Continuous Controls Monitoring (CCM)

Apresentação em tema: "Continuous Controls Monitoring (CCM)"— Transcrição da apresentação:

1 Continuous Controls Monitoring (CCM)
Novembro, 2005 Juan I Giulianelli Consulting Manager Tech Supply – São Paulo

2 Controles e Compliance 101…

3 É muito Simples…                                                                      Ex-WorldCom CEO Bernard Ebbers é sentenciado a 25 anos de prisão por não cumprir essas Artigo de Chernoff reports. (July 13)

4 O que são Controles Internos?
Um processo desenhado para assegurar os objetivos: Eficiência e Efetividade das Operações; Relatórios Financeiros Reais; Compliance com os Regulamentos Internos e Externos;

5 Status dos Controles Internos

6 O que é Compliance? O processo de Monitoramento de Aderência ao Compliance e identificação de Exceções provêem resultados na performance do Negócio Regulamentos Externos Políticas Corporativas, Procedimentos & Melhores Práticas

7 Quem é responsável pelo Compliance?
CEO Legal exposure and consequences of non-compliance Financial market consequences of non-compliance or presence of material weaknesses Compliance & Auditing internal & external cost Responsabilidade de Auditoria Assegurar o Gerenciamento Responsabilidades Gerenciais Implementar e manter controles efetivos Monitoramento Contínuo Gerenciamento Contínuo da infraestrutura Infra-Estrutura de Controles CFO Quarterly & Annual signoff on corporate financial statements Internal Control Frameworks needed On compliance monitoring Effective external Auditor interaction CIO Responsible for delivering the financial application services & infrastructure availability CFO & CEO need CIO assurances for IT Control sign-off Chief Compliance Officer Gerenciamento: A Gerência Revisor dos planos: Auditor Business Unit Managers Business Unit Managers Business Unit Managers Business Unit Managers

8 Desafios do Compliance
Compliance Externo é uma Lei, Compliance Interno é uma normativa que deve ser cumprida Não é uma opção e não será eterno; Não é uma atividade típica das Organizações Contratação de pessoal para cobrir as atividades Não - Compliance ocasiona sérias consequências: 15-20% das companhias tem ou terão sérias deficiências 5-10% das companhias tem ou terão perdas (Research 2004)

9 Recuperação de Fraudes Poupar Dinheiro
Benefícios no uso de Monitoramento Continuo Level of Controls $ Optimal Balance of Controls Cost to Company Resulting from Poor Controls Costs of Implementing and Maintaining Controls Recuperação de Perdas Recuperação de Fraudes Poupar Dinheiro Financial Impact

10 Desafios do Compliance
Mundialmente o investimento é alto AMR Research estima que as companhias ainda irão investir $5.8 billion em SOX compliance entre 2005 e 2006. A Média para o 1o ano de custo é estimada em $3-3.2 milhões por $1 billion em vendas (A.R.C. Morgan Research) Em média as companhias gastam $2 milhões em recursos externos para a seção 404 da SOX Esse Paradigma não e Sustentável

11 Fraudes e Perdas Fraude no Brasil 69 % das organizações sofrem Fraudes
Controles Internos Efetivos são a principal forma de detecção 48% da Diretoria tem mínimo ou nenhum conhecimento sobre Fraudes 58% das Fraudes tem como origem os próprios funcionários da Organização

12 Formas de Constatação de Fraudes
Mais da metade das empresas descobriu fraudes por meio de seus Controles Internos Como a Fraude e Descoberta Como a Fraude e mitigada

13 Os Clientes querem Saber
Os clientes consultam sob o Compliance Externo: Como tornar efetivos os custos e os esforços com controles? Como saber se existem pontos fracos de controle? Como quantificar esses pontos? Como posso melhorar meus controles? Como obter resultados sobre a eficiência dos controles? Gartner conference referred to average company having 35 different systems in place

14 “Onde e o que fazer para melhorar meus controles ?”

15 O mercado para ACL – Tech Supply
Dois mercados, grande superposição Auditoria Compliance Auditores Externos Big 4 Pequenas - Medias empresas de Auditoria Governo Auditores Internos, Controllers Finance, Compliance & Organizacoes de Auditoria Maturidade, Mercado bem definido Mercado emergente, Pesquisa de estrutura

16 O Ambiente do Compliance
Ambiente de Compliance – Leis e Regulamentos Sarbanes-Oxley  Basiléia 2  HIPAA  Gramm-Leach-Bliley  FISM  EU Data Protection Directive Segurança e infra-estrutura de Controles Processos e Documentação de Controles Monitoramento de Transações Ferramentas de Auditoria Segurança e Acesso Permissões dos usuários Gerência de Mudanças Segregação de Tarefas Registro & Documentação Processo de Negócio / workflow Monitoramento Contínuo Garantia de Análise de Negócios Acessos aos Dados & Navegação Logs de Auditoria Análises Diferentes Tecnologias, Foco em diferentes partes do Negócio, Testes complexos, Verificar e Destacar exceções das normativas & melhores práticas de Compliance

17 O Ambiente do Compliance
Foco Organizacional IT IT Finance Finance Segurança & Infra Estrutura de Controles Processos & Documentação de Controles Monitoramento de Transações Ferramentas de Auditoria Moderado, Limitada qualificação do ROI Significativo, ROI quantificável Rapidez & resultado no ROI

18 Compliance no Sistema Organizacional
Tools  Enterprise Reporting  CPM  Dashboards  Scorecards Business Intelligence Compliance Management Compliance Seguança & Infra-Estrutura de Controles Processos & Documentação de Controles Monitoramento de Transações Ferramentas de Auditoria ERP CRM SFA SCM E-Business Legacy / Other Aplicações de Negócios Firewalls  Anti-virus  Network Monitoring  Access  User Rights Segurança & Infra Estrutura Web   Network  Back-up/Recovery  Middleware Dados Aplicações estabelecidas de negócio Aplicações Emergentes de Negócios

19 ACL Tecnologia para Compliance
CCM Garantir o compliance. Tecnologia automatizada para determinar a presença e eficiência dos controles Foco em processos financeiros críticos: Contas a Pagar, Ordem de Pedidos, Folha de Pagamento, Entretenimento e Viagens, Cartões de Credito, Contabilidade Geral, Inventario, Tesouraria, Ativos fixos COSO, SOX compliance Proposta de Valor Permite a rápida detecção e entendimento dos controles, para assegurar o compliance e prevenir perdas

20 CCM Contas a Pagar Quem são os Usuários? Quais são os benefícios?
Profissionais de Compliance (CCO, Diretores, VP e Gerentes de Controles), Gerentes Financeiros (CFOs, CEOs, Controller, VP Finance, VP Risk Management), Gerentes de Negocio, C.A.O. (Chief Audit Executives/Management) Quais são os benefícios? CCM reduz o custo do compliance testando os controles através de uma análise independente das transações de negócio; CCM gera confiança nos controles, eficácia e provê a auditoria de provas documentais dos indícios. Visibilidade no retorno do investimento em compliance pela eficiência operacional, detecção de indícios de fraudes e não permitir pagamentos duplicados. This is an important slide as it has the 3 key value propositions for CCM. Note how compliance is one of the 3. The other 2 have to do with being a better running organization. Good governance is good business.

21 CCM objetivos Os principais objetivos do CCM são:
Monitoramento independente de transações e contínua validação dos parâmetros de controles e regras de negócio para identificar problemas de controle. Rápida identificação e controle da exposição aos riscos de áreas fundamentais e com exigências regulatórias Permite a nossos clientes desenvolver processos de Negócio de uma maneira oportuna SOX compliance através de validações independentes de eficiência de controles usando COSO - framework CCM provides critical insight. Built on ACL technology, CCM solutions extend best practices in controls compliance and transactional analysis into core business process. CCM solutions identify errors, fraud, and inefficiencies, by independently checking and validating transactions against specified control parameters and business rules. <<click to next slide>>

22 CCM & COSO Framework

23 CCM & COSO Framework Our CCM analytics have been developed in accordance with the key control objectives within COSO. Monitoring across the key business processes, CCM monitors transactions for Authorization, Accuracy, Completeness, Validity, Efficiency and Effectiveness, Segregation of Duties and Regulatory Compliance. Within the Monitoring layer – COSO recommends organizations ensure that monitoring activities be embedded, or built into normal, recurring operating activities. And, CCM provides independent, enterprise-wide, automated controls testing, of core processes specially designed to meet COSO’s recommendations <<click to next slide>>

24 Contas a Pagar Payments Requisitions Purchasing Receiving Payables
General Ledger Accounts Payable Inventory Management Payroll Other Enterprise Business Processes Accounts Receivable Enterprise Business Processes General Ledger Accounts Payable Inventory Management Payroll Other Accounts Receivable Payments Sub Processes Requisitions Purchasing Receiving Payables A C L C C M S O L U T I O N S Payments Sub Processes Requisitions Purchasing Payables Control Objectives Completeness Validity Accuracy Authorization Segregation of Duties Regulatory Efficiency & Effectiveness Control Objectives Accuracy Authorization Segregation of Duties Regulatory Validity So lets see what Continuous Controls Monitoring would look like within a typical business unit of an organization. The approach that ACL took in defining our CCM framework closely resembles the approach that many organizations have had to take in planning their SOX 404 compliance. What you see on the screen are examples of common enterprise business processes – General Ledger, Payables, Receivables, Inventory Management, Payroll, and so on. <<CLICK>> For each business process – there are typically 5-7 related sub-processes – so let’s see how this breaks down in an Accounts Payable context. Within the ACL CCM framework, for each module, such as the Purchase-to-Payment Cycle, we’ve defined the major processes as you see laid out – Requisitions, Purchasing, Receiving, Payables, and Payments. For each process, there are multiple Control Objectives. So for exampl let’s look at the Payments area and some of the related control objectives there. Authorization and Validity are two applicable control objectives for the Payments process. Completeness and Accuracy are also valid objectives. For each Control Objective ACL has built automated, pre-defined analytics. For example, to satisfy the Authorization Controls objective, CCM analytics test for compliance with Approval Limits – ensuring that approvals for purchases fall within control parameters and that split payments are not being used to circumvent authorization limits. To test for Validity, CCM contains a range of analytics designed to uncover instances such as Payments to Phantom Vendors or Duplicate Payments This is just one thin slice of the compliance solution … Organizations need to repeat this type of controls testing… for every business unit, every process, every sub-process, every control objective, and every control <<next slide>> Analytics Analytics Examples Phantom Vendors Duplicate Payments Approval Limits Split Payments

25 CCM nas Organizações

26 Desafios em Compliance
Resultados rápidos e com boa freqüência Requerimentos de Compliance (SOX 404) Demandas de Negócio por Informação Oportuna Pressão para relatórios eficazes Desafios Parâmetro Redução de Tempo Responsabilidade da Gerência sobre os Controles Gerência é responsável por estabelecer e monitorar os controles Aplicação inteligente da tecnologia - cumprimento de Controles Compliance sustentável e necessário Eficiência Processos complexos de múltiplos sistemas Complexas operações de Negócios Aplicações dispersas & IT systems (múltiplos ERPs, Sistemas Legados) Dificuldade para supervisar transações de diferentes sistemas Visibilidade First let look at Timeliness. Audit is being asked to deliver its results faster than ever before, driven by ongoing compliance requirements as well as mounting business demands for timely information on the overall health of the business and its controls. <<CLICK>> Then, Efficiency. As Heriot described, Audit must “do more” – provide broader coverage and deeper analysis – particularly when Management is NOT conducting proactive continuous monitoring of controls. And the demand is for more frequent Audit assessments. Challenges here relate to the abilities of your audit software to efficiently repeat and automate critical testing – to scale, simplify and streamline – and to move these capabilities into the hands of more than a select few technical experts within the Audit team. With the diversity of systems and applications supporting complex business operations – ranging from multiple ERP environments to aging legacy systems – gaining visibility into business processes is challenging and cross-platform analysis is difficult at best. Frequently it involves reliance – or outright negotiation – with busy IT staff for data extracts – often waiting weeks to discover you didn’t get all the information required. With the volumes of data growing by as much as 30% per year, based on Gartner Group projections, without the right technology support, Audit face technical constraints on file sizes, rely on sampling rather than analysis of full data populations, and can be left with an incomplete picture of financial or operational errors and control weaknesses. Data accuracy can be compromised during extraction, integration, and replication. Without the ability to test and analyze transactions at the source level, independent of the systems actually processing the transactions, how can you provide reliable results of anomalies and control breaches for the organization to act on? Finally, security. Maintaining corporate data security is an imperative, so sensitive financial, operational, and employee information is protected from loss, alteration, or unauthorized access. <<CLICK to next slide>> Grande volume de dados a serem analisados Incompleta visão dos erros, controle de diferenças Volume Qualidade & Abrangência devem ser assegurados Integridade, duplicação, integração e conversão dos dados devem ser asseguradas Monitoramento Independente Exatidão

27 Requerimentos de Tecnologia
Acesso direito aos dados Teste automático de controles Relatório de Status dos controles Requerimentos de Tecnologia Parâmetro Redução de Tempo Desenvolvido para monitoramento das Operações Programa e monitora testes Relatórios sobre as áreas não-Compliance Eficiência Acessa e analisa os dados independentemente da origem dos mesmos Resultados salvos para evidência de compliance Relatórios sobre os processos de negócio com múltiplas aplicações Visibilidade Volume Não tem limite de dados para análise 100% cobertura Based on the previous discussion of the technology challenges and obstacles Audit faces, what constitutes a checklist of “must have” features for audit solutions? <<CLICK>> Clearly the technology must support direct data access – whether you’re conducting on-site or remote Audits – eliminating data extracts and IT involvement wherever possible in favor of leveraging the processing power of mainframes or servers. The software should be specifically designed for Audit testing and analysis. It should be capable of scaling to audit teams of all sizes and enabling efficient examination of end-to-end financial and operational processes. And it needs a simple, yet powerful means of repeating – and automating – critical testing activities. The technology should enable auditors to see and analyze data through a single user interface that gives immediate insight into diverse applications and processes across the organization – and into the integrity of the business transactions. The technology solution should support efficient, effective analysis of vast amounts of data – so total data populations can be examined to ensure all anomalies, errors, and exceptions are identified. The solution should be independent of the underlying business application systems, and support read-only operations on source data – to ensure data integrity is maintained. Finally, the audit technologies must co-exist within the organization’s existing IT infrastructure, respecting existing system security and access controls. <<CLICK to next slide>> Exatidão Independência dos sistemas Permissão de só leitura nos dados originais

28 ACL CCM Benéficos Parâmetro Benefícos da Solução ACL Redução de Tempo
Identificação dos problemas de Controles Resumo das áreas Não - Compliance Quantificação de exposição ao risco Eficiência Controles automáticos das áreas de negócio Drill down em transações especificas e de exceção Identifica problemas antes dos prejuízos Visibilidade Identifica erros, fraudes e ineficiências Cobre as principais áreas de Negócio Analisa dados de múltiplas aplicações e sistemas Maior possibilidade de compreensão dos dados Confiança em 100% das transações analisadas Volume By embedding ACL analytic technologies within the organization and shifting to implement a continuous auditing approach in high-risk areas, Audit can more effectively support both regulatory and business requirements. <<CLICK>> The benefits? With powerful ACL technology, time for audit reviews can be reduced, with results available immediately for notification to audit, compliance, and financial management. Audit can broaden and deepen its coverage, as a consequence of the time savings and efficiency gains. Audit management can determine the appropriate mix of ad hoc, repeated, and continuous auditing techniques – matched to the risk profile of the business activities – and implement all three approaches through the same ACL family of analytics technology. ACL software products provide a single-point of view into data across the enterprise. This enables auditors to gain visibility and insight into the “health” or integrity of financial and operational controls, provides assurance that Audit is seeing the full picture – and the common desktop interface simplifies staff training and the extension of analytic capabilities to all members of the audit team. With the ability to efficiently analyze 100% of data, audit’s – and the organization’s – confidence in the findings increases. With suspicious transactions and control weaknesses identified sooner, corrective action can be taken before problems escalate and become material from a financial or compliance perspective. ACL solutions preserve data integrity, and maintain a full audit trail for proof or attestation of comprehensive testing of the effectiveness of internal controls – a key requirement of SOX 404. And ACL technology adheres to existing system security protocols to ensure confidentiality of sensitive information is maintained. <<CLICK to next slide>> Ferramenta independente de revisão de Transações Segurança dos controles do 100% das transações Exatidão

29 Demonstração da Solução

30 Perguntas ?