Auditoria Contínua Uma visão do IIA Global Oswaldo Basile, CIA, CCSA, QAR. CEO Trusty Consultores Presidente IIA Brasil
Normas Internacionais para a Prática Profissional - NIPP Elementos - NIPP Definição Código de Ética Normas Internacionais Orientações Prática Declarações de Posicionamento Guias Prática
IIA Global GTAG - Guias Práticas 13 Guias de Auditoria de Tecnologia Global Guias para avaliação de riscos de TI (GAIT, em inglês) São emitidas guias adicionais regularmente
GTAG Auditoria Contínua
Auditoria Interna - Desafios Opinião sobre Controles Internos Compliance Regulatório Valor da Auditoria Interna e Independência Disponibilidade de recursos qualificados Tecnologia de ponta Detecção de fraude Outros
Auditoria Contínua É qualquer método usado por auditores para realizar trabalhos auditoria em bases contínuas. Tecnologia da informação é fundamental para identificação de anomalias, exceções, análises de padrões, tendências, etc. Engloba atividades de: Avaliação contínua de controles, até Avaliação contínua de riscos
Avaliação Contínua de Controles Atividades usadas pelos auditores para avaliação contínua de controles internos Através desta avaliação os auditores fornecem a garantia ao comitê de auditoria e a alta administração de que os controles estão funcionando adequadamente Transações individuais monitoradas a partir de controles implementados A extensão da ACC pelos auditores depende do grau que a gerência realiza Monitoramento continuo
Avaliação Contínua de Riscos Atividades usadas pelos auditores para identificar e avaliar os níveis de riscos ACR identifica e avalia riscos examinando tendências e fazendo comparações entre sistemas / processos ao longo do tempo ou com outros processos na organização (ex: comparação anual de performance de uma linha de produtos, ou com a mesma linha de outra planta) Fornecem early warning sobre riscos em processos ou sistemas
Avaliação Contínua de Riscos ACR pode ser usada com um maior escopo para definição de localidades, fábricas, plantas a serem visitadas e processos que devem ser incluídos no Plano Anual Pode ser usada também para iniciar imediatamente um trabalho de auditoria, quando os riscos aumentam significativamente É útil para avaliar se a administração está implementando os planos de ação dos relatórios, reduzindo os níveis de exposição a risco
Monitoramento Contínuo É um processo utilizado pela administração para assegurar que as políticas, procedimentos e processos de negócio estão operando de maneira eficiente A administração deve identificar pontos críticos de controle e implementar testes automatizados para determinar se estes controles estão funcionando adequadamente
Monitoramento Contínuo Pode ser executado diariamente, semanalmente ou mensalmente, dependendo da natureza do controle Identificação de alertas ou exceções de controle (KPI) e informação imediata a administração É responsabilidade da administração agir no caso de alertas e remediar as deficiências de controle e corrigir transações com defeitos
Sequência contínua de Auditoria Contínua Ajuda os auditores a identificar e avaliar riscos, assim como estabelecer um sistema inteligente e dinâmico para respondes as mudanças da organização Suporta o processo de identificação e avaliação de riscos para todo o Universo Auditável, contribuindo para a definição do Plano Anual de Trabalhos e objetivos de uma auditoria específica
Sequência contínua de Auditoria Contínua Foco baseado em controles e baseado em riscos
Conceitos importantes Relacionamento e diferenças entre: Avaliação contínua Monitoramento contínuo Auditoria contínua
Avaliação contínua Pode ser descrita como uma opinião de um terceiro sobre um processo, situação ou negócio Envolve normalmente 3 partes: A pessoa ou grupo que prepara a informação A pessoa ou grupo que usa a informação para tomada de decisão O objetivo do terceiro na avaliação É normalmente uma função da auditoria interna
Avaliação contínua Avaliação da auditoria é uma opinião quanto a adequação e efetividade de controles, sobre integridade da informação, etc. A auditoria fornece serviços de avaliação realizando exames objetivos de evidências para fornecer uma opinião independente sobre processos de gerenciamento de riscos, de governança corporativa e controles internos
Monitoramento contínuo Refere-se ao processo utilizado pela Administração para assegurar que políticas, procedimentos, e processos de negócio estão funcionando de maneira efetiva Muitas técnicas utilizadas pela Administração para monitor controles de forma contínua são similares as utilizadas por auditores internos em auditoria contínua
Monitoramento contínuo Os princípios de monitoramento contínuo incluem: Definição de atividades de controle de um processo Identificação dos objetivos de controle Estabelecimento de uma serie de estes automatizados que indicarão se uma transação específica parece ter falhado com relação ao objetivo de controle Teste de todas as transações no período em análise Investigação de toda transação que parece ter falhado no teste de controle Se apropriado correção da transação / falha controle
Monitoramento contínuo Ponto Chave no processo: O processo de monitoramento contínuo deve ser de propriedade e ser realizado pela Administração, como parte de sua responsabilidade por implementar e manter um efetivo sistema de controles internos. O gestor é o dono do controle.
Auditoria contínua Atuação da Administração Extenso Monitoramento de Controles Internos Esforço Reduzido Baixo Monitoramento de Controles Esforço significativo e maior necessidade de recursos Esforço Auditoria Relação inversa atividades Administração e Auditoria
Monitoramento Contínuo
Auditoria contínua Key steps Auditoria Contínua Objetivos Defina os objetivos da Auditoria Contínua Obtenha e mantenha apoio da Alta Administração Verifique o nível em que a administração está realizando monitoramento contínuo Identifique e priorize áreas e tipos de auditoria contínua a ser implementada
Auditoria contínua Key steps Auditoria Contínua Objetivos Identifique sistemas de informação chave e fonte de dados Entenda os processos de negócio e os sistemas de aplicação Desenvolva relacionamento com a Administração de TI
Auditoria contínua Key steps Acesso e uso das informações Selecione e tenha a sua disposição ferramentas de análise de dados Desenvolva capacidade de acesso e análise dos dados Desenvolva e mantenha na equipe, habilidades de análise e técnicas de TI Avalie integridade e confiabilidade das informações Analise, limpe e prepare as infomrações
Auditoria contínua Key steps Avaliação contínua de controles Identifique pontos críticos de controle Defina regras de controle Defina exceções Desenhe uma abordagem e utilize ferramentas para testar controles e identificar deficiências
Auditoria contínua Key steps Avaliação contínua de riscos Defina as entidades a serem avaliadas Identifique categorias de riscos Identifique KPI e indicadores Desenhe testes analíticos para medir aumento do nível de risco
Auditoria contínua Key steps Informe e gerencie resultados Priorize os resultados e determine a freqüência das atividades de Auditoria Contínua Realize os testes de maneira regular e tempestiva Identifique deficiências de controle ou aumento em níveis de risco Priorize resultados Desenvolva planos de ação e report de resultados
Auditoria contínua Key steps Informe e gerencie resultados Gerencie resultados acompanhamento, report, monitoramento e follow up Avalie resultados da ações tomadas Monitore e avalie a efetividade do processo de auditoria contínua, tanto as análises quanto os resultados Avalie a segurança do processo de auditoria contínua e o relacionamento com outras iniciativas da administração
Perguntas & Respostas Oswaldo Basile, CIA, CCSA, QAR. +55 11 9283 1412 +55 11 5523 1919 Oswaldo.basile@audibra.org.br Oswaldo.basile@trusty.com.br