentação
Grau de informatização e integração dos processos e negócios Evolução do enfoque de Auditoria Interna Grau de automação dos processos e controles vs. enfoque da auditoria AI com foco em risco Ausência de foco em risco Análises em base amostral Ausência de mensuração de volumes financeiros Foco em risco Poucos testes substantivos Mensuração financeira parcial de riscos residuais Ausência de tempestividade na revisão do processo FUP de 1 a 2 anos. Implementações e correções de longo prazo Tempo - enfoque da Auditoria Interna Testes Substantivos Mensuração financeira total dos principais riscos residuais Monitoramento por indicadores de risco Realização direcionada dos trabalhos, conforme a redução ou aumento dos níveis de risco residual
Auditoria Contínua vs. COSO Enterprise Risk Management Auditoria deve focar: Nos objetivos corporativos. Nas estratégias da companhia. No gerenciamento dos riscos, dos processos de negócio e atividades de controle críticas. AI Contínua: Melhorar a eficiência das operações na organização, identificando e avaliando riscos de maneira tempestiva e provendo rapidamente informações críticas a Alta Administração para uma melhor tomada de decisão.
Auditoria Contínua vs. COSO Enterprise Risk Management Como AI Contínua auxilia a auditoria a focar todos os componentes do COSO Garantir a acuracidade da informação Comunicação tempestiva dos problemas e preocupações COSO Enterprise Risk Management Framework Analisando e avaliando os riscos Determinando como o risco deve ser gerenciado. Provendo avaliação independente quanto as atividades de monitoramento realizadas pelas áreas/gerencias responsáveis
Auditoria Contínua vs. Auditoria Tradicional Avaliação de riscos e controles de forma contínua e automatizada. Cobertura de 100% das operações. Priorização ocorre em real-time com base nos indicadores calculados. Utilização de dados/informações correntes para identificação das necessidades de auditoria. Auditoria Contínua Auditoria Tradicional Testes cíclicos bom base em dados históricos (muitas vezes ocorrendo meses após as atividades aconteceram). Bases amostrais para análise. Priorização ocorre semestralmente / anualmente, durante a elaboração do plano de Auditoria. Enfoque voltado para revisão de documentação.
Tendências em Auditoria Contínua Aperfeiçoamento contínuo dos indicadores, considerando inclusive a correlação entre eventos de risco. Aumento de investimentos em tecnologia para extração e análise de dados. O processo de Auditoria Contínua passará a ter maior destaque na estrutura de Governança das organizações. Maior demanda por profissionais com habilidades em estatística e análise de dados.
Sistemas Corporativos e Processos Atividades, Transações e Eventos Integração Integração Resultados da Auditoria Monitoramento Contínuo Integração com Informações Gerenciais Gestores Auditoria Acompanhamento Gerencial Testes de Auditoria Auditoria Contínua Indicadores (KPI s e KRI s)
Business Intelligence vs. Risk Intelligence Ferramentas Business Intelligence Balance Scorecard (KPIs) Risk Intelligence Controls Continuous Monitoring Continuous Audit (KRIs) Drivers Performance Orçamento / Budget Indicadores Financeiros Foco no Passado Variações, desvios, concentrações Nível de exposição aos riscos (Apetite) Exceções ( non-compliance ) Associados a riscos operacionais Foco nas exceções futuras Objetivos Acompanhar as metas do negócio Identificar erros, falhas e contingências Monitorar a exposição a riscos acima do tolerável
Limite de tolerância à Riscos Priorização Definição da abordagem Definição de Indicadores Reporte dos Resultados das Análises Alta Administração e Comitês Estruturação Rating Riscos Controles Indicadores Programa de trabalho Execução Relatórios de Auditoria Cálculo dos indicadores Auditoria de processos com foco em riscos Auditoria de conformidade Apuração Transacional Ocorrências Qualidade Resultados de Auditorias Conformidade com as normas Tratamento de exceções Resultado das operações (gerencial e contábil) Disponibilidade e Perfis de Acesso Denúncias referente a Funcionários Perdas Efetivas SLA`s Desvios Ajustes e Estornos Reprocessamento de Operações Apontamentos de trabalhos de AI com foco em Riscos Riscos críticos em relevância e vulnerabilidade
Desafios para implementação da Auditoria Contínua 1. Definição dos KRIs: Definir quais são os principais indicadores e agentes 2. Coleta de Informações: Diversidade dos bancos de dados 3. Integração: Sistemas e aplicações Diversificadas nas localidades Sistema Sistema 1 2 Sistema 3 Sistema 4 Querys Querys ` Exceções Exceções Exceções Exceções 4. Processamento e Performance: Alto custo no desenvolvimento 5. Análise dos Resultados: Grande volume de análise para classificar as exceções 6. Automação: Falta de integração ou limitação das ferramentas
Implementação Metodologia e Ferramentas (Case) 1 Definindo os KRIs 2. Mapeamento dos BDs 3. Extração de dados 4. Cálculo dos Indicadores e Repositório de Dados 5. Dashboard - Priorização dos resultados Análise Geral de Riscos Revisões de Processo Foco em Riscos e Controles Sistema 1 Sistema 3 Sistema 2 Sistema 4 Extrator de dados Software Data Mining / BI Histórico de irregularidades Avaliar o nível de Automação dos Processos Definir os KRIs e os Agentes que o afetam Sistema 5 Sistema 8 Sistema 6 Sistema 7 Repositório único de dados
Implementação Metodologia e Ferramentas (Case) 1 Definindo os KRIs - Base de conhecimento Deloitte 2. Mapeamento dos BDs 3. Extração de dados 4. Cálculo dos Indicadores e repositório de dados 5. Dashboard - Priorização dos resultados Analisar os trabalhos realizados pela AI Classificar e priorizar os principais riscos Avaliar o nível de automação Definir os KRIs. Validar com os gestores os KRIs. Mapear processos, sistemas e Bancos de Dados Mapear informações necessárias para cálculo Descartar os indicadores com informações indisponíveis Definir modelo de extração de dados Criar as Querys requeridas Programar a tempestividade da extração das informações Criar ou alterar os scrpits já pré-definidos Acompanhar a execução do cálculo Validar o cálculo com as áreas Realizar ajustes necessários Programar a periodicidade do cálculo Configurar os critérios de visualização Cadastrar os KRIs no Dashboard Testar a navegação e visualização Disponibilizar aos gestores
RISCOS CORPORATIVOS Auditoria Interna com foco na Inteligência em Gestão de Riscos VALOR AOS ACIONISTAS Aumento da receita Otimização dos custos operacionais Eficiência dos Ativos Atendimento das Expectativas Estratégicos Operacionais Financeiros Regulamentares 6 7 Monitor, Assure & Escalate Monitorar Definir e Testar Controles Design & Test Controls Melhoria Contínua e Sustentável Sustain & Continuously Improve Risk Intelligence INTELIGÊNCIA To Create & Preserve EM RISCOS Value 5 Responder aos to Risks Riscos 4 1 Desenvolver Develop and e Deploy Preparar Strategies Estratégias Assess and Measure Risks 2 Identificar Identify Riscos Risks 3 Avaliar e Medir Riscos Processos de Governança Corporativa Processos Operacionais Processos de Apoio PROCESSOS DE NEGÓCIO CONTROLE E GERENCIAMENTO Auditoria Interna e Gestão de Riscos
Processos de Apoio Processos Operacionais Governança Corporativa Dicionário de Riscos e Value Link TM VALOR AOS ACIONISTAS PROCESSOS DE NEGÓCIO Ambiente Interno e Definição de Objetivos RISCOS CORPORATIVOS Criação e Preservação de Valor Gestão de Riscos Informação e Comunicação Monitoramento Vantagem Competitiva Aumento da Receita Otimização dos Custos Operacionais Compras e Desembolsos Planejamento Estratégico e Marketing Estoques Logística Receitas Recursos Humanos/ Folha de Pagamento Tecnologia da Informação Fechamento Contábil e Divulgação ao Mercado Estratégicos Operacionais Eficiência dos Ativos Informações Gerenciais e Financeiras Tesouraria (Captações, Fluxo de Caixa e Aplicações) Fiscal Financeiros Jurídico e Legal Atendimento das Expectativas Ativo Imobilizado Gestão de Projetos e Análise de Investimentos Meio Ambiente, Saúde e Segurança Regulamentares Identificação das Necessidades Seleção, Homologação e Cadastro de Fornecedores Negociação e Efetivação das Compras Gestão de Contratos Recebimento de Materiais e Serviços Administração do Contas a Pagar Informações Contábeis e Gerenciais Aspectos Gerais
Dicionário de Riscos e Value Link TM Identificação das Necessidades Seleção, Homologação e Cadastro de Fornecedores Negociação e Efetivação das Compras Gestão de Contratos Recebimento de Materiais e Serviços Administração do Contas a Pagar Informações Contábeis e Gerenciais Aspectos Gerais Riscos Específicos do Processo Pagamento de títulos em atraso, incorrendo em juros e multas. Pagamento Indevidos e/ou não autorizados. Multas ou sanções fiscais pelo não recolhimento ou créditos indevidos de tributos. Pagamentos efetuados por materiais não recebidos. VALOR AOS ACIONISTAS RISCOS CORPORATIVOS Aumentoa de Receita Risco Operacional Conduta Antiética/Fraude Governança Estratégicos Otimização dos Custos Operacionais Efeciência dos Ativos Recebimentos e Pagamentos Estoques Aderência as Regras Modelo de Negócio Operacionais Financeiros Atendimento das Expectativas Propriedades, Plantas e Equipamentos Integridade Político e Econômico Regulamentares
Dicionário de Riscos e Value Link TM Riscos Específicos do Processo Pagamento de títulos em atraso, incorrendo em juros e multas. Pagamentos indevidos e/ou não autorizados. Multas ou sanções fiscais pelo não recolhimento ou créditos indevidos de tributos. Pagamentos efetuados por materiais não recebidos. Exemplos de KRIs Relacionado ao Risco Específico Adiantamentos a fornecedores abertos a longa data. Pagamento de NFs a fornecedores que possuem adiantamentos em aberto. Quebra de alçadas na aprovação de pedidos de compras.
Indicador de pagamento a fornecedor com adiantamento em aberto Processo Objetivo Riscos Risco Associados Compras e Desembolso Identificar pagamentos efetuados para fornecedores com adiantamentos em abertos Descrição R1 Recursos necessários Obter a composição analítica da Conta Adiantamento a Fornecedor e verificar se existem adiantamentos antigos em aberto (pendentes há mais de 1 mês, sem correspondente entrega do material ou prestação dos serviço ou fora do prazo de liquidação). Adicionalmente, para fortalecer a exceção, verifique se houve pagamentos integrais para fornecedores com adiantamentos antigos em aberto. Composição analítica da Conta Adiantamento. Arquivo de contas a pagar. Arquivo de adiantamentos em aberto Demonstrações Financeiras Verificar a representatividade do saldo das contas de adiantamento. Resultados Total de adiantamentos (recursos da Companhia) em poder de terceiros a longo período.
Indicador de pagamento a fornecedor com adiantamento em aberto Fórmula Soma(Data do adiantamento em aberto > 1 mês, Valor adiantamento) Soma(Adiantamento) Resultado Total de adiantamentos (recursos da Companhia) em poder de terceiros a longo período. Meta estipulada Adiantamentos em aberto possuem correspondente entrega do material ou prestação dos serviço dentro do prazo de um mês Data do adiantamento em aberto maior do que o período de um mês Níveis de aceitação Data do adiantamento em aberto maior do que o período de 20 dias até o período de um mês Adiantamento em aberto a menos de 20 dias
Pagamento ao fornecedor adiantamento em aberto
Pagamento em duplicidade
Principais benefícios da Auditoria Contínua Detecção de potenciais situações de fraude ou perdas financeiras. Demonstração tempestiva da evolução dos riscos para a Alta Administração. Melhoria da eficiência dos processos. Estabelecimento de benchmarking, avaliando o desempenho entre localidades e Unidades de Negócios. Principais Benefícios Acompanhamento de falhas recorrentes e estabelecimento de ações corretivas. Procedimento para validação de um processo de Control Self-Assessment. Otimização dos recursos de AI e direcionamento adequado dos trabalhos. Auxílio no processo de follow-up das recomendações da Auditoria Interna.
Considerações finais www.deloitte.com Ronaldo Fragoso rfragoso@deloitte.com (021) 3981-0521