01 de outubro de 2010
Continuous Auditing & Continuous
Monitoring
André Rangel
Gerente Sênior KPMG Risk Advisory Services
Conteúdo
Contexto
Definições e objetivos
Dimensões
Enterprise Risk Management
Ambiente de Auditoria Interna
Redução de Custos
Fases de um projeto de Auditoria Contínua
Fatores Críticos de Sucesso
Cases (Logística/Vendas e Compras)
CA/CM Survey 2010 Highlights - Brasil
Contexto
No atual
complexo cenário econômico
, vem ocorrendo um aumento
no foco da adoção de formas inovadoras para avaliar e gerenciar
riscos enquanto aprimoramento do desempenho.
Os avanços tecnológicos
vem pavimentando o caminho para o
aumento do uso de Auditoria Contínua nos processos, transações,
sistemas e controles das organizações.
As organizações estão
utilizando tecnologias
como fator de mudança
na forma com que avaliam a efetividade dos controles e o
monitoramento do seu desempenho.
A Auditoria Contínua fornece
profundo conhecimento
sobre as áreas
de risco e oportunidades, enquanto fortalece as estruturas de
governança corporativa.
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditoria, obtido por um auditor interno ou
externo, em sistemas, processos, transações e controles em uma base freqüente ou
contínua, no decorrer de um período.”
Aprimora a governança corporativa
Melhoria no ambiente de controles internos Reação em tempo aos riscos de negócios
Obtenção efetiva e eficaz de evidências de auditoria População dos testes de auditoria
Tecnologia como instrumento de auditoria interna eficiente Redução da dependência de TI para obtenção de informações
Auxilia no monitoramento da conformidade com políticas, procedimentos e regulamentos Contribui para o planejamento dos trabalhos de campo para auditoria interna
Dimensões da Auditoria Contínua
Integrando ferramentas de análises
Análise de Nível Macro para tendências, padrões e resultados (e.g., Giro dos estoques, PMR, PMP, Turnover, etc.) Gerenciamento dos controles financeiros, Segregação de função, etc. Análise de exceções baseadas em transações e gerenciamento das regras de negócio Dimensão de Controles Risco/ Performance Dimensão de Transações
A otimização de riscos e performance é efetivada quando todas as três dimensões são implementadas
Dimensão Analítica
Enterprise Risk Management
Ambiente de Auditoria Interna
Auditoria Contínua
• Auditorias baseadas em alertas/indicadores
• Plano de auditoria dinâmico
• Análise de 100% da população (testes)
• Análise próxima da ocorrência do desvio
• Facilidade de seleção de itens para testes da auditoria
• Possibilidade de histórico das tendências dos desvios
• Melhoria/acompanhamento das normas e políticas internas
• Aprimoramento do conhecimento do auditor interno (processo e ferramentas de TI)
Auditoria
•
Auditoria cíclica
•
Focada em riscos
•
Foco na cobertura do
universo de auditoria
•
Seleção de um percentual
de população (testes)
•
Auditoria de
processos/unidades de
negócios – “ponta a ponta”
•
Extração limitada de dados
nas auditorias
Redução de Custos
Exemplos de áreas para redução de custos utilizando AC/MC
Economias potenciais relativas à performance
-
Redução de custos associada à fraude, desperdícios e abusos
-
Redução de custos associada com a redução de erros e re-trabalhos
-
Redução de custos de compliance com regulamentos e políticas
Economias potenciais relativas aos riscos
-
Realocação de recursos focando-os em atividades significativas de riscos
-
Potencial redução dos custos de compliance com a SOX
-
Incremento na detecção e prevenção de fraudes e redução no número de
incidentes
Cronograma
Atividades Agosto Setembro Outubro Novembro Dezembro Status
Reestruturação Levantamento de informações Desenvolvimento de Scripts Homologação (Testes) Ações corretivas Implementação Planejado
Real e/ou previsão de término
Finalizado
Não iniciado Em processo
Projetar
MATRIZ DAS EXCEÇÕES return
PROCESSO SUBPROCESSO REF. OBJETIVOS EXCEÇÃO PERIODICIDADE
MM-SUPRIMEN TOS
M4-PEDIDO DE COMPRA
M4.4 Compras fora do padrão:
Identificar o volume de compras fora do padrão versus o volume de compras da companhia por produto.
Identificar se as compras que não tiveram a aprovação em conformidade com a alçada competente estabelecida na norma de suprimentos.
1) Pedidos de compras que não utilizaram a estratégia de liberação
2) Volume de compras fora do padrão por tipo de produto
MENSAL
MM-SUPRIMEN TOS
M3-COTAÇÃO M3.2 Verificar se as compras abaixo do limite não estão sendo manipuladas
1)Volume de compras abaixo do limite mínimo estabelecido para compras sem cotação
MENSAL MM-SUPRIMEN TOS M4-PEDIDO DE COMPRA
M4.1 Identificar o volume de compras realizadas sem requisição
Pedidos de compras sem requisição MENSAL MM-SUPRIMEN TOS M5-RECEBIMENTO MATERIAIS/SER VIÇOS
M5.1 Identificar pedidos de compras criados para poder registrar a nota fiscal de mercadoria e/ou serviço recebido fora do processo normal de suprimentos:
Requisição de compras Cotação
Pedido de compras
Recebimento de mercadoria,
ou seja, pedido criado para registro da nota fiscal no contas a pagar
Notas fiscais de fornecedores emitidas com data inferior e/ou igual a data do pedido de compras criado pela área de suprimentos
Implementar – Documentação das Exceções
Avaliar
Tarefas realizadas
Desenho e estrutura das exceções Mapeamentos das tabelas e campos do SAP
Desenvolvimento e automação das exceções do projeto piloto Validação das exceções geradas
Definição dos próximos processos e exceções
Próximos passos
Definir o modelo de relatório para apresentar as exceções
Concluir a documentação do projeto
Treinar os envolvidos para utilização das rotinas
Pontos críticos
Monitoramento do cronograma
Auxílio da infra-estrutura (Cliente) para viabilizar que o ACL envie as exceções por email
Macro cronograma
Atividades Agosto Setembr
o Outubro Novembr o Dezembr o Status Reestruturação Levantamento Desenvolv. Homologação Implementação Ações corretivas
Fatores críticos de sucesso
Respostas para esses problemas vitais
- Educação executiva no desenvolvimento de um 'business case' - Suporte do Diretor de Auditoria no que tange à abordagem - Compromisso de treinar os recursos internos
- Capacidades de análise da causa raiz para erros, violações de políticas e má conduta - Identificação dos principais pontos de verificação de controle
- A metodologia enfatiza o aprimoramento contínuo
- Início detalhado do projeto e documentos do plano de trabalho
- O perfil de risco da organização é fundamental para a avaliação e projeto da abordagem de AC - Conhecimento e ligação com as exposições a riscos empresariais
Apoio dos executivos sênior
Recursos experientes e ferramentas
tecnológicas
- Equipe experiente que pode começar o trabalho de campo imediatamente - Conhecimento profundo dos processos de negócio e conteúdo das indústrias - Seleção das ferramentas de Auditoria Contínua apropriada
Abordagem estabelecida para a AC Abordagem bem planejada Alinhamento organizacional
- Associação com membros da equipe interna para possibilitar a transferência de conhecimento - Alinhamento consistente das metas, medidas e incentivos
- Auditar a função de “monitoramento” sob uma perspectiva da Auditoria Interna
Fatores críticos de sucesso
CASE
Objetivos do Projeto:
• Disponibilizar relatórios de análise para os trabalhos de Auditoria Interna.
• Identificação antecipada de erros
• Aumentar a eficiência e eficácia da auditoria interna
• Racionalizar os Trabalhos
• Aumentar as capacidades e competências dos auditores
• Maior velocidade na prestação de contas aos gestores, comitê de auditoria e conselho de administração
Case – Logística e Vendas
Preço Predador
Case – Logística e Vendas
Case - Compras
Pedidos de Compras
X
Pedidos de compras fora da regra de cotação
JUNHO JULHO AGOSTO TOTAL DE TOTAL DE PEDIDOS
FORNECEDOR 26 27 28 29 30 31 32 33 34 35 PEDIDOS JAN a SET/09 (R$) COMPANHIA ABCS LTDA. 9 11 6 3 5 34 163.461
12345 LTDA 9 4 13 28.953
XYZ LTDA 16 8 24 116.897
DEF GHU LTDA 19 14 18 11 62 397.232
AAAAAAAAAAAAAAAA LTDA. 8 8 36.800
Pedidos de compras fora da regra de cotação
JUNHO JULHO AGOSTO TOTAL DE TOTAL DE PEDIDOS
FORNECEDOR 26 27 28 29 30 31 32 33 34 35 PEDIDOS JAN a SET/09 (R$)
COMPANHIA ABCS LTDA. 9 11 6 3 5 34 163.461 12345 LTDA 9 4 13 28.953 XYZ LTDA 16 8 24 116.897 DEF GHU LTDA 19 14 18 11 62 397.232
AAAAAAAAAAAAAAAA LTDA. 8 8 36.800 TOTAL 9 11 19 35 15 8 4 18 15 18 152 743.343
CÓD. FORNECEDOR MES SEMANA DATA PEDIDO R$
96740 AAAAAAAAAAAAAAAA LTDA. 8 34 17/08/2009 4501217506 7.500,00 4501219005 1.980,00 18/08/2009 4501219827 6.500,00 21/08/2009 4501221109 4.890,00 4501222460 3.850,00 4501225393 4.500,00 4501226666 4.730,00 22/08/2009 4501227071 2.850,00 TOTAL 8 36.800,00
Pedidos de compras fora da regra de cotação
CÓD. FORNECEDOR MES SEMANA DATA PEDIDO R$
96740 AAAAAAAAAAAAAAAA LTDA. 8 34 17/08/2009 4501217506 7.500,00 4501219005 1.980,00 18/08/2009 4501219827 6.500,00 21/08/2009 4501221109 4.890,00 4501222460 3.850,00 4501225393 4.500,00 4501226666 4.730,00 22/08/2009 4501227071 2.850,00 TOTAL 8 36.800,00
REQUISIÇÃO PEDIDO DATA FORNECEDOR R$
29865 4501217506 17/07/09 AAAAAAAAAAAAAAAA LTDA. 7.500,00 4501219005 17/07/09 AAAAAAAAAAAAAAAA LTDA. 1.980,00 30054 4501221109 21/08/09 AAAAAAAAAAAAAAAA LTDA. 4.890,00 4501222460 21/08/09 AAAAAAAAAAAAAAAA LTDA. 3.850,00 4501225393 21/08/09 AAAAAAAAAAAAAAAA LTDA. 4.500,00 4501226666 21/08/09 AAAAAAAAAAAAAAAA LTDA. 4.730,00
Indicador
Relatórios
Modelo de relatório
Pedidos de compras x regra de cotação
Objetivo
• Identificar pedidos de compras que tiveram cotações manipuladas e/ou favorecidas
Risco
• Pedidos de compras que não passaram pelo processo de cotação, ocasionando perdas financeiras decorrente de compras em condições desfavoráveis.
• Atos ilegais decorrentes de cotações indevidas e/ou manipuladas para favorecimento.
CÓD. FORNECEDOR MES SEMANA DATA PEDIDO R$
96740 AAAAAAAAAAAAAAAA LTDA. 8 34 17/08/2009 450121750 6 7.500,00 450121900 5 1.980,00 18/08/2009 450121982 7 6.500,00
Modelo de relatório
Identificar pedidos que podem ter sido criados de forma irregular
return
79%
21%
PD EMITIDOS POST. NF FORN. PEDIDOS OK
Auditoria Contínua – Visão Geral
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no
decorrer de um período.”
Aprimora a governança corporativa
Voltar
Com a auditoria contínua foi possível analisar alguns controles descritos
em normas quanto ao seu cumprimento.
Averiguar a necessidade de atualização de normas internas
(Exemplo: Suprimentos atualizou em sua norma os itens que não
necessitam de requisição para confecção do pedido).
Auditoria Contínua – Visão Geral
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no
decorrer de um período.”
Melhoria no ambiente de controles internos
Voltar
O processo de auditoria contínua identificou a necessidade de criação
de controles para mitigação de riscos
Identificação de controles não efetivos sem razão para existir. (Exemplo:
Planilha de controle de descontos financeiros sem integração com
sistema e com ausência de informações)
Auditoria Contínua – Visão Geral
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no
decorrer de um período.”
Reação em tempo aos riscos de negócios
Voltar
Criação de indicadores para identificar os centros (localidades) que mais
possuem exceção
Empenhar mais esforços em processos/centros com mais exceções
Auditor embasado de informações privilegiadas antes de iniciar o
Auditoria Contínua – Visão Geral
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de
um período.”
Obtenção efetiva e eficaz de evidências de auditoria
Voltar
Identificação de pedidos de compra sem a existência de requisições
Existência demasiada de compras emergênciais (Aprovações reduzidas)
Entrada de material por meio de Nota fiscal sem a existência de pedidos de compras
Entrada de materiais com valor maior que o acordado em pedido de compra
Auditoria Contínua – Visão Geral
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no
decorrer de um período.”
População dos testes de auditoria
Voltar
Analise de 100% da população
Auditoria Contínua – Visão Geral
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no decorrer de
um período.”
Tecnologia como instrumento de auditoria interna eficiente
Voltar
Processo de auditoria contínua automatizado
(Periodicamente a
ferramenta realiza a busca por exceções por meio de agendamento)
Mobilidade na obtenção dos resultados pela ferramenta enviar as
exceções por email
Auditoria Contínua – Visão Geral
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no
decorrer de um período.”
Redução da dependência de TI para obtenção de informações
Voltar
Acesso de consulta a base de dados do sistema, possibilitando maior
alcance e velocidade na obtenção de informações
Auditoria Contínua – Visão Geral
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no
decorrer de um período.”
Auxilia no monitoramento da conformidade com políticas, procedimentos e regulamentos
Voltar
Aquisições de serviços e materiais com a quantidade de cotações
em desacordo com as normas
Identificação de quebras de pedidos de compras para reduzir
número de aprovações
Auditoria Contínua – Visão Geral
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou contínua, no
decorrer de um período.”
Contribui para a atualização das políticas, procedimentos e normas internas
Voltar
Averiguar a necessidade de atualização de normas internas (Ex.:
Suprimentos atualizou em sua norma os itens que não necessitam de
requisição para confecção do pedido).
Auditoria Contínua – Visão Geral
Definições e objetivos
Auditoria Contínua
“Conjunto de evidências e indicadores de auditora, obtido por um auditor interno ou externo, em sistemas, processos, transações e controles em uma base freqüente ou
contínua, no decorrer de um período.”
Contribui para o planejamento dos trabalhos de campo para auditoria interna
Voltar
Focar mais esforços nos:
Centros com maior número de exceções;
Fornecedores com maior número de ocorrências/problemas;
Usuários recorrentes identificados;
KPMG Brasil
Continuous Audit / Continuous Monitoring
CA/CM Survey 2010 Highlights
Perfil – Receita Operacional Bruta
Até 20 milhões
10%
> 100 milhões e <=
500 milhões
18%
> 500 milhões e <= 1
bilhão
3%
> 1 bilhão
64%
Não informado
5%
Quase metade ainda espera estar na fase de entendimento da proposta de
valor da AC em 24 meses
3% 5% 41% 8% 26% 15% 3%Business Case e orçamento aprovados. Projeto piloto prestes a iniciar.
Business Case já finalizado. Aguardando inclusão no orçamento.
Compreendendo a proposição de valor Conduzido pelo Dep. de Auditoria Interna Projeto já implantado há um ou mais anos Projeto piloto já iniciado Não informado
A grande maioria já iniciou uma implementação da AC
10% 23% 5% 13% 8% 26% 10% 3% 3%Projeto já implantado há um ou mais anos Projeto piloto já iniciado Business Case já finalizado. Aguardando inclusão no
orçamento.
Compreende a proposição de valor da abordagem AC/MC
Conduzido pelo Dep. de Auditoria Interna Já considerou, porém não iniciou nenhuma fase Não considerou implementar a abordagem de AC/MC. Outros Não informado
51% 21%
18% 8%
3%
Ainda não houve tempo para avaliação e julgamento
Objetivos não atingidos Objetivos parcialmente atingidos Objetivos plenamente atingidos Não informado
0% 10% 20% 30% 40% 50% 60%
Redução de despesa posicionada como o impulsionador mais
importante para a AC
13% 21% 28% 15% 5% 5% 3% 8% 3%Ambiente altamente regulado Ambiente em constante transformação/mudança Ambientes descentralizados Implementação de SAP / outro ERP Integração de empresas pós fusões e aquisições Terceirização / Offshoring Upgrade de sistema Outros Não informado
A falta de recursos internos e ferramentas tecnológicas apropriadas
continuam sendo as maiores barreiras para a implementação da AC
21% 5% 10% 13% 8% 10% 15% 8% 8% 3%
Ausência de ferramentas e tecnologias apropriadas Ausência de habilidade técnica em análise de dados …
Ausência de recursos internos para implementação Ausência de suporte e patrocínio da liderança Configuração atual dos processos de negócios Cultura corporativa Diferentes e diversas plataformas e aplicativos Suporte interno de tecnologia inadequado Outros Não informado
Muitos continuam afirmando que a Detecção/Prevenção de Fraudes poderiam
se beneficiar significativamente com a integração do processo de AC
12% 28% 18% 5% 7% 12% 18% 0% 5% 10% 15% 20% 25% 30% Conformidade SOx Detecção e prevenção de fraudes Gerenciamento de risco empresarial Implementação / desenvolvimento de sistemas de TI Melhoria do suporte de TI aos processos de negócio
da empresa
Conformidade com marcos regulatórios Conformidade com políticas e procedimentos