Auditoria Contínua

(1)

(2)

Implementando Auditoria Contínua

Agenda

1. Estrutura e responsabilidades

2. Premissas

3. Metodologia

4. Implementação da Auditoria Contínua

5. Alguns Questionamentos

(3)

(4)

Estrutura e Responsabilidades

DEA DEA Elder Aquino Elder Aquino Coordenadoria de Coordenadoria de TAACs TAACs Rafael Mundy Rafael Mundy Supte

Supte. . AudAud. TI e . TI e Cont

Contíínuanua Washington Lopes Washington Lopes

Ger.

Ger. Aud. TI InfraAud. TI Infra Paulo Medina Paulo Medina

Ger.

Ger. AudAud. TI . TI Aplicativos Aplicativos Carlos Vallilo Carlos Vallilo

Ger.

Ger. AudAud. Cont. Contíínuanua Nilton Sigolo Nilton Sigolo

1 gerente + 6 colaboradores 1 gerente + 6 colaboradores

1 coordenador + 4 colaboradores

(5)

Missão da Auditoria Contínua

Avaliar controles e riscos automaticamente em

bases contínuas, de forma a identificar exceções

e anomalias, tendências e indicadores de riscos.

(6)

(7)

Premissas - GTAG – Global Technology Audit Guide

Passos Chaves para a Implementação da Auditoria Contínua

1. Objetivos da Auditoria Contínua

1.1 Definir os Objetivos da Auditoria Contínua

1.2 Obter Suporte da Gerência Sênior (Alta Administração)

1.3 Analisar o Grau com que a Organização Executa Auditoria Contínua 1.4 Priorizar Áreas e Tipos de Auditoria Contínua

1.4 Identificar Fontes de Informação e Sistemas Aplicativos Chaves 1.6 Entender o Processo de Negócio e Sistemas Aplicativos

(8)

Passos Chaves para a Implementação da Auditoria Contínua

2. Acesso aos Dados e Utilização

2.1 Selecionar e Adquirir Ferramenta de Análise 2.2 Desenvolver Acesso e Capacidade Analítica 2.3 Desenvolver e Manter Habilidades e Técnicas 2.4 Integridade dos Dados

2.5 Preparação dos Dados

(9)

Passos Chaves para a Implementação da Auditoria Contínua

3. Avaliação Contínua de Controle

3.1 identificar Pontos Críticos de Controle 3.2 Definir Regras de Controle

3.3 Definir Exceções

3.4 Desenhar Rotina de Auditoria Contínua

(10)

Passos Chaves para a Implementação da Auditoria Contínua

4. Avaliação Contínua de Riscos

4.1 Definir Entidades para ser Avaliada 4.2 Identificar Categorias de Risco

4.3 identificar Indicadores (Sinais de Alerta)

4.4 Desenhar testes Analíticos para Avaliação do Riscos

(11)

Passos Chaves para a Implementação da Auditoria Contínua

5. Reporte e Gerenciamento dos Resultados

5.1 Priorizar Resultados e Determinar a Freqüência da Atividade de Auditoria Contínua

5.2 Processar os Testes Regularmente

5.3 Identificar Controles Deficientes ou Incrementar Níveis de Riscos 5.4 Priorizar Resultados

5.5 Auditar e Cobrar Resultados do Auditado 5.5 Gerenciar Resultados (Follow-up)

5.6 Avaliar os Resultados e Ações

5.7 Monitorar e Avaliar o Processo de Auditoria Contínua

5.8 Assegurar a Segurança do Processo de Auditoria Contínua (Auditoria de TI)

(12)

(13)

Metodologia

2. Regras

5. Follow-up

1. Áreas

Prioritárias

6. Ação e

Reação

4. Parametrização

3. Freqüência

Painel de Controle

(14)

Identificação das Áreas Prioritárias

– Identificar as áreas de Risco, ranquear os riscos e avaliar os

custos benefícios

– Identificar os objetivos básicos da Auditoria

– Escolher os processos críticos de negócios que serão foco

da Auditoria Contínua

– Identicar os “low hanging fruit”

– Identificar os dados chaves para a implementação da

Auditoria Contínua nos processos mapeados

(15)

Regras

Um processo de Auditoria Contínua é escolhido e as regras

para monitoramento, alarme são estabelecidos

As regras devem levar em consideração os objetivos do

processo e as normas internas e legais

Deve ser levado em consideração os objetivos chaves e

aspectos ambientais, bem como os objetivos particulares do

processo

(16)

Freqüência

Rítmo Natural do Processo

Tempo do Processo Computacional

Tempo do Processo de Negócio

(17)

Parametrização

Definir parâmetros para analisar de acordo com os riscos

- Exemplo: Monitorar adiantamentos a depositantes, diariamente, os

quais têm saldo negativo maior do que XX% de seu limite de crédito

e maior do que R$ XX.

(18)

Follow-up

Definir quem receberá o alarme?

– Gerente

– Auditor líder

– Superior imediato responsável pelo processo

Qual será a periodicidade do follow-up?

– O alarme será imediato?

– O alarme considerará recorrência de ponto de auditoria

– Esperar 3 dias corridos do alarme para considerar possíveis

regularizações

Considerar a Escalabilidade

(19)

Ação e Reação

Definir como lidar com os auditados

- Falta de concordância com os pontos de auditoria

- Resposta inconsistente

- Definir como lidar com as considerações individuais

- Ser conciso e objetivo com o ponto levantado

(20)

Objetivos Chaves do Processo de Auditoria Contínua

Detectivas: Rotinas que detectam erros potenciais

Preventivas / Psicológicas: Rotinas que inibem comportamentos e

eventos inapropriados

Financeiras: Rotinas para reduzir ou evitar perdas financeiras

Compliance: Rotinas para verificar a aderência às leis existentes,

(21)

1. Adiantamento a Depositantes : >= R$ XX

Rotinas Diárias

Detectiva Psicológica/

Preventiva Financeira Conformidade

Abordagem

X X X

2. Excesso sobre Limites : >=R$ xx X X X X

3. Cheques Acolhidos e Devolvidos >=R$ xx

X X X

4. Estorno de Tributos Federais (Darf; GRPS; FGTS; Arrecadações) >=R$.xx

X X X

5. Emissão de TED – Estorno de lçto a crédito >= R$ xx

X X X X

X

(22)

(23)

Implementação da Auditoria Contínua

Elabora

Elaboraçção do ão do Plano de Plano de Implementa Implementaççãoão Desenho do Desenho do Modelo Futuro Modelo Futuro Entendimento da Entendimento da situa

situaçção atualão atual

Avaliação dos

requerimentos e necessidades de TI

Levantamento de

sinergias com áreas da Instituição

Levantamento de

demandas para a Auditoria Contínua Seleção do Piloto Definição de arquitetura de TI Validação da arquitetura de TI Definição do modelo conceitual do piloto (definição de indicadores, suas dimensões e critérios de extração e mapeamento de dados) Priorização de demandas (matriz risco vs Definição de plano de implementação do Modelo Futuro

(24)

Implementação da Auditoria Contínua

**TAAC (*)**

(AC)

• Rotinas estruturadas e com periodicidade e indicadores fixos • Follow-up

• Atividade sob demanda (Ad Hocs) • Manutenção de rotinas da auditoria

contínua

• Pesquisa e análises pontuais

CARACTERÍSTICAS NECESSIDADES

• Acesso rápido à diversas fontes e formatos de dados

• Flexibilidade na geração de relatórios

Demanda Estruturada

% Alto de demandas não estruturadas

• Habilidade para cálculo de indicadores

complexos

• Acesso a informações de forma estruturada e com periodicidade fixa • Habilidade de visão dos

indicadores em diversas dimensões

• Follow-up e Publicação estruturados

(25)

Seguro e Previdência Administrativo Consumo Atacado/Corp Private Varejo Linha 20-F Conta Contábil/$ Empresa* Segmento Componente Avaliação de riscos

+

Balance Sheet Income Statement Balancete Contábil (contas de resultado, ativo, passivo e patrimoniais) 9.Terceirização 8 Estrutura Org. 6.Gestão/pessoa s 5.Infra-estrutura 4.Informações 3.Aplicativos 2.Produto 1.Processo

(26)

Implementação da Auditoria Contínua

20-F

Varejo Processo

ROTINA 1

Controlar PDD Risco de Crédito

Risco Operacional ROTINA 2

Varejo Processo

Risco Legal

Risco Operacional ROTINA 3 Segmento Componente Descrição Complemento 1

Não avaliado / Alto / Não avaliado

Risco de Crédito Risco Operacional Complemento 2 Risco Controle/

Inerente/ Geral Riscos Indentificados

Net Loan Provisão Operacões Crédito Suporte - Financeiro - Realizar Fechamentos Contábeis Alterar limites Net Loan Operações

Crédito Operações de Crédito - Disponibilizar e monitorar crédito Monitorar status de contas de empréstimos (acompanhar vencidos, limites, utilização, inatividade) Controlar e Lançar PDD Calcular e contabilizar PDD

Moderado / Alto/ Alto

Alto / Muito Alto/ Muito Alto

(27)

(28)

Alguns Questionamentos

Aplicações sem as quais a organização não conseguirá manter-se no mercado

.

NATUREZA VITAL

Aplicações para que o plano estratégico seja cumprido.

Aplicações que garantem o dia-a-dia da organização e o sucesso das operações

.

Aplicações sem criticidade, mas

importantes por racionalizar as atividades corriqueiras

.

NATUREZA OPERACIONAL NATUREZA ESTRATÉGICA NATUREZA SUPORTE Fábrica de Idéias para novos Sistemas AUDITORIA CONTÍNUA

Matriz de Viabilidade

(29)

Alguns Questionamentos

Questões sobre Automação da Auditoria para solucionar a Matriz de Viabilidade de TI

Sua organização trata a Auditoria como sendo Vital, Estratégica, Operacional ou Suporte?

A Automação da Auditoria permitirá que fatores críticos de sucesso sejam alcançados pela organização?

... fará com que a organização consiga desenvolver um novo negócio? ... permitirá que a organização corrija alguma falha operacional?

... permitirá reverter alguma desvantagem frente à concorrência? ... permitirá que futuros problemas possam ser evitados?