Os Novos Desafios da Auditoria e Monitoração Contínua Michael Alles Miklos A. Vasarhelyi Rutgers Business School
Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Índice Introdução Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Conclusões
Introdução Eletronização Auditoria Contínua Pagamentos, recebimentos, investimentos, tesouraria, etc. Dell, Federal Express, American Airlines, etc. Auditoria Contínua É a eletronização dos processos de aferição “à la auditoria”. Verificação de dados rapidamente Transmissão de dados em tempo real Minimização de erros Aferição e confiabilidade de processos chave
Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Índice Introdução Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Conclusões
Latências CORRIGIR TUDO XBRL
Uma Economia em Tempo Real Classificação de Processos Corporativos Processos que são mantidos por sistemas em tempo real, Processos que são monitorados quase que em uma base contínua, Processos que são altamente dependentes, e Processos dos quais decisões oportunas proporcionam uma vantagem competitiva. XML (Extensible Markup Language) XBRL para relatórios financeiros Gerenciamento de dinheiro em tempo real Gerenciamento de contas a pagar e receber Implantação do sistema “just in time”
Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Índice Introdução Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Conclusões
Auditoria Contínua uma Historia Laboratórios Bell (AT&T) 1986 – 1991 CICA/AICPA – 1999 – o livro vermelho Simpósios de auditoria continua na Rutgers 1999 Lei Sarbanes Oxley 2002 IIA – 2005 – GTAG # 3 CarLab Fundado – 2002 Surveys (pesquisas) da ACL e PWC 2005-2007
The Audit Maturity Model (2009) Traditional Emerging Maturing Continuous
Teoria de Auditoria Contínua Auditoria Contínua de Dados (ACD) Monitoramento Contínuo de Controles (MCC) Monitoramento e avaliação contínua de risco (MACR) Administração de risco corporativo (ERM)
Monitoramento e Avaliação de Riscos Contínuos Auditoria Contínua de Dados Monitoramento de Controles Contínua Figura 2: Auditoria Contínua
ACD (Auditoria Continua de Dados) Monitoramento de Métricas de processos chave usando índices analíticos (KPIs) Transações comerciais Dados de arquivo-mestre Eventos especiais Periodização de relatórios de auditoria Controlável dentro de um programa de deterrence e prioridades estratégicas Exemplos: AT&T, HCA, Seguradora, HP, IBM, etc.
MCC (Monitoramento Continuo de Controles) Monitoramento de Controle de autorização e acesso Configuração de sistema Parâmetros determinantes de processos administrativos Exemplos: Siemens, BD, Talecris Em grandes sistemas integrados (ERPs) progressivamente se tornará impossivel auditar sem AC
Monitoramento e Avaliação Contínua de Risco (MACR) Em desenvolvimento Contribui com informação para planejamento de auditoria Parameteriza as contribuições da evidencia provida pela auditoria tradicional, ACD e MCC Medem fatores de risco em uma base contínua Integra diferentes cenários de risco em quadros quantitativos
Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Índice Introdução Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Conclusões
Ambiente Surgimento de uma indústria ACL Idea Approva Oversight SAP GRC Varios outros inclusive McAffeee produtos de segurança
Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Índice Introdução Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Conclusões
AT&T (Bell Laboratories)
CPAS VISÃO GERAL Sistemas Estação de trabalho Filtro Base de Dados Relatórios do Sistema Operacional FD-nível 2 Relatório Operacional Relatório Operacional FD-nível 1 FD-nível 1 FD-nível 1 Relatório Operacional Filtro Alarme FD-nível 0 Diagrama de Fluxo de Dados Base de Dados Relatórios Análises Medidas Figura 4: Auditoria Contínua de dados na AT&T
Sistema de Faturamento - Visão Geral FlowFront - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ fer fernsu Data: 04/01/89 Data Definida Recalcular Medidas Traçar gráfico nível 1 RPC: Silver Springs PE: 60 Ajuda Texto Sair FlowFront Hierarquia Sistema de Faturamento - Visão Geral Gráfico S Percentual de Contas Faturadas com Sucesso 100 100 Tra 98 98 99 97 98 99 99 95 Atualizaç 85 Faturamento Valor 67 Percentual Faturado 0 20 40 60 80 100 Pagamento Visão Geral Dados Trans 23 Inquérito 3/16 3/17 3/18 3/21 3/22 3/23 3/24 3/25 3/28 3/29 3/30 3/31 4/1 Pro 4/1/89 Média: 89.076923076923 Desvio Padrão: 21.872591442494 Erros Figura 5: Indicadores Analíticos Sistema CPAS
Sistema de Faturamento - Módulo de Faturamento por Cliente Base de Dados do Cliente Extrato De Contas De Clientes Calcular Valor de Dívida Atualizar Informações de Faturamento Arquivos de Diário Formatar Fatura Imprimir Contas Desaparecidas: 10 Tabelas Processamento De Erros 1000 998 988 2 Pagamento Faturamento Inquérito Erros Atualizaç fer FlowFront - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ Data: RPC: 04/01/89 Silver Springs Data Definida Recalcular Medidas Traçar gráfico nível 1 Ajuda Texto Sair PE: 60 FlowFront Hierarquia fernsu Visão Geral Figura 6: Fluxograma e Número de Transações no CPAS
HCA
Pesquisa em HCA Experimentação de modelagem de supply chain Erros básicos Erros de dados Erros de integridade referencial Modelagem matemática para identificar anomalias (1) Variância = |Valor medido (metric) – Valor de base (modelo) (2) Se Variância > variância aceitável Emitir um Alerta
Sistema de Auditoría Contínua Baseado em Dados Monitoramento Automático Analítico: Verificação Automática de Transação Equações Contínuas Alarmes de Anomalias Alarmes de Exceções Responsabilidade dos Funcionários da Empresa Depósito de Dados Comerciais Panorama do Sistema da Empresa Vendas Gerenciamento de Materiais Encomendas Contas a Receber Recursos Humanos Contas a Pagar Figura 7: Arquitetura de um Sstema de Auditoria Contínua de Dados
Itau Unibanco
Projeto Itau Unibanco 1600 agências 18 testes analíticos Software Reduz falsos positivos Facilita análises de auditoria Rotina automatizada Monitoração de créditos de risco Software FOCUS para extração de dados SAS e outros Indicadores chave Reduziu tempo de auditoria de 160h para 40h Emissão de 200 a 400 alertas por semana
Questões referentes ao Itau Unibanco Quais processos devem ser monitorados on-line? Este monitoramento deve ser em nível de mainframe ou numa estação de trabalho (workstation)? A que nível de detalhe? A que nível de detalhe filtros de contas estão a ser desenvolvidos para extrair erros de transações? Como escolher os padrões - base nível de emissão de uma alerta para minimizar os falsos positivos e falsos negativos? Como deve ser projetado o painel para auditoria contínua? Devería-se focar nos resultados financeiros, em processos, ou outras variáveis em particular, eventos, etc.?
Siemens
Projeto Siemens Foco é automatizar auditoria dos sistemas SAP 68% das ações de auditoria podem ser automatizadas Que provas seriam realmente exigidas em uma nova auditoria, de sistemas extremamente automatizados, se uma nova metodologia de auditoria é projetada a partir do zero? Quais são os efeitos (visíveis e invisíveis) da auditoria remota?
Sistema Piloto CMBPC na Siemens Companhia A SAP SYS PD2 Companhia B SAP SYS. P88 Companhia C SAP SYS. P51 Company D SAP SYS. P40 Comum - Extrações em uma Base Contínua Armazenamento de Dados Relacionados Retorno de Alertas para Companhias Dados para Análise Alertas para: Gerenciamento Auditoria Etc Regras CO. A Sys= PD2 Co = W001&W103 COA – WX01 Etc… CA Analisador Checar AAS 1.02.00 – F XX= o enviar alerta 4 Checar AAS 1.02.10 – F Y = X enviar alerta 5 etc Regras CO. D Sys= P40 Co = 001 CDA - 1000 Etc… Alertas Alerta 1: Dlat XXX, Mensagem = YYY Alerta 2 : Dlat HHH, Mensagem = KKK Workflow de Comunicação / Portal Alerta 3 : Dlat = OOO, Mensagem = AAA Alerta 4 : Dlat = GGG, Mensagem = LLL Figura 8: Arquitetura de um Sistema de Monitoramento de Controles Proposto para a Siemens
Modelagem de Comparação de Dados Monitoramento deveria ser realizado a qual nível de agregação? Que tipo de erros é encontrado em fluxos de dados? Como podem estes ser classificados? Como se relacionam estes erros às deficiências do controle interno? Quais são as latências intrínsecas da cadeia de valor? Como o modelo de cadeia de valor e modelado integrando estas latências? Se transações são avaliadas como errôneas, é possível corrigi-las automaticamente?
Seguradora de Grande Porte Monitoramento / auditoria de “wires” (remessas electronicas)
Seguradora Avaliação de wires remetidos para detecção de fraudes, fraquesas em controles, e outros problemas Trabalho feito em paralelo com o processo de auditoria interna Trabalho evoluiu em direção à criação de um Sistema Especialista com uma serie de regras para extração de eventos de caráter dúbio Auditores verificam as transações assinaladas e propõe regras de verificação Uma vez refinado o processo a frequencia da verificação aumenta
Outros Projetos em Andamento
Outros Projetos Monitoramento de KPIs (key perfornance indicators) Firma de liderança mundial em produtos ao consumidor Com manufatura em mais de 100 paises E distribuição em mais de 160 países Detecção de anomalias Monitoramento de atividades bancárias BSA Money Laundering Sistema baseado em regras Unindo uma série de requisitos Multiplas fontes (credito, depositos e saques, etc....)
Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Índice Introdução Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Conclusões
Seis Passos 1) Criação de áreas prioritárias 2) Identificação de monitoramento e regras de auditoria, 3) Determinação da freqüência do processo, 4) Configuração de parâmetros de auditoria contínua 5) Dar seguimento, e 6) Comunicar os resultados
Painel de Controle de Auditoria Implementação de AC 1. Área de Prioridade 2. Regra 6. Ação e reação 3. Frequência Painel de Controle de Auditoria 5. Seguimento 4. Parametrização
Elementos de Automação Progressiva Economic events Economic events Economic events Sensoriamento Economic events Organização de Processamento de dados e Processo de Armazenamento 1 Organização de Processamento de dados e Processo de Armazenamento 2 Eventos Econômicos Entrega Integração entre sistemas Execução Tomada de decisão Automática
Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Índice Introdução Uma Economia em Tempo Real Teoria Ambiente Exemplos Implantação Conclusões
Conclusões Organizações devem examinar o âmbito dos seus processos para aplicações e o “tradeoff”. Auditoria contínua possibilita o mapeamento de riscos. A auditoria contínua acontecerá ao longo da série de empresas. Organizações financeiras e processos financeiros corporativos serão os inovadores. Avanços em TI devem ser complementados por avanços na modelagem analítica.
Conclusões O advento do XML, XBRL e outros padrões de interoperabilidade irão acelerar auditoria contínua e permitir uma cooperação inter-organizacional de auditoria de processos. A comunidade acadêmica tem liderado o pensamento em auditoria contínua. A integração das instalações de auditoria contínua em software integrados (ERPs) permitirá alguns dos benefícios para fluir a organizações menores.
Visite-nos Conferencias http://raw.rutgers.edu miklosv@rutgers.edu Anualmente em Newark 1a semana de novembro Estes anos junto com a CONTECSI (4 de junho de 2009) Thessalonika (18 de Maio de 2009) http://raw.rutgers.edu Inclui um grande numero de materiais sobre as conferencias (videos), papers, e noticias miklosv@rutgers.edu
Slides Extras
The Audit Maturity Model (1) Stage 1 Stage 2 Stage 3 Stage 4 Traditional Audit Emerging Maturing Continuous Audit Objectives •Assurance on the financial reports presented by management •Effective control monitoring •Verification of the quality of controls and operational results •Improvements in the quality of data •Creation of a critical meta-control structure Approach •Traditional interim and year-end audit •Traditional plus some key monitoring processes •Usage of alarms as evidence •Continuous control •Audit by exception IT/Data access •Case by case basis •Data is captured during the audit process •Repeating key extractions on cycles •Systematic monitoring of processes with data capture •Complete data access •Audit data warehouse, production, finance, benchmarking and error history Audit Automation •Manual processes & separate IT audit •Audit management software •Work paper preparation software •Automated monitoring module •Alarm and follow-up process •Continuous monitoring and immediate response • Most of audit automated
The Audit Maturity Model (2) Stage 1 Stage 2 Stage 3 Stage 4 Traditional Audit Emerging Maturing Continuous Audit Audit and management sharing •Independent and Adversarial •Independent with some core monitoring shared •Shared systems and resources where natural process synergies allow •Purposeful Parallel systems and common infrastructures Management of audit functions •Financial organization supervises audit and matrix to Board of director •Some degree of coordination between the areas of risk, auditing and compliance IT audit works independently •IA and IT audit coordinate risk management and share automatic audit processes •Auditing links financial to operational processes •Centralized and integrates with risk management, compliance and SOX/ layer with external audit. Analytic methods •Financial ratios •Financial ratios at sector level/account level •KPI level monitoring •Structural continuity equations •Monitoring at transaction level •Corporate models of the main sectors of the business •Early warning system
Monitoramento e Avaliação Contínua de Risco ERM Corporativo Monitoramento Contínuo de Controles Auditoria Contínua Figura 3: Usando ERM para auditoria contínua