Os Novos Desafios da Auditoria e Monitoração Contínua
Michael AllesMiklos A. Vasarhelyi
Rutgers Business School
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
3
Índice
• Introdução• Uma Economia em Tempo Real• Teoria• Ambiente• Exemplos• Implantação• Conclusões
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
4
Introdução• Eletronização
– Pagamentos, recebimentos, investimentos, tesouraria, etc.
– Dell, Federal Express, American Airlines, etc.• Auditoria Contínua
– É a eletronização dos processos de aferição “à la auditoria”.
– Verificação de dados rapidamente – Transmissão de dados em tempo real– Minimização de erros– Aferição e confiabilidade de processos chave
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
5
Índice
• Introdução• Uma Economia em Tempo Real• Teoria• Ambiente• Exemplos• Implantação• Conclusões
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
6
Latências
Processo daatividade
comercial 1Consequências
Latênciada decisão
Latência entre processos
Tempo paraa execução
de um processo
Tempo de transmissão
entre processos
Tempo para a decisão ter
consequências
Decisão
Tempo paratomar
decisões
Latência das consequências
Processo daatividade
comercial 2
Latências
XBRL
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
7
Uma Economia em Tempo Real• Classificação de Processos Corporativos
– Processos que são mantidos por sistemas em tempo real,– Processos que são monitorados quase que em uma base
contínua,– Processos que são altamente dependentes, e– Processos dos quais decisões oportunas proporcionam uma
vantagem competitiva. • XML (Extensible Markup Language)
– XBRL para relatórios financeiros• Gerenciamento de dinheiro em tempo real• Gerenciamento de contas a pagar e receber• Implantação do sistema “just in time”
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
8
Índice
• Introdução• Uma Economia em Tempo Real• Teoria• Ambiente• Exemplos• Implantação• Conclusões
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
9
• Laboratórios Bell (AT&T) 1986 – 1991• CICA/AICPA – 1999 – o livro vermelho• Simpósios de auditoria continua na Rutgers
1999• Lei Sarbanes Oxley 2002• IIA – 2005 – GTAG # 3• CarLab Fundado – 2002• Surveys (pesquisas) da ACL e PWC 2005-
2007
Auditoria Contínua uma Historia
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
10
The Audit Maturity Model (2009)
Traditional Emerging Maturing Continuous
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
11
Teoria de Auditoria Contínua• Auditoria Contínua de Dados (ACD)• Monitoramento Contínuo de Controles
(MCC)• Monitoramento e avaliação contínua de
risco (MACR) – Administração de risco corporativo
(ERM)
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
12
Auditoria Contínua de Dados
Monitoramento de Controles Contínua
Monitoramento e Avaliação de
Riscos Contínuos
Figura 2: Auditoria Contínua
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
13
ACD (Auditoria Continua de Dados)• Monitoramento de
– Métricas de processos chave usando índices analíticos (KPIs)– Transações comerciais– Dados de arquivo-mestre– Eventos especiais
• Periodização de relatórios de auditoria• Controlável dentro de um programa de deterrence e
prioridades estratégicas
• Exemplos: AT&T, HCA, Seguradora, HP, IBM, etc.
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
14
MCC (Monitoramento Continuo de Controles)• Monitoramento de
– Controle de autorização e acesso– Configuração de sistema– Parâmetros determinantes de processos
administrativos• Exemplos: Siemens, BD, Talecris• Em grandes sistemas integrados
(ERPs) progressivamente se tornará impossivel auditar sem AC
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
15
Monitoramento e Avaliação Contínua de Risco (MACR)• Contribui com informação para planejamento
de auditoria• Parameteriza as contribuições da evidencia
provida pela auditoria tradicional, ACD e MCC• Medem fatores de risco em uma base
contínua• Integra diferentes cenários de risco em
quadros quantitativos
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
16
Índice
• Introdução• Uma Economia em Tempo Real• Teoria• Ambiente• Exemplos• Implantação• Conclusões
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
17
Ambiente• Surgimento de uma indústria
– ACL– Idea– Approva– Oversight– SAP GRC– Varios outros inclusive McAffeee
produtos de segurança
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
18
Índice
• Introdução• Uma Economia em Tempo Real• Teoria• Ambiente• Exemplos• Implantação• Conclusões
AT&T (Bell Laboratories)
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
20
CPAS VISÃO GERALSistemas
RelatórioOperacional
RelatórioOperacional
Filtro
Base deDados
Relatórios do Sistema OperacionalEstação de trabalho
FD-nível 0Alarme
Diagrama de Fluxo de Dados
FD-nível 1 FD-nível 1 FD-nível 1
FD-nível 2
Relatórios Análises Medidas
RelatórioOperacional
Figura 4: Auditoria Contínua de dados na AT&T
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
21
DadosTrans
ferFlowFront - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ
Data:
RPC:
04/01/89
Silver SpringsData Definida Recalcular Medidas Traçar gráfico nível 1
Ajuda Texto SairPE: 60FlowFront Hierarquia
VisãoGeral
Pagamento
Faturamento
Inquérito
Erros
Atualizaç
Valor
Sistema de Faturamento - Visão Geral
Percentual de Contas Faturadas com SucessoGráfico S
Perc
entu
al F
atur
ado
0
20
40
6
0
80
100
10099 99 991009898 97 9598
67
23
85
3/16 3/17 3/18 3/21 3/22 3/23 3/24 3/25 3/28 3/29 3/30 3/31 4/1
Média: 89.076923076923 Desvio Padrão: 21.8725914424944/1/89Pro
Tra
fernsu
Figura 5: Indicadores Analíticos Sistema CPAS
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
22
Sistema de Faturamento - Módulo de Faturamento por Cliente Base de
Dados doCliente
ExtratoDe ContasDe Clientes
Calcular Valor
de Dívida
AtualizarInformações
de Faturamento
Arquivosde Diário
FormatarFatura
ImprimirFatura
Arquivosde Diário
ContasDesaparecidas:
10Tabelas
ProcessamentoDe Erros
1000 1000
998 988
2
0
Pagamento
Faturamento
Inquérito
Erros
Valor
Atualizaç
ferFlowFront - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ
Data:RPC:
04/01/89Silver Springs
Data Definida Recalcular Medidas Traçar gráfico nível 1
Ajuda Texto SairPE: 60FlowFront Hierarquia
fernsu
VisãoGeral
Figura 6: Fluxograma e Número de Transações no CPAS
HCA
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
24
Pesquisa em HCA• Experimentação de modelagem de supply chain• Erros básicos
– Erros de dados– Erros de integridade referencial
• Modelagem matemática para identificar anomalias(1) Variância = |Valor medido (metric) – Valor de base (modelo)(2) Se Variância > variância aceitável Emitir um Alerta
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
25
Panorama do Sistema da Empresa
Encomendas
Contas a Pagar
Gerenciamento de Materiais
Vendas
Contas a Receber Recursos Humanos
Depósito de Dados Comerciais
Verificação Automática de Transação
Alarmes de Exceções
Monitoramento Automático Analítico:Equações Contínuas
Alarmes de Anomalias
Sistema de Auditoría Contínua Baseado em Dados
Responsabilidade dos Funcionários
da Empresa
Figura 7: Arquitetura de um Sstema de Auditoria Contínua de Dados
Itau Unibanco
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
27
Projeto Itau Unibanco• 1600 agências• 18 testes analíticos
– Reduz falsos positivos– Facilita análises de auditoria– Rotina automatizada– Monitoração de créditos de risco
• Software – FOCUS para extração de dados– SAS e outros
• Indicadores chave• Reduziu tempo de auditoria de 160h para 40h• Emissão de 200 a 400 alertas por semana
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
28
Questões referentes ao Itau Unibanco• Quais processos devem ser monitorados on-line? • Este monitoramento deve ser em nível de mainframe ou
numa estação de trabalho (workstation)?• A que nível de detalhe?• A que nível de detalhe filtros de contas estão a ser
desenvolvidos para extrair erros de transações? • Como escolher os padrões - base nível de emissão de uma
alerta para minimizar os falsos positivos e falsos negativos?• Como deve ser projetado o painel para auditoria contínua?
Devería-se focar nos resultados financeiros, em processos, ou outras variáveis em particular, eventos, etc.?
Siemens
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
30
Projeto Siemens• Foco é automatizar auditoria dos sistemas SAP• 68% das ações de auditoria podem ser automatizadas• Que provas seriam realmente exigidas em uma nova
auditoria, de sistemas extremamente automatizados, se uma nova metodologia de auditoria é projetada a partir do zero?
• Quais são os efeitos (visíveis e invisíveis) da auditoria remota?
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
31
Sistema Piloto CMBPC na Siemens
Alerta 1: Dlat XXX, Mensagem = YYYAlerta 2 : Dlat HHH, Mensagem = KKK Workflow de Comunicação / Portal Alerta 3 : Dlat = OOO, Mensagem = AAA
Alerta 4 : Dlat = GGG, Mensagem = LLL
Regras CO. A•Sys= PD2•Co = W001&W103•COA – WX01•Etc…
Regras CO. D•Sys= P40•Co = 001•CDA - 1000•Etc…
CA Analisador•Checar AAS 1.02.00 – F XX= o enviar alerta 4•Checar AAS 1.02.10 – F Y = X enviar alerta 5
•etc
Armazenamento deDados Relacionados
Companhia BSAP SYS.
P88
Companhia CSAP SYS.
P51
Companhia ASAP SYS
PD2
Company DSAP SYS.
P40
Alertas
Dados para Análise
Comum - Extrações em uma Base ContínuaComum - Extrações em uma Base Contínua
Retorno de Alertaspara Companhias
Alertas para:•Gerenciamento•Auditoria•Etc
Figura 8: Arquitetura de um Sistema de Monitoramento de Controles Proposto para a Siemens
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
32
Modelagem de Comparação de Dados• Monitoramento deveria ser realizado a qual nível de
agregação?• Que tipo de erros é encontrado em fluxos de dados?
Como podem estes ser classificados? Como se relacionam estes erros às deficiências do controle interno?
• Quais são as latências intrínsecas da cadeia de valor? Como o modelo de cadeia de valor e modelado integrando estas latências?
• Se transações são avaliadas como errôneas, é possível corrigi-las automaticamente?
Seguradora de Grande Porte
Monitoramento / auditoria de “wires”(remessas electronicas)
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
34
Seguradora• Avaliação de wires remetidos para detecção de
fraudes, fraquesas em controles, e outros problemas• Trabalho feito em paralelo com o processo de
auditoria interna• Trabalho evoluiu em direção à criação de um Sistema
Especialista com uma serie de regras para extração de eventos de caráter dúbio
• Auditores verificam as transações assinaladas e propõe regras de verificação
• Uma vez refinado o processo a frequencia da verificação aumenta
Outros Projetos em Andamento
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
36
Outros Projetos• Monitoramento de KPIs (key perfornance indicators)
– Firma de liderança mundial em produtos ao consumidor– Com manufatura em mais de 100 paises– E distribuição em mais de 160 países– Detecção de anomalias
• Monitoramento de atividades bancárias– BSA– Money Laundering– Sistema baseado em regras– Unindo uma série de requisitos– Multiplas fontes (credito, depositos e saques, etc....)
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
37
Índice
• Introdução• Uma Economia em Tempo Real• Teoria• Ambiente• Exemplos• Implantação• Conclusões
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
38
Seis Passos1) Criação de áreas prioritárias2) Identificação de monitoramento e regras de
auditoria,3) Determinação da freqüência do processo,4) Configuração de parâmetros de auditoria
contínua5) Dar seguimento, e6) Comunicar os resultados
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
39
Implementação de AC
5. Seguimento 4. Parametrização
3. Frequência
2. Regra1. Área de Prioridade
6. Ação e reação Painel de Controle de Auditoria
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
40
EconomiceventsEconomic
eventsEconomiceventsEconomic
eventsEventosEconômicos
Sensoriamento Organização deProcessamento
de dados e Processo de
Armazenamento 1
Integraçãoentre
sistemas
Entrega
Tomada dedecisão
Automática
Execução
Elementos de Automação Progressiva
Organização deProcessamento
de dados e Processo de
Armazenamento 2
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
41
Índice
• Introdução• Uma Economia em Tempo Real• Teoria• Ambiente• Exemplos• Implantação• Conclusões
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
42
Conclusões• Organizações devem examinar o âmbito dos seus
processos para aplicações e o “tradeoff”.• Auditoria contínua possibilita o mapeamento de riscos.• A auditoria contínua acontecerá ao longo da série de
empresas.• Organizações financeiras e processos financeiros
corporativos serão os inovadores.• Avanços em TI devem ser complementados por
avanços na modelagem analítica.
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
43
Conclusões• O advento do XML, XBRL e outros padrões de
interoperabilidade irão acelerar auditoria contínua e permitir uma cooperação inter-organizacional de auditoria de processos.
• A comunidade acadêmica tem liderado o pensamento em auditoria contínua.
• A integração das instalações de auditoria contínua em software integrados (ERPs) permitirá alguns dos benefícios para fluir a organizações menores.
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
44
Visite-nos• Conferencias
– Anualmente em Newark 1a semana de novembro– Estes anos junto com a CONTECSI (4 de junho de 2009)– Thessalonika (18 de Maio de 2009)
• http://raw.rutgers.edu– Inclui um grande numero de materiais sobre as conferencias
(videos), papers, e noticias
Slides Extras
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
47
The Audit Maturity Model (1)Stage 1 Stage 2 Stage 3 Stage 4
Traditional Audit Emerging Maturing Continuous Audit
Objectives •Assurance on thefinancial reportspresented bymanagement
•Effective controlmonitoring
•Verification of thequality of controls andoperational results
•Improvements in thequality of data•Creation of a criticalmeta-control structure
Approach •Traditional interim andyear-end audit
•Traditional plus somekey monitoringprocesses
•Usage of alarms asevidence•Continuous controlmonitoring
•Audit by exception
IT/Data access •Case by case basis•Data is captured duringthe audit process
•Repeating keyextractions on cycles
•Systematic monitoringof processes with datacapture
•Complete data access•Audit data warehouse,production, finance,benchmarking anderror history
Audit Automation •Manual processes & separate IT audit
•Audit managementsoftware•Work paperpreparation software
•Automated monitoringmodule•Alarm and follow-upprocess
•Continuous monitoringand immediateresponse• Most of audit automated
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
48
The Audit Maturity Model (2)Stage 1 Stage 2 Stage 3 Stage 4
Traditional Audit Emerging Maturing Continuous Audit
Audit and management sharing
•Independent andAdversarial
•Independent withsome core monitoringshared
•Shared systems andresources wherenatural processsynergies allow
•Purposeful Parallelsystems and commoninfrastructures
Management of audit functions
•Financial organizationsupervises audit and matrix to Board of director
•Some degree of coordination between the areas of risk, auditing and complianceIT audit works independently
•IA and IT audit coordinate risk management and share automatic audit processes•Auditing links financial to operational processes
•Centralized and integrates with risk management, compliance and SOX/ layer with external audit.
Analytic methods •Financial ratios •Financial ratios atsector level/account level
•KPI level monitoring•Structural continuityequations•Monitoring attransaction level
•Corporate models ofthe main sectors of thebusiness•Early warning system
CONTECSI 6 - Alles e Vasarhelyihttp://raw.rutgers.edu
Auditoria Contínua
49
AuditoriaContínua
MonitoramentoContínuo
de Controles
ERM Corporativo
Monitoramento e Avaliação Contínua de Risco
Figura 3: Usando ERM para auditoria contínua