Continuous Auditing & Continuous Monitoring

(1)

01 de outubro de 2010

Continuous Auditing & Continuous

Monitoring

André Rangel

Gerente Sênior KPMG Risk Advisory Services

(2)

Conteúdo

 Contexto

 Definições e objetivos

 Dimensões

 Enterprise Risk Management

 Ambiente de Auditoria Interna

 Redução de Custos

 Fases de um projeto de Auditoria Contínua

 Fatores Críticos de Sucesso

 Cases (Logística/Vendas e Compras)

 CA/CM Survey 2010 Highlights - Brasil

(3)

Contexto

 No atual

complexo cenário econômico

, vem ocorrendo um aumento

no foco da adoção de formas inovadoras para avaliar e gerenciar

riscos enquanto aprimoramento do desempenho.



Os avanços tecnológicos

vem pavimentando o caminho para o

aumento do uso de Auditoria Contínua nos processos, transações,

sistemas e controles das organizações.

 As organizações estão

utilizando tecnologias

como fator de mudança

na forma com que avaliam a efetividade dos controles e o

monitoramento do seu desempenho.

 A Auditoria Contínua fornece

profundo conhecimento

sobre as áreas

de risco e oportunidades, enquanto fortalece as estruturas de

governança corporativa.

(4)

Definições e objetivos

Auditoria Contínua

“Conjunto de evidências e indicadores de auditoria, obtido por um auditor interno ou

externo, em sistemas, processos, transações e controles em uma base freqüente ou

contínua, no decorrer de um período.”

Aprimora a governança corporativa

Melhoria no ambiente de controles internos Reação em tempo aos riscos de negócios

Obtenção efetiva e eficaz de evidências de auditoria População dos testes de auditoria

Tecnologia como instrumento de auditoria interna eficiente Redução da dependência de TI para obtenção de informações

Auxilia no monitoramento da conformidade com políticas, procedimentos e regulamentos Contribui para o planejamento dos trabalhos de campo para auditoria interna

(5)

Dimensões da Auditoria Contínua

Integrando ferramentas de análises

Análise de Nível Macro para tendências, padrões e resultados (e.g., Giro dos estoques, PMR, PMP, Turnover, etc.) Gerenciamento dos controles financeiros, Segregação de função, etc. Análise de exceções baseadas em transações e gerenciamento das regras de negócio Dimensão de Controles Risco/ Performance Dimensão de Transações

A otimização de riscos e performance é efetivada quando todas as três dimensões são implementadas

Dimensão Analítica

(6)

Enterprise Risk Management

(7)

Ambiente de Auditoria Interna

Auditoria Contínua

• Auditorias baseadas em alertas/indicadores

• Plano de auditoria dinâmico

• Análise de 100% da população (testes)

• Análise próxima da ocorrência do desvio

• Facilidade de seleção de itens para testes da auditoria

• Possibilidade de histórico das tendências dos desvios

• Melhoria/acompanhamento das normas e políticas internas

• Aprimoramento do conhecimento do auditor interno (processo e ferramentas de TI)

Auditoria

• Auditoria cíclica

• Focada em riscos

• Foco na cobertura do

universo de auditoria

• Seleção de um percentual

de população (testes)

• Auditoria de

processos/unidades de

negócios – “ponta a ponta”

• Extração limitada de dados

nas auditorias

(8)

Redução de Custos

Exemplos de áreas para redução de custos utilizando AC/MC

Economias potenciais relativas à performance

-

Redução de custos associada à fraude, desperdícios e abusos

-

Redução de custos associada com a redução de erros e re-trabalhos

-

Redução de custos de compliance com regulamentos e políticas

Economias potenciais relativas aos riscos

-

Realocação de recursos focando-os em atividades significativas de riscos

-

Potencial redução dos custos de compliance com a SOX

-

Incremento na detecção e prevenção de fraudes e redução no número de

incidentes

(9)

(10)

Cronograma

Atividades Agosto Setembro Outubro Novembro Dezembro Status

Reestruturação Levantamento de informações Desenvolvimento de Scripts Homologação (Testes) Ações corretivas Implementação Planejado

Real e/ou previsão de término

Finalizado

Não iniciado Em processo

(11)

Projetar

MATRIZ DAS EXCEÇÕES return

PROCESSO SUBPROCESSO REF. OBJETIVOS EXCEÇÃO PERIODICIDADE

MM-SUPRIMEN TOS

M4-PEDIDO DE COMPRA

M4.4 Compras fora do padrão:

Identificar o volume de compras fora do padrão versus o volume de compras da companhia por produto.

Identificar se as compras que não tiveram a aprovação em conformidade com a alçada competente estabelecida na norma de suprimentos.

1) Pedidos de compras que não utilizaram a estratégia de liberação

2) Volume de compras fora do padrão por tipo de produto

MENSAL

MM-SUPRIMEN TOS

M3-COTAÇÃO M3.2 Verificar se as compras abaixo do limite não estão sendo manipuladas

1)Volume de compras abaixo do limite mínimo estabelecido para compras sem cotação

MENSAL MM-SUPRIMEN TOS M4-PEDIDO DE COMPRA

M4.1 Identificar o volume de compras realizadas sem requisição

Pedidos de compras sem requisição MENSAL MM-SUPRIMEN TOS M5-RECEBIMENTO MATERIAIS/SER VIÇOS

M5.1 Identificar pedidos de compras criados para poder registrar a nota fiscal de mercadoria e/ou serviço recebido fora do processo normal de suprimentos:

Requisição de compras Cotação

Pedido de compras

Recebimento de mercadoria,

ou seja, pedido criado para registro da nota fiscal no contas a pagar

Notas fiscais de fornecedores emitidas com data inferior e/ou igual a data do pedido de compras criado pela área de suprimentos

(12)

Implementar – Documentação das Exceções

(13)

Avaliar

Tarefas realizadas

Desenho e estrutura das exceções Mapeamentos das tabelas e campos do SAP

Desenvolvimento e automação das exceções do projeto piloto Validação das exceções geradas

Definição dos próximos processos e exceções

Próximos passos

 Definir o modelo de relatório para apresentar as exceções

 Concluir a documentação do projeto

 Treinar os envolvidos para utilização das rotinas

Pontos críticos

 Monitoramento do cronograma

 Auxílio da infra-estrutura (Cliente) para viabilizar que o ACL envie as exceções por email

Macro cronograma

Atividades Agosto Setembr

o Outubro Novembr o Dezembr o Status Reestruturação Levantamento Desenvolv. Homologação Implementação Ações corretivas

(14)

Fatores críticos de sucesso

Respostas para esses problemas vitais

- Educação executiva no desenvolvimento de um 'business case' - Suporte do Diretor de Auditoria no que tange à abordagem - Compromisso de treinar os recursos internos

- Capacidades de análise da causa raiz para erros, violações de políticas e má conduta - Identificação dos principais pontos de verificação de controle

- A metodologia enfatiza o aprimoramento contínuo

- Início detalhado do projeto e documentos do plano de trabalho

- O perfil de risco da organização é fundamental para a avaliação e projeto da abordagem de AC - Conhecimento e ligação com as exposições a riscos empresariais

Apoio dos executivos sênior

Recursos experientes e ferramentas

tecnológicas

- Equipe experiente que pode começar o trabalho de campo imediatamente - Conhecimento profundo dos processos de negócio e conteúdo das indústrias - Seleção das ferramentas de Auditoria Contínua apropriada

Abordagem estabelecida para a AC Abordagem bem planejada Alinhamento organizacional

- Associação com membros da equipe interna para possibilitar a transferência de conhecimento - Alinhamento consistente das metas, medidas e incentivos

- Auditar a função de “monitoramento” sob uma perspectiva da Auditoria Interna

Fatores críticos de sucesso

(15)

CASE

Objetivos do Projeto:

• Disponibilizar relatórios de análise para os trabalhos de Auditoria Interna.

• Identificação antecipada de erros

• Aumentar a eficiência e eficácia da auditoria interna

• Racionalizar os Trabalhos

• Aumentar as capacidades e competências dos auditores

• Maior velocidade na prestação de contas aos gestores, comitê de auditoria e conselho de administração

(16)

Case – Logística e Vendas

(17)

Preço Predador

(18)

Case – Logística e Vendas

(19)

Case - Compras

Pedidos de Compras

X

(20)

Pedidos de compras fora da regra de cotação

JUNHO JULHO AGOSTO TOTAL DE TOTAL DE PEDIDOS

FORNECEDOR 26 27 28 29 30 31 32 33 34 35 PEDIDOS JAN a SET/09 (R$) COMPANHIA ABCS LTDA. 9 11 6 3 5 34 163.461

12345 LTDA 9 4 13 28.953

XYZ LTDA 16 8 24 116.897

DEF GHU LTDA 19 14 18 11 62 397.232

AAAAAAAAAAAAAAAA LTDA. 8 8 36.800

(21)

Pedidos de compras fora da regra de cotação

JUNHO JULHO AGOSTO TOTAL DE TOTAL DE PEDIDOS

FORNECEDOR 26 27 28 29 30 31 32 33 34 35 PEDIDOS JAN a SET/09 (R$)

COMPANHIA ABCS LTDA. 9 11 6 3 5 34 163.461 12345 LTDA 9 4 13 28.953 XYZ LTDA 16 8 24 116.897 DEF GHU LTDA 19 14 18 11 62 397.232

AAAAAAAAAAAAAAAA LTDA. 8 8 36.800 TOTAL 9 11 19 35 15 8 4 18 15 18 152 743.343

CÓD. FORNECEDOR MES SEMANA DATA PEDIDO R$

96740 AAAAAAAAAAAAAAAA LTDA. 8 34 17/08/2009 4501217506 7.500,00 4501219005 1.980,00 18/08/2009 4501219827 6.500,00 21/08/2009 4501221109 4.890,00 4501222460 3.850,00 4501225393 4.500,00 4501226666 4.730,00 22/08/2009 4501227071 2.850,00 TOTAL 8 36.800,00

(22)

Pedidos de compras fora da regra de cotação

96740 AAAAAAAAAAAAAAAA LTDA. 8 34 17/08/2009 4501217506 7.500,00 4501219005 1.980,00 18/08/2009 4501219827 6.500,00 21/08/2009 4501221109 4.890,00 4501222460 3.850,00 4501225393 4.500,00 4501226666 4.730,00 22/08/2009 4501227071 2.850,00 TOTAL 8 36.800,00

REQUISIÇÃO PEDIDO DATA FORNECEDOR R$

29865 4501217506 17/07/09 AAAAAAAAAAAAAAAA LTDA. 7.500,00 4501219005 17/07/09 AAAAAAAAAAAAAAAA LTDA. 1.980,00 30054 4501221109 21/08/09 AAAAAAAAAAAAAAAA LTDA. 4.890,00 4501222460 21/08/09 AAAAAAAAAAAAAAAA LTDA. 3.850,00 4501225393 21/08/09 AAAAAAAAAAAAAAAA LTDA. 4.500,00 4501226666 21/08/09 AAAAAAAAAAAAAAAA LTDA. 4.730,00

(23)

Indicador

(24)

Relatórios

(25)

Modelo de relatório

Pedidos de compras x regra de cotação

Objetivo

• Identificar pedidos de compras que tiveram cotações manipuladas e/ou favorecidas

Risco

• Pedidos de compras que não passaram pelo processo de cotação, ocasionando perdas financeiras decorrente de compras em condições desfavoráveis.

• Atos ilegais decorrentes de cotações indevidas e/ou manipuladas para favorecimento.

96740 AAAAAAAAAAAAAAAA LTDA. 8 34 17/08/2009 450121750 6 7.500,00 450121900 5 1.980,00 18/08/2009 450121982 7 6.500,00

(26)

Modelo de relatório

 Identificar pedidos que podem ter sido criados de forma irregular

return

79%

21%

PD EMITIDOS POST. NF FORN. PEDIDOS OK

(27)

Auditoria Contínua – Visão Geral

Definições e objetivos

Auditoria Contínua

“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no

decorrer de um período.”

Aprimora a governança corporativa

Voltar



Com a auditoria contínua foi possível analisar alguns controles descritos

em normas quanto ao seu cumprimento.



Averiguar a necessidade de atualização de normas internas

(Exemplo: Suprimentos atualizou em sua norma os itens que não

necessitam de requisição para confecção do pedido).

(28)

Auditoria Contínua – Visão Geral

Definições e objetivos

Melhoria no ambiente de controles internos

Voltar



O processo de auditoria contínua identificou a necessidade de criação

de controles para mitigação de riscos



Identificação de controles não efetivos sem razão para existir. (Exemplo:

Planilha de controle de descontos financeiros sem integração com

sistema e com ausência de informações)

(29)

Auditoria Contínua – Visão Geral

Definições e objetivos

Reação em tempo aos riscos de negócios

Voltar



Criação de indicadores para identificar os centros (localidades) que mais

possuem exceção



Empenhar mais esforços em processos/centros com mais exceções



Auditor embasado de informações privilegiadas antes de iniciar o

(30)

Auditoria Contínua – Visão Geral

Definições e objetivos

“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de

um período.”

Obtenção efetiva e eficaz de evidências de auditoria

Voltar

 Identificação de pedidos de compra sem a existência de requisições

 Existência demasiada de compras emergênciais (Aprovações reduzidas)

 Entrada de material por meio de Nota fiscal sem a existência de pedidos de compras

 Entrada de materiais com valor maior que o acordado em pedido de compra

(31)

Auditoria Contínua – Visão Geral

Definições e objetivos

População dos testes de auditoria

Voltar



Analise de 100% da população

(32)

Auditoria Contínua – Visão Geral

Definições e objetivos

“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de

um período.”

Tecnologia como instrumento de auditoria interna eficiente

Voltar



Processo de auditoria contínua automatizado

(Periodicamente a

ferramenta realiza a busca por exceções por meio de agendamento)



Mobilidade na obtenção dos resultados pela ferramenta enviar as

exceções por email

(33)

Auditoria Contínua – Visão Geral

Definições e objetivos

Redução da dependência de TI para obtenção de informações

Voltar



Acesso de consulta a base de dados do sistema, possibilitando maior

alcance e velocidade na obtenção de informações

(34)

Auditoria Contínua – Visão Geral

Definições e objetivos

Auxilia no monitoramento da conformidade com políticas, procedimentos e regulamentos

Voltar



Aquisições de serviços e materiais com a quantidade de cotações

em desacordo com as normas



Identificação de quebras de pedidos de compras para reduzir

número de aprovações

(35)

Auditoria Contínua – Visão Geral

Definições e objetivos

Contribui para a atualização das políticas, procedimentos e normas internas

Voltar



Averiguar a necessidade de atualização de normas internas (Ex.:

Suprimentos atualizou em sua norma os itens que não necessitam de

requisição para confecção do pedido).

(36)

Auditoria Contínua – Visão Geral

Definições e objetivos

“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou

contínua, no decorrer de um período.”

Contribui para o planejamento dos trabalhos de campo para auditoria interna

Voltar



Focar mais esforços nos:

Centros com maior número de exceções;

Fornecedores com maior número de ocorrências/problemas;

Usuários recorrentes identificados;

(37)

KPMG Brasil

Continuous Audit / Continuous Monitoring

CA/CM Survey 2010 Highlights

(38)

Perfil – Receita Operacional Bruta

Até 20 milhões

10%

> 100 milhões e <=

500 milhões

18%

> 500 milhões e <= 1

bilhão

3%

> 1 bilhão

64%

Não informado

5%

(39)

Quase metade ainda espera estar na fase de entendimento da proposta de

valor da AC em 24 meses

3% 5% 41% 8% 26% 15% 3%

Business Case e orçamento aprovados. Projeto piloto prestes a iniciar.

Business Case já finalizado. Aguardando inclusão no orçamento.

Compreendendo a proposição de valor Conduzido pelo Dep. de Auditoria Interna Projeto já implantado há um ou mais anos Projeto piloto já iniciado Não informado

(40)

A grande maioria já iniciou uma implementação da AC

10% 23% 5% 13% 8% 26% 10% 3% 3%

Projeto já implantado há um ou mais anos Projeto piloto já iniciado Business Case já finalizado. Aguardando inclusão no

orçamento.

Compreende a proposição de valor da abordagem AC/MC

Conduzido pelo Dep. de Auditoria Interna Já considerou, porém não iniciou nenhuma fase Não considerou implementar a abordagem de AC/MC. Outros Não informado

(41)

51% 21%

18% 8%

3%

Ainda não houve tempo para avaliação e julgamento

Objetivos não atingidos Objetivos parcialmente atingidos Objetivos plenamente atingidos Não informado

0% 10% 20% 30% 40% 50% 60%

(42)

Redução de despesa posicionada como o impulsionador mais

importante para a AC

13% 21% 28% 15% 5% 5% 3% 8% 3%

Ambiente altamente regulado Ambiente em constante transformação/mudança Ambientes descentralizados Implementação de SAP / outro ERP Integração de empresas pós fusões e aquisições Terceirização / Offshoring Upgrade de sistema Outros Não informado

(43)

A falta de recursos internos e ferramentas tecnológicas apropriadas

continuam sendo as maiores barreiras para a implementação da AC

21% 5% 10% 13% 8% 10% 15% 8% 8% 3%

Ausência de ferramentas e tecnologias apropriadas Ausência de habilidade técnica em análise de dados …

Ausência de recursos internos para implementação Ausência de suporte e patrocínio da liderança Configuração atual dos processos de negócios Cultura corporativa Diferentes e diversas plataformas e aplicativos Suporte interno de tecnologia inadequado Outros Não informado

(44)

Muitos continuam afirmando que a Detecção/Prevenção de Fraudes poderiam

se beneficiar significativamente com a integração do processo de AC

12% 28% 18% 5% 7% 12% 18% 0% 5% 10% 15% 20% 25% 30% Conformidade SOx Detecção e prevenção de fraudes Gerenciamento de risco empresarial Implementação / desenvolvimento de sistemas de TI Melhoria do suporte de TI aos processos de negócio

da empresa

Conformidade com marcos regulatórios Conformidade com políticas e procedimentos

(45)