PAINEL TÉCNICO VI
AUDITORIA CONTÍNUA
Evolução das abordagens de auditoria. Auditoria Contínua.
Conceito - Auditoria Contínua
“ Tipo de auditoria que produz resultados simultaneamente ou em um pequeno período de tempo após a ocorrência de um evento relevante”
Fonte: Prof. Miklos Vasarhelyi (KPMG, AICPA, Rutgers University)
evento relevante = possível quebra de controle Ou seja,
Efetuar testes de controles nos processos continuamente, utilizando-se de ferramentas de tecnologia, de forma a identificar inconformidades,
tendências e indicadores de riscos.
Conceito - Auditoria Contínua
A auditoria contínua consiste em uma técnica moderna de auditoria através de testes utilizando bases de dados informatizadas, mediante ferramentas de extração, análise
e mineração de dados, baseada na avaliação de riscos e controles internos.
Um tipo de auditoria que produz resultados simultaneamente ou em um pequeno período de tempo após a ocorrência de um evento relevante / significativo / anormal / não usual.
É a eletronização dos processos de aferição “à la auditoria”.
Verificação de dados rapidamente.
Transmissão de dados em tempo real, “on line”.
Aferição e confiabilidade de processo chave.
AUDITORIA CONTÍNUA É UMA FERRAMENTA DA AUDITORIA INTERNA.
Principais benefícios da Auditoria Contínua
Auditoria Contínua
Tempestividade.
(Demonstração dos riscos para
Alta Administração)
Apontamentos de potenciais situações de Fraudes e/ou
perdas financeiras.
Procedimento para validação de
um processo Control Self-
Assessment
Follow-up das recomendações
da AI.
Otimização dos recursos de AI.
Monitoramento e acompanhamento
de gap´s.
Ações corretivas.
Melhoria da Eficiência dos
Processos
Aumento eficiência
da AI
Aumento do escopo e cobertura
Suporte às áreas de controle
interno, Compliance e
Gestores
Pró- atividade
Aumento Mitigação de Riscos
Aumento da Assertividade
das conclusões
O que se espera da implantação da metodologia Auditoria Contínua
Quais seu objetivos?
Aperfeiçoamento contínuo dos indicadores de desempenho, levando-se em conta a correlação entre eventos de riscos.
Fundamental Indicadores de Desempenho na
área de AI
Aumento de investimento em tecnologia para o desenvolvimento da metodologia – extração e análise de dados.
A metodologia da Auditoria Contínua passará a ter maior destaque na estrutura de Governança Corporativa da sua Empresa.
Maior demanda por profissionais com habilidades em estatística, análise de dados e entendimento de processos.
Normas The Institute of Internal Auditors
- IIA
Em suma Auditoria Contínua – Porque a sua implantação?
FATOR TEMPO, uma vez que as não conformidades nem sempre acontecem e são detectadas durante a realização dos trabalhos de auditoria;
FATOR AMOSTRAGEM, que pode fazer com que oportunidades de melhorias do sistema não sejam evidenciadas por possíveis falhas na amostra selecionada;
OTIMIZAÇÃO CAMPO, a pouca participação do auditado durante a realização das auditorias; e
A NECESSIDADE DE INDEPENDÊNCIA DOS AUDITORES, que faz com que as pessoas com maior conhecimento sobre uma dada área ou setor não participe da auditoria.
Transformando a AUDITORIA INTERNA em
CENTRO DE LUCRO e não como Centro de Custo.
Reforçando
Auditoria Contínua X Auditoria Tradicional
•Avaliação de riscos e controles de forma contínua e automatizada.
•100% das atividades de controles nos processos.
•Priorização ocorre “real-time” com base em indicadores calculados.
•Utilização de dados/informações correntes para identificação das necessidades de auditoria.
Auditoria Contínua
•Testes cíclicos com base em dados históricos (muitas vezes ocorrendo meses após o fato gerador).
•Amostragem.
•Priorização ocorre semestralmente, anualmente ou durante a elaboração do Plano de Auditoria.
• Enfoque voltado para revisão de documentação.
Auditoria
Tradicional
Desafios para implementação da Auditoria Contínua
Definição de KPI´s
Definir os
principais indicadores e
“agentes”.
Coleta de Informações
Diversidade dos bancos
de dados.
Integração
Sistemas e aplicações diversificadas nas localidades.
Processamento e performance
Alto custo de desenvolvimento.
Análise de resultados Grande volume
de análise para classificar as
exceções. Auto
mação Falta de
integração ou limitação de ferramentas.
Qual seria a missão da Auditoria Contínua?
Avaliar os controles e RISCOS de forma automatizada, em bases contínuas, com o objetivo de identificar
exceções, anomalias, tendências e indicadores de riscos.
Conceito de auditoria tradicional, 1 vez por ano, não atende mais às necessidades das empresas.
Auditoria Contínua não substitui Auditoria Convencional.
Auditoria Contínua - Metodologia
A) MAPA DE RISCOS E B) INCONFORMIDADES
1. Áreas prioritárias 2. Regras
3. Frequência PAINEL DE
CONTROLE 6. Ação e Reação
5. Follow-up 4. Parametrização
INCONFORMIDADES
“Engenharia Reversa”.
Partindo dos erros/inconformidades.
Atacar e sanar o que se configurou como problema.
Ir direto aos pontos, resolvendo-os.
Trabalho coordenado evitando lacunas ou sobreposições.
Aumento: sinergia, produtividade e eficácia.
Auditoria Contínua x Monitoração Contínua
AUDITORIA CONTÍNUA
ATIVIDADE DA AUDITORIA
INTERNA
MONITORAMENTO CONTÍNUO
ATIVIDADE OPERACIONAL EXECUTADA PELO
GESTOR/ÁREA
AUDITORIA BASEADA EM RISCOS / INCONFORMIDADES
Coleta de evidências de auditoria e de indicadores, por um auditor, em Sistemas de TI, processos, operações e controles em base contínua.
Mecanismo de feedback automático, utilizado pela administração, para assegurar que os sistemas e controles funcionam conforme projetado
e transações são processadas conforme prescrito.
Auditoria Contínua - 1. Identificação das áreas prioritárias
Identificar as áreas de Riscos, ranquear os riscos e avaliar os custos benefícios.
Identificar os objetivos da Auditoria Contínua.
Escolher os processos críticos de negócios que serão foco da Auditoria Contínua.
Identificar os dados chaves para a implementação da Auditoria Contínua nos processos mapeados.
Identificar as considerações políticas.
Auditoria Contínua - 2. Regras
Um processo de Auditoria Contínua é escolhido e as regras para monitoramento, alarme são estabelecidos.
As regras devem levar em consideração os objetivos do processo e as normas e procedimentos internos e legais.
Deve ser levado em consideração os objetivos chaves e aspectos
ambientais, bem como os objetivos particulares do processo.
Auditoria Contínua - 3. Frequência
Ritmo natural do processo:
- Tempo do Processo Computacional; e - Tempo do Processo de Negócio.
Considerações sobre o Custo x Benefício.
.
Auditoria Contínua - 4. Parametrização
Definir parâmetros para analisar de acordo com os riscos.
Exemplo: Monitorar Contas a Receber, diariamente, Clientes que não possuem mais limites de créditos para suas compras, ou seja, seu limite de crédito para compras está com saldo 0 (zero) e possuem faturas em aberto, mas adimplentes; Clientes que estão inadimplentes a mais de 30 dias e novas vendas estão sendo realizadas.
.
Auditoria Contínua - 5. Follow - up
Definir quem receberá o alarme ???
- Gerente;
- Auditor; ou
- Superior imediato responsável pelo processo.
Qual será a periodicidade do follow-up?
- O alarme será imediato?
- O alarme considerará recorrência de ponto de auditoria?
- Esperar 3 dias corridos do alarme para considerar possíveis regularizações?
Considerar a Escalabilidade:
- O follow-up deverá subir as alçadas de acordo com o nível de resposta??
.
Auditoria Contínua - 6. Ação e Reação
Definir como lidar com os auditados:
- Falta de concordância com os pontos de auditoria.
- Resposta inconsistente.
- Definir como lidar com as considerações individuais.
- Ser conciso e objetivo com o ponto levantado.
.
METODOLOGIA
AUDITORIA CONTÍNUA
RESPONSABILIDADE DA AUDITORIA INTERNA
COMPLIANCE OU
???
.
“A AUDITORIA INTERNA é uma atividade independente e objetiva que presta serviços de avaliação (assurance) e consultoria e tem como objetivo adicionar valor e melhorar as operações de uma organização. A auditoria auxilia a organização a alcançar seus objetivos, adotando uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gestão de riscos, de controle e governança corporativa”. (IIA – The Institute of Internal Audiitors)
Do verbo em inglês to comply:
cumprir, executar, satisfazer, realizar o que lhe foi imposto, ou seja, É o DEVER de cumprir, estar em conformidade e fazer cumprir regulamentos internos e externos impostos às atividades da instituição.
SER E ESTAR EM COMPLIANCE
“SER compliance” é conhecer as normas da organização, seguir os procedimentos recomendados, agir em conformidade e sentir o quão fundamental a ética e a idoneidade em todas as atitudes.
‘Estar em compliance” é estar em conformidade com leis e regulamentos internos e externos.
“SER e ESTAR em compliance” é, acima de tudo, ma obrigação individual de cada colaborador dentro da instituição, atividade que pode ou não ser coordenada centralizadamente na sua busca.
Assistir aos gestores no gerenciamento do risco de compliance.
Risco de sanções legais ou regulamentares, perdas financeiras ou mesmo perdas reputacionais decorrentes da falta de cumprimento de disposições legais, regulamentares, códigos de conduta,
etc.
Compliance vai além das barreiras regulamentares e legais, incorporando também princípios de integridade e conduta ética.
Planejamento das atividades (implementação e revisão de políticas):
- Conformidade com leis.
- Aprovação de produtos.
- Comunicação dos riscos.
- Suporte a negócios.
- Disseminação cultura.
- Treinamento e Capacitação.
- Cultura de Controles.
- PLD/fcpa
Abrangência do programa.
Matriz de Risco Regulatório.
KRI (Key Risk Indicator).
PODEMOS CONCLUIR QUE ....
A implantação da metodologia Auditoria Contínua é de responsabilidade da Auditoria Interna.
O monitoramento contínuo é de responsabilidade dos Gestores.
Auditoria Interna deve estar alinhada com Compliance , considerando que a
Auditoria Interna está com foco na Inteligência em Gestão de Riscos.
Boas práticas para a implementação da Auditoria Contínua
GRAU DE COMPROMISSO COM A MELHORIA / INOVAÇÃO EM TERMOS INSTITUCIONAIS:
Apoio da Alta Administração.
Padronizar visando a incorporação da nova prática à cultura da Empresa.
Consolidação dos ganhos.
EM TERMOS DE AVALIAÇÃO / RECONHECIMENTO:
Estruturação, implementação e análise de Indicadores de Desempenho em Auditoria Interna – KPI’s. (Medição é a primeira etapa que leva ao controle e, eventualmente à melhoria).
Avaliação de reconhecimento/performance.
EM TERMOS DE IMPLANTAÇÃO/CONTINUIDADE/MONITORAMENTO:
Sistemática de análises dos GAP´s.
Análise dos desvios apontados pelos indicadores para implementação do plano de ação com revisão contínua.
Apresentação para Alta Administração e da situação dos planos e definição das ações corretivas que se fizerem necessária.
Produção de Relatório de Auditoria Interna.
Capacitação dos envolvidos.
Boas práticas para a implementação da Auditoria Contínua
Definindo os KRI´s
Mapeamento de BDs
Extração de Dados
Cálculo dos indicadores e repositório de
dados
Priorização dos resultados
ANALISAR os trabalhos realizados pela AI.
CLASSIFICAR e priorizar os principais riscos.
AVALIAR o nível de automação.
DEFINIR os KRI´s.
VALIDAR com os gestores os KRI´s
MAPEAR processos, sistemas e Banco
de Dados.
MAPEAR informações necessárias para
cálculo.
DESCARTAR os indicadores com
informações indisponíveis.
DEFINIR modelo de extração de
dados.
CRIAR as Querys Requeridas.
PROGRAMAR a tempestividade da extração das informações.
CRIAR ou alterar os scrpits já pré
definidos.
ACOMPANHAR a execução do cálculo.
VALIDAR o cálculo com as áreas.
REALIZAR ajustes necessários.
PROGRAMAR a periodicidade dos
cálculos.
CONFIGURAR os critérios de visualização.
CADASTRAR os KRI´s no Painel de
Controle.
TESTAR a navegação e visualização.
DISPONIBILIZAR aos gestores.
Principais pecados que vocês não podem cometer...
o Agir por “modismo” não se sustenta no tempo. NÃO VALE AUTOMATIZAR POR AUTOMATIZAR.
o Criar burocracia “burra”, onde a automação que se buscou gerar ficou mais cara e mais lenta que o trabalho manual do auditor. PRODUTIVIDADE COM QUALIDADE, É
A REGRA.
o Isoladamente da Auditoria Interna. Não compartilhar o processo e resultados com
Compliance
, Gestão de Riscos e áreas afins. VISÃO INTEGRADA DO PROCESSO ÉNECESSÁRIA.
o Falta de compreensão dos conceitos, processos e procedimentos de auditoria e usos da Auditoria Contínua. AUMENTAR A VELOCIDADE E HABILIDADE PARA
MITIGAR RISCOS.
website: www.istcorp.com.br e-mail: ist@istcorp.com.br
Rua Dona Antonia de Queirós, 504 – 9o. andar 01307-010 | Higienópolis | S. Paulo – SP | Brasil
Phone: +55 – 11 – 4304-0200 / 4305-0200