PAINEL TÉCNICO VI AUDITORIA CONTÍNUA

PAINEL TÉCNICO VI

AUDITORIA CONTÍNUA

Evolução das abordagens de auditoria. Auditoria Contínua.

Conceito - Auditoria Contínua

“ Tipo de auditoria que produz resultados simultaneamente ou em um pequeno período de tempo após a ocorrência de um evento relevante”

Fonte: Prof. Miklos Vasarhelyi (KPMG, AICPA, Rutgers University)

evento relevante = possível quebra de controle Ou seja,

Efetuar testes de controles nos processos continuamente, utilizando-se de ferramentas de tecnologia, de forma a identificar inconformidades,

tendências e indicadores de riscos.

Conceito - Auditoria Contínua

A auditoria contínua consiste em uma técnica moderna de auditoria através de testes utilizando bases de dados informatizadas, mediante ferramentas de extração, análise

e mineração de dados, baseada na avaliação de riscos e controles internos.

 Um tipo de auditoria que produz resultados simultaneamente ou em um pequeno período de tempo após a ocorrência de um evento relevante / significativo / anormal / não usual.

 É a eletronização dos processos de aferição “à la auditoria”.

 Verificação de dados rapidamente.

 Transmissão de dados em tempo real, “on line”.

 Aferição e confiabilidade de processo chave.

AUDITORIA CONTÍNUA É UMA FERRAMENTA DA AUDITORIA INTERNA.

Principais benefícios da Auditoria Contínua

Auditoria Contínua

Tempestividade.

(Demonstração dos riscos para

Alta Administração)

Apontamentos de potenciais situações de Fraudes e/ou

perdas financeiras.

Procedimento para validação de

um processo Control Self-

Assessment

Follow-up das recomendações

da AI.

Otimização dos recursos de AI.

Monitoramento e acompanhamento

de gap´s.

Ações corretivas.

Melhoria da Eficiência dos

Processos

Aumento eficiência

da AI

Aumento do escopo e cobertura

Suporte às áreas de controle

interno, Compliance e

Gestores

Pró- atividade

Aumento Mitigação de Riscos

Aumento da Assertividade

das conclusões

O que se espera da implantação da metodologia Auditoria Contínua

Quais seu objetivos?

Aperfeiçoamento contínuo dos indicadores de desempenho, levando-se em conta a correlação entre eventos de riscos.

Fundamental Indicadores de Desempenho na

área de AI

Aumento de investimento em tecnologia para o desenvolvimento da metodologia – extração e análise de dados.

A metodologia da Auditoria Contínua passará a ter maior destaque na estrutura de Governança Corporativa da sua Empresa.

Maior demanda por profissionais com habilidades em estatística, análise de dados e entendimento de processos.

Normas The Institute of Internal Auditors

- IIA

Em suma Auditoria Contínua – Porque a sua implantação?

 FATOR TEMPO, uma vez que as não conformidades nem sempre acontecem e são detectadas durante a realização dos trabalhos de auditoria;

 FATOR AMOSTRAGEM, que pode fazer com que oportunidades de melhorias do sistema não sejam evidenciadas por possíveis falhas na amostra selecionada;

 OTIMIZAÇÃO CAMPO, a pouca participação do auditado durante a realização das auditorias; e

 A NECESSIDADE DE INDEPENDÊNCIA DOS AUDITORES, que faz com que as pessoas com maior conhecimento sobre uma dada área ou setor não participe da auditoria.

Transformando a AUDITORIA INTERNA em

CENTRO DE LUCRO e não como Centro de Custo.

Reforçando

Auditoria Contínua X Auditoria Tradicional

•Avaliação de riscos e controles de forma contínua e automatizada.

•100% das atividades de controles nos processos.

•Priorização ocorre “real-time” com base em indicadores calculados.

•Utilização de dados/informações correntes para identificação das necessidades de auditoria.

Auditoria Contínua

•Testes cíclicos com base em dados históricos (muitas vezes ocorrendo meses após o fato gerador).

•Amostragem.

•Priorização ocorre semestralmente, anualmente ou durante a elaboração do Plano de Auditoria.

• Enfoque voltado para revisão de documentação.

Auditoria

Tradicional

Desafios para implementação da Auditoria Contínua

Definição de KPI´s

Definir os

principais indicadores e

“agentes”.

Coleta de Informações

Diversidade dos bancos

de dados.

ação

Sistemas e aplicações diversificadas nas localidades.

Processamento e performance

Alto custo de desenvolvimento.

Análise de resultados Grande volume

de análise para classificar as

exceções. ^Auto

mação Falta de

integração ou limitação de ferramentas.

Qual seria a missão da Auditoria Contínua?

Avaliar os controles e RISCOS de forma automatizada, em bases contínuas, com o objetivo de identificar

exceções, anomalias, tendências e indicadores de riscos.

Conceito de auditoria tradicional, 1 vez por ano, não atende mais às necessidades das empresas.

Auditoria Contínua não substitui Auditoria Convencional.

Auditoria Contínua - Metodologia

A) MAPA DE RISCOS E B) INCONFORMIDADES

1. Áreas prioritárias 2. Regras

3. Frequência PAINEL DE

CONTROLE 6. Ação e Reação

5. Follow-up 4. Parametrização

INCONFORMIDADES

“Engenharia Reversa”.

Partindo dos erros/inconformidades.

Atacar e sanar o que se configurou como problema.

Ir direto aos pontos, resolvendo-os.

Trabalho coordenado evitando lacunas ou sobreposições.

Aumento: sinergia, produtividade e eficácia.

Auditoria Contínua x Monitoração Contínua

AUDITORIA CONTÍNUA

ATIVIDADE DA AUDITORIA

INTERNA

MONITORAMENTO CONTÍNUO

ATIVIDADE OPERACIONAL EXECUTADA PELO

GESTOR/ÁREA

AUDITORIA BASEADA EM RISCOS / INCONFORMIDADES

Coleta de evidências de auditoria e de indicadores, por um auditor, em Sistemas de TI, processos, operações e controles em base contínua.

Mecanismo de feedback automático, utilizado pela administração, para assegurar que os sistemas e controles funcionam conforme projetado

e transações são processadas conforme prescrito.

Auditoria Contínua - 1. Identificação das áreas prioritárias



Identificar as áreas de Riscos, ranquear os riscos e avaliar os custos benefícios.

 Identificar os objetivos da Auditoria Contínua.

 Escolher os processos críticos de negócios que serão foco da Auditoria Contínua.

 Identificar os dados chaves para a implementação da Auditoria Contínua nos processos mapeados.

 Identificar as considerações políticas.

Auditoria Contínua - 2. Regras



Um processo de Auditoria Contínua é escolhido e as regras para monitoramento, alarme são estabelecidos.

 As regras devem levar em consideração os objetivos do processo e as normas e procedimentos internos e legais.

 Deve ser levado em consideração os objetivos chaves e aspectos

ambientais, bem como os objetivos particulares do processo.

Auditoria Contínua - 3. Frequência

 Ritmo natural do processo:

- Tempo do Processo Computacional; e - Tempo do Processo de Negócio.

 Considerações sobre o Custo x Benefício.

.

Auditoria Contínua - 4. Parametrização

 Definir parâmetros para analisar de acordo com os riscos.

Exemplo: Monitorar Contas a Receber, diariamente, Clientes que não possuem mais limites de créditos para suas compras, ou seja, seu limite de crédito para compras está com saldo 0 (zero) e possuem faturas em aberto, mas adimplentes; Clientes que estão inadimplentes a mais de 30 dias e novas vendas estão sendo realizadas.

.

Auditoria Contínua - 5. Follow - up

 Definir quem receberá o alarme ???

- Gerente;

- Auditor; ou

- Superior imediato responsável pelo processo.

 Qual será a periodicidade do follow-up?

- O alarme será imediato?

- O alarme considerará recorrência de ponto de auditoria?

- Esperar 3 dias corridos do alarme para considerar possíveis regularizações?

 Considerar a Escalabilidade:

- O follow-up deverá subir as alçadas de acordo com o nível de resposta??

.

Auditoria Contínua - 6. Ação e Reação

 Definir como lidar com os auditados:

- Falta de concordância com os pontos de auditoria.

- Resposta inconsistente.

- Definir como lidar com as considerações individuais.

- Ser conciso e objetivo com o ponto levantado.

.

METODOLOGIA

AUDITORIA CONTÍNUA

RESPONSABILIDADE DA AUDITORIA INTERNA

COMPLIANCE OU

???

.

“A AUDITORIA INTERNA é uma atividade independente e objetiva que presta serviços de avaliação (assurance) e consultoria e tem como objetivo adicionar valor e melhorar as operações de uma organização. A auditoria auxilia a organização a alcançar seus objetivos, adotando uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gestão de riscos, de controle e governança corporativa”. (IIA – The Institute of Internal Audiitors)

Do verbo em inglês to comply:

 cumprir, executar, satisfazer, realizar o que lhe foi imposto, ou seja, É o DEVER de cumprir, estar em conformidade e fazer cumprir regulamentos internos e externos impostos às atividades da instituição.

SER E ESTAR EM COMPLIANCE

 “SER compliance” é conhecer as normas da organização, seguir os procedimentos recomendados, agir em conformidade e sentir o quão fundamental a ética e a idoneidade em todas as atitudes.

 ‘Estar em compliance” é estar em conformidade com leis e regulamentos internos e externos.

 “SER e ESTAR em compliance” é, acima de tudo, ma obrigação individual de cada colaborador dentro da instituição, atividade que pode ou não ser coordenada centralizadamente na sua busca.

Assistir aos gestores no gerenciamento do risco de compliance.

Risco de sanções legais ou regulamentares, perdas financeiras ou mesmo perdas reputacionais decorrentes da falta de cumprimento de disposições legais, regulamentares, códigos de conduta,

etc.

Compliance vai além das barreiras regulamentares e legais, incorporando também princípios de integridade e conduta ética.

 Planejamento das atividades (implementação e revisão de políticas):

- Conformidade com leis.

- Aprovação de produtos.

- Comunicação dos riscos.

- Suporte a negócios.

- Disseminação cultura.

- Treinamento e Capacitação.

- Cultura de Controles.

- PLD/fcpa

 Abrangência do programa.

 Matriz de Risco Regulatório.

 KRI (Key Risk Indicator).

PODEMOS CONCLUIR QUE ....

A implantação da metodologia Auditoria Contínua é de responsabilidade da Auditoria Interna.

O monitoramento contínuo é de responsabilidade dos Gestores.

Auditoria Interna deve estar alinhada com Compliance , considerando que a

Auditoria Interna está com foco na Inteligência em Gestão de Riscos.

Boas práticas para a implementação da Auditoria Contínua

GRAU DE COMPROMISSO COM A MELHORIA / INOVAÇÃO EM TERMOS INSTITUCIONAIS:

 Apoio da Alta Administração.

 Padronizar visando a incorporação da nova prática à cultura da Empresa.

 Consolidação dos ganhos.

EM TERMOS DE AVALIAÇÃO / RECONHECIMENTO:

 Estruturação, implementação e análise de Indicadores de Desempenho em Auditoria Interna – KPI’s. (Medição é a primeira etapa que leva ao controle e, eventualmente à melhoria).

 Avaliação de reconhecimento/performance.

EM TERMOS DE IMPLANTAÇÃO/CONTINUIDADE/MONITORAMENTO:

 Sistemática de análises dos GAP´s.

 Análise dos desvios apontados pelos indicadores para implementação do plano de ação com revisão contínua.

 Apresentação para Alta Administração e da situação dos planos e definição das ações corretivas que se fizerem necessária.

 Produção de Relatório de Auditoria Interna.

 Capacitação dos envolvidos.

Boas práticas para a implementação da Auditoria Contínua

Definindo os KRI´s

Mapeamento de BDs

Extração de Dados

Cálculo dos indicadores e repositório de

dados

Priorização dos resultados

ANALISAR os trabalhos realizados pela AI.

CLASSIFICAR e priorizar os principais riscos.

AVALIAR o nível de automação.

DEFINIR os KRI´s.

VALIDAR com os gestores os KRI´s

MAPEAR processos, sistemas e Banco

de Dados.

MAPEAR informações necessárias para

cálculo.

DESCARTAR os indicadores com

informações indisponíveis.

DEFINIR modelo de extração de

dados.

CRIAR as Querys Requeridas.

PROGRAMAR a tempestividade da extração das informações.

CRIAR ou alterar os scrpits já pré

definidos.

ACOMPANHAR a execução do cálculo.

VALIDAR o cálculo com as áreas.

REALIZAR ajustes necessários.

PROGRAMAR a periodicidade dos

cálculos.

CONFIGURAR os critérios de visualização.

CADASTRAR os KRI´s no Painel de

Controle.

TESTAR a navegação e visualização.

DISPONIBILIZAR aos gestores.

Principais pecados que vocês não podem cometer...

o Agir por “modismo” não se sustenta no tempo. NÃO VALE AUTOMATIZAR POR AUTOMATIZAR.

o Criar burocracia “burra”, onde a automação que se buscou gerar ficou mais cara e mais lenta que o trabalho manual do auditor. PRODUTIVIDADE COM QUALIDADE, É

A REGRA.

o Isoladamente da Auditoria Interna. Não compartilhar o processo e resultados com

Compliance

NECESSÁRIA.

o Falta de compreensão dos conceitos, processos e procedimentos de auditoria e usos da Auditoria Contínua. AUMENTAR A VELOCIDADE E HABILIDADE PARA

MITIGAR RISCOS.

website: www.istcorp.com.br e-mail: ist@istcorp.com.br

Rua Dona Antonia de Queirós, 504 – 9o. andar 01307-010 | Higienópolis | S. Paulo – SP | Brasil

Phone: +55 – 11 – 4304-0200 / 4305-0200