auditoria continua

Implementando Auditoria Contínua

Auditoria Contínua - Unibanco


Agenda

1. Estrutura e responsabilidades

2. Premissas

3. Metodologia

4. Implementação da Auditoria Contínua

5. Alguns Questionamentos

6. Considerações Finais


1. Estrutura e Responsabilidades


Estrutura e Responsabilidades

DEADEAElder AquinoElder Aquino

Coordenadoria de Coordenadoria de TAACsTAACs

Rafael Mundy Rafael Mundy

SupteSupte . . AudAud . TI e . TI e ContCont íínuanua

Washington LopesWashington Lopes

Ger. Ger. AudAud . TI Infra. TI InfraPaulo MedinaPaulo Medina

Ger. Ger. AudAud . TI . TI AplicativosAplicativos

Carlos ValliloCarlos Vallilo

Ger. Ger. AudAud . Cont. Cont íínuanuaNilton SigoloNilton Sigolo

1 gerente + 6 colaboradores 1 gerente + 6 colaboradores

1 coordenador + 4 colaboradores

1 gerente + 5 colaboradores


Missão da Auditoria Contínua

Avaliar controles e riscos automaticamente em bases contínuas, de forma a identificar exceções e anomalias, tendências e indicadores de riscos.


2. Premissas


Premissas - GTAG – Global Technology Audit Guide

Passos Chaves para a Implementação da Auditoria Con tínua

1. Objetivos da Auditoria Contínua

1.1 Definir os Objetivos da Auditoria Contínua

1.2 Obter Suporte da Gerência Sênior (Alta Administ ração)

1.3 Analisar o Grau com que a Organização Executa A uditoria Contínua

1.4 Priorizar Áreas e Tipos de Auditoria Contínua

1.4 Identificar Fontes de Informação e Sistemas Apl icativos Chaves

1.6 Entender o Processo de Negócio e Sistemas Aplic ativos

1.7 Desenvolver Relacionamento com a Administração de TI



2. Acesso aos Dados e Utilização

2.1 Selecionar e Adquirir Ferramenta de Análise

2.2 Desenvolver Acesso e Capacidade Analítica

2.3 Desenvolver e Manter Habilidades e Técnicas

2.4 Integridade dos Dados

2.5 Preparação dos Dados




3. Avaliação Contínua de Controle

3.1 identificar Pontos Críticos de Controle

3.2 Definir Regras de Controle

3.3 Definir Exceções

3.4 Desenhar Rotina de Auditoria Contínua




4. Avaliação Contínua de Riscos

4.1 Definir Entidades para ser Avaliada

4.2 Identificar Categorias de Risco

4.3 identificar Indicadores (Sinais de Alerta)

4.4 Desenhar testes Analíticos para Avaliação do Ri scos




5. Reporte e Gerenciamento dos Resultados

5.1 Priorizar Resultados e Determinar a Freqüência da Atividade de Auditoria Contínua

5.2 Processar os Testes Regularmente

5.3 Identificar Controles Deficientes ou Incrementa r Níveis de Riscos

5.4 Priorizar Resultados

5.5 Auditar e Cobrar Resultados do Auditado

5.5 Gerenciar Resultados (Follow-up)

5.6 Avaliar os Resultados e Ações

5.7 Monitorar e Avaliar o Processo de Auditoria Con tínua

5.8 Assegurar a Segurança do Processo de Auditoria Contínua (Auditoria de TI)



3. Metodologia


Metodologia

2. Regras

5. Follow-up

1. ÁreasPrioritárias

6. Ação eReação

4. Parametrização

3. FreqüênciaPainel de Controle


Identificação das Áreas Prioritárias

– Identificar as áreas de Risco, ranquear os riscos e ava liar os custos benefícios

– Identificar os objetivos básicos da Auditoria

– Escolher os processos críticos de negócios que serão f oco da Auditoria Contínua

– Identicar os “low hanging fruit”

– Identificar os dados chaves para a implementação da Auditoria Contínua nos processos mapeados

– Identificar as considerações políticas


Regras

� Um processo de Auditoria Contínua é escolhido e as reg ras para monitoramento, alarme são estabelecidos

� As regras devem levar em consideração os objetivos do processo e as normas internas e legais

� Deve ser levado em consideração os objetivos chaves e aspectos ambientais, bem como os objetivos particula res do processo


Freqüência

� Rítmo Natural do ProcessoTempo do Processo ComputacionalTempo do Processo de Negócio

� Considerações sobre o Custo X Benefício


Parametrização

� Definir parâmetros para analisar de acordo com os riscos

- Exemplo: Monitorar adiantamentos a depositantes, diariamente, os quais têm saldo negativo maior do que XX% de seu limite de crédito e maior do que R$ XX.


Follow-up

� Definir quem receberá o alarme?– Gerente– Auditor líder

– Superior imediato responsável pelo processo

� Qual será a periodicidade do follow-up?– O alarme será imediato?

– O alarme considerará recorrência de ponto de auditoria

– Esperar 3 dias corridos do alarme para considerar possíveis regularizações

� Considerar a Escalabilidade– O follow-up deverá subir as alçadas de acordo com o nível de resposta


Ação e Reação

� Definir como lidar com os auditados

- Falta de concordância com os pontos de auditoria

- Resposta inconsistente

- Definir como lidar com as considerações individuais

- Ser conciso e objetivo com o ponto levantado


Objetivos Chaves do Processo de Auditoria Contínua

� Detectivas: Rotinas que detectam erros potenciais

� Preventivas / Psicológicas: Rotinas que inibem comportamentos e eventos inapropriados

� Financeiras: Rotinas para reduzir ou evitar perdas financeiras

� Compliance: Rotinas para verificar a aderência às leis existentes, normas e procedimentos


1. Adiantamento a Depositantes : >=

R$ XX

Rotinas DiáriasDetectiva

Psicológica/ Preventiva

Financeira Conformidade

Abordagem

X X X

2. Excesso sobre Limites : >=R$ xxX X X X

3. Cheques Acolhidos e Devolvidos

>=R$ xx

X X X

4. Estorno de Tributos Federais (Darf;

GRPS; FGTS; Arrecadações) >=R$.xx

X X X

5. Emissão de TED – Estorno de lçto a

crédito >= R$ xx

X X X X

X

Objetivos Chaves do Processo de Auditoria Contínua


4. Implementação da Auditoria Contínua


Implementação da Auditoria Contínua

ElaboraElabora çção do ão do Plano de Plano de ImplementaImplementa ççãoão

Desenho do Desenho do Modelo FuturoModelo Futuro

Entendimento da Entendimento da situasitua çção atualão atual

� Avaliação dos requerimentos e necessidades de TI

� Levantamento de sinergias com áreas da Instituição

�Levantamento de demandas para a Auditoria Contínua

�Seleção do Piloto

� Definição de arquitetura de TI

� Validação da arquitetura de TI

� Definição do modelo conceitual do piloto (definição de indicadores, suas dimensões e critérios de extração e mapeamento de dados)

� Priorização de demandas (matriz risco vsmaterialidade)

� Definição de plano de implementação do Modelo Futuro



TAAC (*)

Auditoria Contínua(AC)

• Rotinas estruturadas e com periodicidade e indicadores fixos

• Follow-up

• Atividade sob demanda (Ad Hocs)• Manutenção de rotinas da auditoria

contínua• Pesquisa e análises pontuais

CARACTERÍSTICAS NECESSIDADES

• Acesso rápido à diversas fontes e formatos de dados

• Flexibilidade na geração de relatórios

Demanda Estruturada

% Alto de demandas não estruturadas

• Habilidade para cálculo de indicadores complexos

• Acesso a informações de forma estruturada e com periodicidade fixa

• Habilidade de visão dos indicadores em diversas dimensões

• Follow-up e Publicação estruturados

* Técnicas de Auditoria com Auxilio de Computadores


Seguro e Previdência

Administrativo

Consumo

Atacado/Corp

Private

Varejo

Linha 20-FConta

Contábil/$

Empresa*

Segmento

Componente

Avaliação de riscos

+

+

+

+

+

Balance SheetIncome Statement

Balancete Contábil(contas de resultado, ativo, passivo e patrimoniais)

9.Terceirização

8 Estrutura Org.

6.Gestão/pessoas

5.Infra-estrutura

4.Informações

3.Aplicativos

2.Produto

1.Processo




20-F

Varejo ProcessoROTINA 1

Controlar PDD Risco de CréditoRisco Operacional ROTINA 2

Varejo Processo

Risco LegalRisco Operacional ROTINA 3

Segmento Componente Descrição Complemento 1

Não avaliado / Alto / Não avaliado

Risco de CréditoRisco Operacional

Complemento 2Risco Controle/ Inerente/ Geral

Riscos Indentificados

Net LoanProvisão

Operacões Crédito

Suporte - Financeiro - Realizar

Fechamentos Contábeis

Alterar limites

Net LoanOperações

CréditoOperações de Crédito

- Disponibilizar e monitorar crédito

Monitorar status de contas de empréstimos (acompanhar vencidos, limites, utilização, inatividade)

Controlar e Lançar PDD

Calcular e contabilizar PDD

Moderado / Alto/ Alto

Alto / Muito Alto/ Muito Alto


5. Alguns Questionamentos


Alguns Questionamentos

Aplicações sem as quais a organização não

conseguirá manter-se no mercado.

NATUREZA VITAL

Aplicações para que o plano estratégico seja cumprido.

Aplicações que garantem o dia-a-dia da

organização e o sucesso das operações.Aplicações sem criticidade, mas importantes por racionalizar as atividades

corriqueiras.

NATUREZA OPERACIONAL

NATUREZA ESTRATÉGICA

NATUREZA SUPORTE

Fábrica de Idéias para novos Sistemas

AUDITORIA CONTÍNUA

Matriz de Viabilidade



Questões sobre Automação da Auditoria para solucion ar a Matriz de Viabilidade de TI

� Sua organização trata a Auditoria como sendo Vital, Estratégica, Operacional ou Suporte?

� A Automação da Auditoria permitirá que fatores críti cos de sucesso sejam alcançados pela organização?

� ... fará com que a organização consiga desenvolver u m novo negócio?

� ... permitirá que a organização corrija alguma falha operacional?

� ... permitirá reverter alguma desvantagem frente à co ncorrência?

� ... permitirá que futuros problemas possam ser evita dos?

� ... reduzirá custos?

� ... aumentará a produtividade?

� ... resultará numa clara vantagem competitiva?

� ... permitirá que a organização alcance um objetivo específico, por exemplo cumprir uma lei ou norma vigente?



� Auditoria Contínua é parte da área de Auditoria Interna ou área de Negócio?- É parte da área de Auditoria Intera.

� Devemos separar a equipe de Auditoria Contínua e criar uma equipe específica dentro da Auditoria Interna?- Sim, para facilitar sua implementação progressivamente em

diversas áreas da Auditoria.

� Quais são os esforços de trabalho para se constituir a Auditoria Contínua?- Progressivamente os esforços de trabalho e custos para se ter

Auditoria Contínua vão se reduzindo e se tornando possíveis- Deverá haver um re-balanceamento da carga de trabalho entre

os auditores- Competências para lidar com a tecnologia são necessárias


6. Considerações Finais


Considerações Finais

� Atenção deve ser dada aos processos organizacionais e GovernançaCorporativa para a implementação da Auditoria Contí nua

� Os seis passos para a Implementação da Auditoria Co ntínua devem ser considerados

� A Auditoria Contínua é um processo dinâmico e seu ge renciamento deve ser constante, considerando uma revisão periód ica de suas regras e parâmetros, de forma progressiva


Obrigado!!

[email protected]

auditoria continua

Documents