...

6 Passos Para Implantar uma Auditoria Contínua

by user

on
Category: Documents
7

views

Report

Comments

Transcript

6 Passos Para Implantar uma Auditoria Contínua
6 PASSOS PARA IMPLANTAR UMA AUDITORIA
CONTÍNUA EFICIENTE EM SUA ORGANIZAÇÃO
Washington Lopes da Silva
Agenda
– Histórico da Auditoria Contínua
– A Evolução do Ambiente de TI nas Organizações
– A Evolução da Automação da Auditoria
– Inteligência Artificial Aplicada aos Negócios
– Auditoria Contínua na Visão do AICPA / CICA
– Aspectos da Implantação - “Six steps to an effective continuous
audit process”
– Impactos nos Métodos Tradicionais de Auditoria
Histórico da Auditoria Contínua
Histórico da Auditoria Contínua
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Laboratórios Bell (AT&T) 1986 – 1991
Símpósios de Auditoria Contínua na Rutgers 1999 (I WCARS)
Lei Sarbanes Oxley 2002
IIA – 2005 – GTAG # 3
CarLab Fundado – 2002
I CONTECSI 2004
Pesquisas da ACL e PWC 2005-2007
I Pesquisa FEBRABAN sobre Auditoria Contínua em 2006
Artigo IIA - Six Steps to an Effective Continuous Audit Process 2008
6o. CONTECSI 2009 com o 18o. WCARS
7o. CONTECSI 2010 com o 19o. WCARS
8o. CONTECSI 2011 com o 22o. WCARS
9o. CONTECSI 2012 com o 25o. WCARS
Muitos produtos e esforços na área de Gestão Integrada de Riscos
A Evolução do Ambiente de TI nas Organizações
A Evolução do Ambiente de TI nas Organizações
Qualquer organização alcançará um nível razoável de Automação
de Auditoria até a chegada da Auditoria Contínua somente se ela
estiver caminhando para a Quarta Fase de utilização da tecnologia
da informação.
A Evolução do Ambiente de TI nas Organizações
Fases de Utilização da tecnologia da Informação nas organizações
 Primeira Fase – Processamento de Dados
 Segunda Fase – Sistemas de Informações
 Terceira Fase – Informações Estratégicas
 Quarta Fase – Tecnologia da Informação
A Evolução do Ambiente de TI nas Organizações
Primeira Fase – Processamento de Dados
Podemos chamá-la de a Era do Papel, embora ainda hoje, a maioria das organizações
pareçam estar no ramo de impressões, como se fossem gráficas, dado o volume de
papel existente nelas, naquele tempo pelo menos não havia outra opção. O único meio
de se comunicar com um computador era por meio de papel.
A Evolução do Ambiente de TI nas Organizações
Primeira Fase – Processamento de Dados
 Profissionais caros e inexperientes
 Sistemas estanques
 Processamento batch, ou em lotes
 Interfaces
 Medo do desconhecido e síndrome da inutilidade
A Evolução do Ambiente de TI nas Organizações
Segunda Fase – Sistemas de Informações
Podemos chamá-la de era do Suporte Eletrônico, pois foi quando surgiram os discos
magnéticos, os disquetes de 8¨ e os terminais que começaram a substituir o papel na
comunicação com o computador.
A Evolução do Ambiente de TI nas Organizações
Segunda Fase – Sistemas de Informações
 Profissionais mais caros, e alguns muito mais caros
 Data Entry
 Software de banco de dados
 Teleprocessamento
 Sistemas Transacionais
 Multiprocessamento
A Evolução do Ambiente de TI nas Organizações
Terceira Fase – Informações Estratégicas Era do Ambiente Virtual
Era do Ambiente Virtual. Essa era foi extremamente curta, embora tinha sido muito
importante, pois serviu de transição entre dois modus operandi no tratamento da
informação. A Era do Ambiente Virtual serviu de ponte entre o reinado absoluto dos
mainframes e as novas tecnologias de informação.
A Evolução do Ambiente de TI nas Organizações
Terceira Fase – Informações Estratégicas Era do Ambiente Virtual
 Usuário muito mais participativo
 Os Planos Diretores de Informática (PDIs)
 A decepção do usuário final – O pessoal da área de sistemas de informação não
conseguia dar conta das demandas
 As empresas disseminaram o uso da máquina que iria revolucinar o modus
operandi de todas as atividades em qualquer ramo do conhecimento o dos
negócios. O MICROCOMPUTADOR!
A Evolução do Ambiente de TI nas Organizações
Quarta Fase – Tecnologia da Informação, Era da Globalização
A Era da Globalização é a que nós vivemos hoje. Ela tem como máximo símbolo da
idéia do mundo sem fronteiras, tendo como um dos elementos facilitadores para isso a
Tecnologia da Informação (TI).
Tecnologia da Informação é o conjunto de dispositivos individuais, como hardware,
software, telecomunicações ou qualquer outra tecnologia que, faça parte ou gere
tratamento da informação, ou, ainda, que a contenha.
A Evolução do Ambiente de TI nas Organizações
Quarta Fase – Tecnologia da Informação, Era da Globalização
E antes? Por que não chamávamos de TI a todo esse conjunto?
Simplesmente porque as tecnologias existentes nas outras fases não eram tecnologias
integradas.
Cabe ressaltar que nesta fase o item de maior importância é o Planejamento
Estratégico de Tecnologia da Informação que se divide em três partes básicas:
1) Necessidades
2) Softwares
3) Hardwares
A Evolução do Ambiente de TI nas Organizações
Quarta Fase – Tecnologia da Informação, Era da Globalização
Matriz de Viabilidade do Plano Estratégico de TI
Aplicações sem as quais a organização não
.
conseguirá manter-se no mercado
Aplicações para que o plano estratégico seja
cumprido.
NATUREZA VITAL
Fábrica de Idéias
para novos Sistemas
NATUREZA
OPERACIONAL
AUDITORIA
CONTÍNUA??
Aplicações que garantem o dia-a-dia da
organização e o sucesso das operações
.
NATUREZA
ESTRATÉGICA
NATUREZA SUPORTE
Aplicações sem criticidade, mas importantes
por racionalizar as atividades corriqueiras
.
A Evolução do Ambiente de TI nas Organizações
Questões sobre Automação da Auditoria para solucionar a Matriz de Viabilidade de TI
 Sua organização trata a Auditoria como sendo Vital, Estratégica, Operacional ou Suporte?
 A Automação da Auditoria permitirá que fatores críticos de sucesso sejam alcançados pela
organização?
 ... fará com que a organização consiga desenvolver um novo negócio?
 ... permitirá que a organização corrija alguma falha operacional?
 ... permitirá reverter alguma desvantagem frente à concorrência?
 ... permitirá que futuros problemas possam ser evitados?
 ... reduzirá custos?
 ... aumentará a produtividade?
 ... resultará numa clara vantagem competitiva?
 ... permitirá que a organização alcance um objetivo específico, por exemplo cumprir uma lei ou
norma vigente?
A Evolução da Automação da Auditoria
A Evolução da Automação da Auditoria
Auditoria Contínua
Complexidade
1990 - Forte uso de
Sistemas Especialistas
1980 - TAACs
1960 – 1970
EAMs – Embedded
Audit Modules
Tempo
A Evolução da Automação da Auditoria
1960 – 1970 EAMs – Embedded Audit Modules
EAMs – São sub-rotinas dentro de um programa aplicativo que executa controles ou
procedimentos de auditoria concorrentemente com a aplicação principal. Devido às
dificuldades de se manter estas sub-rotinas, devido ao alto custo, poucas
organizações mantiveram os EAMs.
A Evolução da Automação da Auditoria
1980 TAACs – Técnicas de Auditoria com Auxílio do Computador
As TAACs auxiliam os auditores em campo a realizarem testes, de forma a garantir
uma maior cobertura nas análises de auditorias programadas ou “ad hocs”.
A Evolução da Automação da Auditoria
1990 – Forte uso de Sistemas Especialistas
Durante 1990 o uso de sistemas especialistas para examinar transações ou eventos
que ocorreram devido a falhas nos controles. Sistemas que pudessem identificar
transações que não seguiram controles padrões.
Como exemplos dos sistemas
analisadores de redes computacionais, que analisam perfis de acessos, ou sistemas
que analisam perfis de acessos de outros sistemas como os ERPs.
A Evolução da Automação da Auditoria
Auditoria Contínua
Auditoria contínua é uma método usado para realizar avaliações de controles e riscos
automaticamente em bases contínuas. Utiliza-se de métodos computacionais
diversos, de forma a substituir o trabalho convencional de auditoria e/ou torná-lo
mais abrangente e tempestivo.
Inteligência Artificial Aplicada aos Negócios
Inteligência Artificial Aplicada aos Negócios
 Atualmente, a Inteligência Artificial possibilita um grande número de aplicações
que simulam e representam novas conexões entre
– Pessoas, computadores, conhecimento e o mundo físico;
 Podem auxiliar na tomada de decisão;
 IA está presente em diferentes áreas:
– Distribuição e recuperação de informações;
– Data Mining;
– Desenho de produtos;
– Manufatura;
–
–
–
–
–
Inspeção;
Treinamento e suporte aos usuários;
Planejamento;
Administração de recursos;
Etc...
Inteligência Artificial Aplicada aos Negócios
Inteligência
Artificial
Ciência
Cognitiva
 Baseada em pesquisas
em biologia, neurologia,
psicologia, matemática
e áreas afins
 Concentra-se em pesquisar
como o cérebro humano
funciona e como os seres
humanos pensam e aprendem
Robótica
Interfaces
Naturais
Inteligência Artificial Aplicada aos Negócios
Inteligência
Artificial
Ciência
Cognitiva
Robótica
 Áreas:
 Sistemas Especialistas
 Sistemas de Aprendizagem Adaptativa
 Sistemas de Lógica Difusa
 Agentes Inteligentes
 Redes Neurais
Interfaces
Naturais
Inteligência Artificial Aplicada aos Negócios
 Sistemas Especialistas
– Sistemas de informação que utilizam o conhecimento sobre uma área de
aplicação específica para atuar como um consultor especializado para os
usuários
– Base de conhecimento e módulos de software que executam inferências no
conhecimento e transmitem respostas para as perguntas de um usuário
– Ex.: sistema de diagnóstico médico; Sistemas de Informações Gerenciais (MIS)
Inteligência Artificial Aplicada aos Negócios
Componentes
Componentesde
deum
umSistema
SistemaEspecialista
Especialista
O Sistema Especialista
Conselho
Especializado
Usuário
Programas
Interface
com
de
o Usuário
o Usuário
Programa
Programa
Utilitário
de Inferência
de Inferência
Base de
Conhecimento
Estação de Trabalho
Desenvolvimento do
do Sistema
Sistema Especialista
Especialista
Desenvolvimento
Engenharia
do
Conhecimento
Programa
Programa de
de
Aquisição
Aquisição de
de
Conhecimento
Conhecimento
Estação de Trabalho
Drivers
with Pagers
Especialista e/ou
Engenheiro do
Conhecimento
Inteligência Artificial Aplicada aos Negócios
 Sistemas de Aprendizagem Adaptativa
– Podem modificar seu comportamento com base em informações adquiridas
enquanto opera
– Ex.: Jogo de xadrez; Exames de Certificação, TOEFL; etc
 Sistemas de Lógica Difusa
– Podem processar dados incompletos ou apenas parcialmente corretos
– Podem resolver problemas não estruturados com conhecimento incompleto
mediante o desenvolvimento de inferências e respostas aproximadas;
– Ex.: Se o tempo de um investimento é longo e o sistema financeiro tem sido
não muito estável, então a taxa de risco do investimento é muito alta.
Inteligência Artificial Aplicada aos Negócios
 Agentes Inteligentes
– Utilizam sistema especialista e outras tecnologias de IA para uma diversidade
de aplicações
– Ex.: detecção de intrusão em redes de computadores; programas anti-vírus de
computador.
 Redes Neurais
– Podem aprender processando exemplos de problemas e suas soluções;
– Assim que as redes neurais reconhecem padrões, elas podem começar a se
programar para resolver problemas por si mesmas.
– Exemplo: Autorizador de operações de Cartões de Crédito
Inteligência Artificial Aplicada aos Negócios
Conexões (pesos)
Saídas
Entradas
Inteligência Artificial Aplicada aos Negócios
Inteligência
Artificial
Ciência
Cognitiva
Robótica
 Tecnologia produz
máquinas-robôs com
habilidades físicas
semelhantes às humanas
Interfaces
Naturais
Inteligência Artificial Aplicada aos Negócios
Inteligência
Artificial
Ciência
Cognitiva
Robótica
Interfaces
Naturais
 Percepção visual (visão)
 Habilidades táteis (tato)
 Destreza (habilidade no manuseio e manipulação)
 Locomoção e Condução
 Ex.: Aplicações industriais
Mergulho em grandes profundidades;
Dispensador de dinheiro dos ATMs.
Inteligência Artificial Aplicada aos Negócios
Inteligência
Artificial
Ciência
Cognitiva
Robótica
Interfaces
Naturais
 Essencial ao uso natural dos
computadores por seres
humanos
 Capacidade de conversar
com computadores e robôs (URA)
Auditoria Contínua na Visão do AICPA / CICA
http://www.theiia.org/guidance/technology/gtag3/
Auditoria Contínua na Visão do AICPA / CICA
• Tipo de auditoria que produz resultados simultaneamente ou em um
pequeno período de tempo após a ocorrência de um evento
relevante.
• Conjunto de evidências e indicadores de auditoria gerados de forma
freqüente e automática, baseados em sistemas, processos e
transações.
• Avaliar controles e riscos automaticamente em bases contínuas, de
forma a identificar exceções e anomalias, tendências e indicadores de
riscos.
Auditoria Contínua na Visão do AICPA / CICA
Passos Chaves para a Implementação da Auditoria Contínua
1.
Objetivos da Auditoria Contínua
1.1 Definir os Objetivos da Auditoria Contínua
1.2 Obter Suporte da Gerência Sênior (Alta Administração)
1.3 Analisar o Grau com que a Organização Executa Auditoria Contínua
1.4 Priorizar Áreas e Tipos de Auditoria Contínua
1.4 Identificar Fontes de Informação e Sistemas Aplicativos Chaves
1.6 Entender o Processo de Negócio e Sistemas Aplicativos
1.7 Desenvolver Relacionamento com a Administração de TI
Auditoria Contínua na Visão do AICPA / CICA
Passos Chaves para a Implementação da Auditoria Contínua
2.
Acesso aos Dados e Utilização
2.1 Selecionar e Adquirir Ferramenta de Análise
2.2 Desenvolver Acesso e Capacidade Analítica
2.3 Desenvolver e Manter Habilidades e Técnicas
2.4 Integridade dos Dados
2.5 Preparação dos Dados
Auditoria Contínua na Visão do AICPA / CICA
Passos Chaves para a Implementação da Auditoria Contínua
3.
Avaliação Contínua de Controle
3.1 identificar Pontos Críticos de Controle
3.2 Definir Regras de Controle
3.3 Definir Exceções
3.4 Desenhar Rotina de Auditoria Contínua
Auditoria Contínua na Visão do AICPA / CICA
Passos Chaves para a Implementação da Auditoria Contínua
4. Avaliação Contínua de Riscos
4.1 Definir Entidades para ser Avaliada
4.2 Identificar Categorias de Risco
4.3 identificar Indicadores (Sinais de Alerta)
4.4 Desenhar testes Analíticos para Avaliação do Riscos
Auditoria Contínua na Visão do AICPA / CICA
Passos Chaves para a Implementação da Auditoria Contínua
5. Reporte e Gerenciamento dos Resultados
5.1 Priorizar Resultados e Determinar a Freqüência da Atividade de Auditoria Contínua
5.2 Processar os Testes Regularmente
5.3 Identificar Controles Deficiências ou Incrementar Níveis de Riscos
5.4 Priorizar Resultados
5.5 Auditar e Cobrar Resultados do Auditado
5.5 Gerenciar Resultados (Follow-up)
5.6 Avaliar os Resultados e Ações
5.7 Monitorar e Avaliar o Processo de Auditoria Contínua
5.8 Assegurar a Segurança do Processo de Auditoria Contínua (Auditoria de TI)
Auditoria Contínua na Visão do AICPA / CICA
Motivadores
Aspectos da Implantação
Six Steps to an Effective Continuous Audit Process
http://www.theiia.org/itaudit/features/in-depth-features-2-10-08/feature-2/
Aspectos da Implantação
1. Áreas
Prioritárias
6. Ação e
Reação
2. Regras
Painel de Controle
5. Follow-up
4. Parametrização
3. Freqüência
Aspectos da Implantação
1 – Áreas Prioritárias
– Identificar as áreas de Risco, ranquear os riscos e avaliar os custos
benefícios
– Identificar os objetivos básicos da Auditoria
– Escolher os processos críticos de negócios que serão foco da
Auditoria Contínua
– Identicar os “low hanging fruit”
– Identificar os dados chaves para a implementação da Auditoria
Contínua nos processos mapeados
– Identificar as considerações políticas
Aspectos da Implantação
Objetivos Chaves da Auditoria
– Detectivas: Rotinas que detectam erros potenciais
– Preventivas / Psicológicas: Rotinas que inibem comportamentos
e eventos inapropriados
– Financeiras: Rotinas para reduzir ou evitar perdas financeiras
– Compliance: Rotinas para verificar a aderência às leis existentes,
normas e procedimentos
Aspectos da Implantação
2 – Regras
- Um processo de Auditoria Contínua é escolhido e as regras para
monitoramento, alarme são estabelecidos
- Deve ser levado em consideração os objetivos chaves e aspectos
ambientais, bem como os objetivos particulares do processo
- O processo de Auditoria Contínua é estabelecido adotando
algumas regras, freqüência e parâmetros
Exemplo: Monitorar contas com excesso sobre limite
Aspectos da Implantação
3 – Frequência
- Ritmo Natural do Processo
Tempo do Processo Computacional
Tempo do Processo de Negócio
- Considerações sobre o Custo X Benefício
Aspectos da Implantação
4 – Parametrização
-
Definir parâmetros para analisar de acordo com os riscos
-
Exemplo: Monitorar todas as contas em excesso sobre limites,
diariamente, as quais têm saldo negativo maior do que 20% de seu limite
de crédito e maior do que R$ 10.000,00
Aspectos da Implantação
5 – Follow-up
- Definir quem receberá o alarme?
Gerente
Auditor líder
Superior imediato responsável pelo processo
- Qual será a periodicidade do follow-up?
O alarme será imediato?
O alarme considerará recorrência de ponto de auditoria
Esperar 3 dias corridos do alarme para considerar possíveis regularizações
- Considerar a Escalabilidade
O follow-up deverá subir as alçadas de acordo com o nível de resposta
Aspectos da Implantação
6 – Ação e Reação
- Definir como lidar com os auditados
Falta de concordância com os pontos de auditoria
Resposta inconsistente
Definir como lidar com as considerações individuais
Ser conciso e objetivo com o ponto levantado
Impactos nos Métodos Tradicionais de Auditoria
Impactos nos Métodos Tradicionais de Auditoria
Diminuir a propagação
de erros entre processos
Auditoria
contínua
Monitorar controles
Transmissão de dados
Processo 1
Processo 2
Servir como
meta-controle
Impactos nos Métodos Tradicionais de Auditoria
 Auditoria Contínua é parte da área de Auditoria Interna ou área de
Negócio?
- É parte da área de Auditoria Interna.
 Devemos separar a equipe de Auditoria Contínua e criar uma equipe
específica dentro da Auditoria Interna?
- Sim, para facilitar sua implementação progressivamente em diversas
áreas da Auditoria.
Impactos nos Métodos Tradicionais de Auditoria
Parecer Futuro de Auditoria
Nós examinamos os relatórios financeiros da companhia
ABC e fomos contratados para uma auditoria contínua para
o ano de 20xx. Nós monitoraremos as operações e
realizações estratégicas usando uma série de regras
analíticas de acordo com os padrões geralmente aceitos e
outras regras analíticas que acharmos necessárias e
reportaremos em auditoria por exceção quando
encontrarmos mais do que xx % de variação em relação aos
modelos apropriados. Estes relatórios de exceção serão
emitidos a todos clientes registrados (pagantes).
Obrigado!!
http://raw.rutgers.edu/
http://www.tecsi.fea.usp.br/eventos/contecsi/
http://www.theiia.org/guidance/technology/gtag3/
http://www.theiia.org/intAuditor/itaudit/archives/2008/february/six-steps-to-aneffective-continuous-audit-process/
[email protected]
Fly UP