21/06/13
Desafios na Implementação de
uma Auditoria Contínua Efetiva
Igor Estrada Gouvêa, CIA, CRMAHead de Auditoria Interna Qualicorp Soluções em SaúdeTodas as informações fornecidas e opiniões emitidas nessa palestra vinculam-se ao exercício profissional do palestrante, não representando necessariamente o posicionamento de sua empregadora (Qualicorp Soluções em Saúde).
• Formação em Ciências Econômicas pela UNICAMP;
• Atuação, desde 2003, na área de Auditoria Interna em empresas de destaque, entre as quais se incluem Schincariol, BM&FBOVESPA e ITAU UNIBANCO. Responsável pela estruturação da Gerência de Compliance e Controles Internos da SOCOPA Sociedade Corretora Paulista SA;
• Em 2010, obteve a maior pontuação em todo o mundo nos exames do certificado CIA – Certified Internal Auditors e foi agraciado com a “William S Smith Gold Medal Award”, concedida pelo The Institute of Internal Auditors;
• Desde 2011, é o Gerente/ Head da Auditoria Interna da Qualicorp SA, onde foi responsável pela implantação da Auditoria Interna.
• Em 2012, foi convidado a assumir a Diretoria de Certificações do Instituto dos Auditores Internos do Brasil.
• Definições - Auditoria contínua X Monitoramento • Visão do THE IIA
• Benefícios e visão de futuro;
• O que é necessário para implementação: – Obtendo apoio;
– Definindo o foco; – Pessoas;
– Tecnologia;
– Obtendo e protegendo os dados;
• Metodologia: desenvolver e implantar rotinas; • Aumentando o valor agregado;
• Perguntas
• Auditoria contínua: é um método usado pela auditoria para realizar testes de controle e avaliações de risco automaticamente com uma frequência maior.
• Monitoramento Contínuo: procedimentos realizados pelos gestores para
garantir que os processos e controles estão operando efetivamente.
Definições
Fonte: Global Technology Audit Guide Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment – THE IIA
Fonte: Declaração de Posicionamento do IIA: As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles (Janeiro 2013)
Monitoramento Contínuo Auditoria Contínua
Auditoria “tradicional” • Durante aud. planejada • Selecionar, via ACL, amostra de 48 clientes; • Confrontar informações individualmente Auditoria com CAATs • Durante aud. Planejada. • Extrair bases de dados dos 2 sistemas. • Confrontar (via Excel ou ACL) 100% dos registros. Auditoria contínua • Feito periodicamente pela auditoria • Confronto para 100% dos registros.
• Via Excel ou ACL.
Monitoramento Continuo • Feito periodicamente pelo Gestor ou 2ª linha de defesa (compliance ou controles Internos) • Confronto para 100% dos registros.
• Via Excel ou ACL.
Exemplo
• Apesar do monitoramento dos controles internos ser uma responsabilidade de gestão, a auditoria interna pode usar e alavancar auditoria contínua para fortalecer o monitoramento geral em uma organização.
• O nível de monitoramento pró-ativo realizado pela administração afetará diretamente como auditores abordadam auditoria contínua.
Visão do The IIA
Fonte: Global Technology Audit Guide Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment – THE IIA
• Nos casos em que o monitoramento contínuo de controles é realizado pela administração, o mesmo nível de detalhes dos teste de transação não pode ser exigida da contínua auditoria. • Em vez disso, os auditores podem se concentrar em
procedimentos para determinar a eficácia do processo de monitoramento feito pela administração e, dependendo do resultado de tais testes, ajustar o escopo, número e
freqüência de testes de auditoria.
Visão do The IIA
Fonte: Global Technology Audit Guide Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment – THE IIA
Visão do The IIA
Fonte: Global Technology Audit Guide Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment – THE IIA
•
Efetividade/Cobertura;
•
Tempestividade;
•
Custo decrescente;
•
Expande oportunidades de testes e análises;
•
Possibilita aumentar profundidade dos testes.
•
Aumento gigantesco nas informações disponíveis
eletronicamente;
•
Facilidade de acesso e análise de dados.
•
Quem não dominar as “novas tecnologias” estará
obsoleto.
•
Análise estruturada de dados e auditoria contínua
não são apenas técnicas adicionais.
•
Refletem uma nova abordagem e são elementos
estratégicos para a assegurar que a Auditoria Interna
permaneça relevante.
•
Portanto, exige visão e planejamento de médio e
longo prazo.
Tecnologia Dados Pessoas
O que é necessário?
Metodologia Estratégia• Auditoria contínua muda a forma de atuação, o relacionamento com as áreas, a necessidade de recursos a forma e a tempestividade do reporte da auditoria. • Portanto, é fundamental obter o apoio da Alta Administração e do Comitê de
Auditoria.
• É necessário educá-los sobre os conceitos; • Exponha os benefícios;
• Deixe claro os objetivos e limites do projeto; • Alinhe os objetivos e riscos a serem priorizados;
• Para justificar o investimento e agregar valor, a Auditoria contínua deve focar nos riscos relevantes!
Definindo o foco
Planejamento baseado em riscos Auditorias planejadas Auditoria ContínuaMetodologia integrada: Para garantir alinhamento e cobertura dos riscos críticos
• Defini os processos críticos; • Atualizado com base nos
resultados da Aud. Contínua. Identifica: • os riscos críticos; • as oportunidades de automação;
• o ponto de controle mais apropriado;
• Sugere a lógica do teste • Desafiar os indicadores/
rotinas já implantados: permanecem válidos? • Monitora controles
críticos;
• Evolução dos riscos relevantes;
• Foco adequado é crucial para como a Auditoria será percebida pela Adm:
• “Agrega valor” X “Pelo em Ovo / Gera custo”
• Cuidado para não criar mais rotinas do que a empresa tem capacidade de tratar;
• Explore oportunidades de ganhos rápidos;
•
Auditoria Contínua muda o perfil do auditor;
•
Menos tempo “ticando” e mais tempo PENSANDO;
•
Habilidades necessárias;
–
Raciocínio crítico/ Capacidade analítica
–
Conhecimento de relacionamento de dados;
–
Técnicas de extração de dados;
•
Desenvolva talentos!
– Auditor com expertise em Contínua e conhecimento de processos/riscos é raro:
Cuidado para não criar “ilha de excelência”.
•
Não basta criar célula/equipe de Auditoria Contínua;
•
É preciso integrá-la com a auditoria tradicional/
planejada;
•
Análise estruturada de dados deve fazer parte do
“DNA” de todos os auditores;
–
Analisar principais riscos;
–
Sugerir e realizar testes automatizados;
–
Analisar criticamente bases de dados;
•
Senão...
–
Aud. Contínua focando em riscos não relevantes;
–
Profundidade inadequada por falta de conhecimento
do negócio;
–
Auditores de processo usando ACL só para selecionar
amostra;
–
Solicitando indicadores não relevantes;
–
Indicadores gerados e...engavetados;
Aud. Contínua Expertise em análise de dados; Aud. Processos Conhecimento do negócio; Expertise em riscos
•
Sugestões:
•
Difundir conceitos e técnicas básicas;
•
Exigir na metodologia de auditoria a análise crítica
dos dados;
•
Enfatizar a importância de testes com CAATs.
•
Prever em cada trabalho a avaliação de possíveis
indicadores/ testes para aud. Contínua.
•
Cobrar, reconhecer e valorizar evolução (Feedback).
Tecnologia: muitas oportunidades
Lembre-se:
O poder da auditoria Contínua não está na
ferramenta mas sim na inteligencia do
indicador/ rotina;
Tecnologia
– Deve ser compatível com complexidade do ambiente de TI e com os objetivos do projeto;
– Inicie com baixa complexidade/ investimentos;
• É possível até obter resultados relevantes com Excel e SQL (para extrair dados).
• Após mostrar resultados será mais fácil obter orçamento; • Evita ferramentas subutilizadas;
– Recomendação para iniciar: ACL/IDEA
–
Acesso direto ao Banco de Dados garante
independência, autonomia e tira a auditoria da fila de
TI;
–
Mas pode depender da aprovação de TI;
• Transforme o CIO em aliado: mostre que demandas diminuirão no médio prazo;
–
Exige conhecimento técnico específico (SQL, Oracle) e
entendimento do banco de dados.
–
Alinhamento com produção: risco de derrubar
sistemas;
– Cuidado: uma das maiores vulnerabilidades de segurança da informação da sua empresa pode ser a auditoria
interna!
– Em uma auditoria:
• Auditor com acesso Full de consulta direta aos Bancos de Dados e Pen-drive liberado para gravação;
• Bases criticas extraídas integralmente e armazenadas localmente sem proteção por tempo indeterminado; • Ou mantidas em pastas compartilhas com toda equipe.
– Segurança da Informação: CAE deve definir procedimentos para resguardar dados e evitar acessos indevidos.
• Defina padrões rígidos;
• Crie uma política/procedimento;
• Exemplo: auditor deve solicitar autorização prévia para consultas e
extração na Base de Dados;
• Restrinja as informações extraídas;
• Exclua as bases após utilização: mantenha somente as evidências;
• Use criptografia;
• Solicite periodicamente uma avaliação de consultoria
independente ou da Segurança da Informação: entenda e corrija suas vulnerabilidades;
• Reporte o Resultado ao Comitê e Alta Administração.
• Crie uma metodologia de definição e implementação de indicadores/rotinas alinhada:
• à estrutura e complexidade do projeto. • à metodologia de Auditoria Interna.
2040 – Políticas e Procedimentos
O executivo chefe de auditoria deve estabelecer políticas e procedimentos para orientar a atividade de auditoria interna.
Interpretação:
A forma e o conteúdo das políticas e procedimentos dependem do tamanho e da estrutura da atividade de auditoria interna, e da complexidade de seu
trabalho.
Planejamento: Desenv e Homologação Produção Análise Divulgação e Follow-up
Metodologia
– Planejamento: Fase mais critica! – Definir claramente:
• Risco;
• Objetivo;
• Ponto de controle a ser testado;
• Procedimento/inteligência: qual será a logica aplicada.
• Fonte dos dados;
• Forma de apresentação dos resultados (gráfico, lista de exceções
etc.);
• Auditor responsável pela Análise
• Destinatário;
• Periodicidade;
– Deve ser formalizado e aprovado;
– Desenvolvimento:
– Automação exige conhecimentos específicos (scripts) mas é
fundamental para assegurar os ganhos esperados;
– Valide a ideia: Execute os passos/ lógica “manualmente” para avaliar
se o resultado é adequado;
– Documente os scripts utilizados!
– Homologação:
– Essencial para assegurar integridade e proteger a credibilidade da
Auditoria;
– Valide internamente;
– Desafie as premissas;
– Discuta com o dono do risco;
– Falsos positivos são esperados no início. Há um processo de
“calibração dos parâmetros”
–
Produção:
–
Defina um cronograma de execução;
–
Analise criticamente o resultado: anormalidades
podem significar mudança nas premissas e/ ou nos
dados;
–
Fique atento a mudanças nos negócios ou sistemas;
Metodologia de Auditoria Contínua
–
Análise:
–
Não divulgue os resultados antes de analisá-los!
–
Pode arruinar a credibilidade da área.
–
AI pode desprezar uma informação relevante
–
Uma exceção pode ser:
• Falso positivo
• Um erro do processo;
• Indício de fraude ou falha sistêmica.
–
Defina um auditor responsável por analisar os dados
(Crucial conhecer o processo).
• Divulgação:
• 2440.A1 – O executivo chefe de auditoria é o responsável pela comunicação dos resultados finais às partes que possam
assegurar que os resultados recebam a devida consideração. • Alinhe com os Gestores o melhor fluxo / destinatários padrões
para cada tipo de rotina.
Follow-up
:• 2500.A1 – O executivo chefe de auditoria deve estabelecer um processo de acompanhamento para monitorar e
assegurar que as ações da administração tenham sido
efetivamente implantadas ou que a alta administração tenha aceitado o risco de não tomar nenhuma ação.
• Estão sendo tomadas as medidas para regularização?
–
Auditoria pode (e deve) difundir o conceito de
monitoramento contínuo para a 1ª e 2ª linha de
defesa;
–
Com base nos resultados da Auditoria Contínua
demostre aos gestores o poder dessa abordagem;
–
Sempre que pertinente, recomende a implementação
de rotinas de monitoramento contínuo para mitigação
de riscos;
–
Compartilhe conhecimento;
–
Compartilhe a inteligência dos indicadores?
–
Independência X Agregar Valor
–
Deixe claro as responsabilidades de cada área!
–
Lembre- se o monitoramento contínuo também deve
ser auditado.
Contato:
Igor Estrada Gouvêa
• Tel: (11) 3291-4021
• igouvea @qualicorp.com.br • igorgouvea@hotmail.com