internal audit services auditoria contínua como driver de … · 2017. 8. 11. · • reforço da...
TRANSCRIPT
INTERNAL AUDIT SERVICES
Auditoria Contínua como Auditoria Contínua como DriverDriver de de f ê f áf ê f áEficiência e Eficácia da Auditoria Eficiência e Eficácia da Auditoria
InternaInterna
ADVISORY SERVICESADVISORY SERVICES
Lisboa, 4 de Novembro de 2008Lisboa, 4 de Novembro de 2008
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 1
XV Conferência AnualXV Conferência Anual
Internal Audit of the FutureInternal Audit of the Future
• Integrated Assurance Model
• Internal Audit’s Role
• Balancing Stakeholders Expectationsa a c g Sta e o de s pectat o s
• Risk Based Approach
• The Right People
• Continuous Auditing and Technology
“Refine its skill sets and risk assessment and auditplanning processes, especially the cycle basedapproach. Also, enhance significantly its use oftechnology and continuous auditing techniques.”
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 2
AgendaAgenda
•• DriversDrivers da Auditoria Contínuada Auditoria Contínua
•• Objectivos e BenefíciosObjectivos e Benefícios
•• Desafios e RequisitosDesafios e Requisitos
•• Auditoria Contínua na PráticaAuditoria Contínua na Prática
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 3
Auditoria Contínua como Driver de Eficiência e Eficácia da Auditoria InternaAuditoria Contínua como Driver de Eficiência e Eficácia da Auditoria Interna
D iD i ddDriversDrivers da da Auditoria ContínuaAuditoria ContínuaAuditoria ContínuaAuditoria Contínua
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 4
DriversDrivers da Auditoria Contínuada Auditoria Contínua
A estratégia de Auditoria Contínua de cada organização é influenciada por vários drivers estratégicos, operacionais e externos…
Capacidade de demonstrar
Capacidade de alavancagem de
estratégias de gestão de informação
Melhor performance através da monitorização consistente de
itens chaveCapacidade de demonstrar as melhores práticas de
Governance
Drivers Estratégicos
Prevenção e detecção de fraude
Maior escrutínio por parte das agências de
rating e bolsas
Ambiente de risco legal e regulamentar em
expansãoEndereçar as
falhas de controlospró-activamente
Drivers Operacionais
Estratégias de Auditoria Contínua Drivers
Externos
Melhor informação na t d d d i ã
Criar oportunidades para reduzir os testes
Risco de negócio crescente devido ao ambiente de incerteza económica
Capacidade de melhorar a eficiência
dos processos
Procura crescente de informação mais
fiável
tomada de decisãode SOX
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 5
Obj tiObj tiObjectivos eObjectivos eBenefíciosBenefíciosBenefíciosBenefícios
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 6
Objectivos da Auditoria ContínuaObjectivos da Auditoria Contínua
• A Auditoria Contínua (AC) consiste na recolha de indicadores e evidência de auditoria, por um auditor internoou externo, em sistemas de TI, processos, transacções e controlos, numa base frequente ou contínua, duranteum período de tempo, sendo que o recurso à tecnologia é crucial para a sua implementação.
• Para além de aumentar a eficiência e eficácia das auditorias, a Auditoria Contínua tem ainda como principaisobjectivos:
Alavancar as ferramentas e tecnologia disponíveis;
Reforçar as capacidades e competências dos auditores;
Assegurar o Compliance com as políticas, procedimentos e regulamentos.
• Paralelamente é necessário considerar uma Monitorização Contínua (MC) como uma ferramenta de gestão eParalelamente, é necessário considerar uma Monitorização Contínua (MC) como uma ferramenta de gestão eobtenção de feedback, baseada no risco, para monitorizar transacções, controlos, sistemas, processos e actividadesmais relevantes.
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 7
Mudança face à abordagem “tradicional”Mudança face à abordagem “tradicional”
90
30
40
50
60
70
80
cácia dos controlos
Esperado
Actual
Tendência Abordagem de
Auditoria Tradicional
-
10
20
1 2 3 4 5 6 7 8 9 10 11 12
Efic
AUDITAUDITAuditoria Tradicional
70
80
90
10
20
30
40
50
60
Eficácia dos controlos
Esperado
Actual
Tendência
AUDIT
Abordagem de Auditoria Contínua
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 8
-
1 2 3 4 5 6 7 8 9 10 11 12
Principais Benefícios da Auditoria ContínuaPrincipais Benefícios da Auditoria Contínua
Reforçar o valor organizacional que, por sua vez,…
Maior Informação
Eficiência Atempada
Controlos Complexidade
Reforçados
p
Reduzida
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 9
… ajudará a Auditoria Interna a acrescentar mais valor ao negócio.
Principais Benefícios da Auditoria ContínuaPrincipais Benefícios da Auditoria Contínua
Reforçar o valor organizacional que, por sua vez,…
Maior • Auditorias por excepção.
C t t ti dEficiência
• Componentes automatizados
• Deficiências auditadas continuamente e corrigidas.
• Redução do tempo de espera dos dados.
• Reforço de um perfil dinâmico e orientado para
Controlos
ç p pprincipais riscos.
• Redução de testes manuais de SOX.
• Automatização de processos manuais.
Reforçados• Redução dos custos de deslocação.
• Expansão do perímetro auditável.
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 10
… ajudará a Auditoria Interna a acrescentar mais valor ao negócio.
Principais Benefícios da Auditoria ContínuaPrincipais Benefícios da Auditoria Contínua
Reforçar o valor organizacional que, por sua vez,…
Maior • A correcção de erros é transferida para mais perto da “fonte”
Eficiênciada fonte .
• Reforço da visibilidade da auditoria interna no negócio e um maior efeito dissuasor.
• Auxiliar na avaliação da eficácia dos controlos e dos
Controlos
riscos dos processos de negócio associados com processos de negócio subcontratados.
• Capacidade de auditar a função de “monitorização”, através de uma perspectiva de Auditoria Interna,
Reforçadosproporcionando mais um elemento importante de governance.
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 11
… ajudará a Auditoria Interna a acrescentar mais valor ao negócio.
Principais Benefícios da Auditoria ContínuaPrincipais Benefícios da Auditoria Contínua
Reforçar o valor organizacional que, por sua vez,…
Informação• Melhoria na rapidez de reporte ao negócio.
Atempadae o a a ap de de epo e ao egóc o
• Diminuição de situações não esperadas.
• Não acumulação de problemas pendentes.
• Reforço da funcionalidade do sistema.
Complexidade
• Identificação de desvios e de má conduta.
• Identificação rápida e atempada de erros.
• Capacidade de proceder, de forma atempada, à análise dos erros, violações às políticas, fraude e má conduta. p
Reduzida• Melhor informação para a tomada de decisão.
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 12
… ajudará a Auditoria Interna a acrescentar mais valor ao negócio.
Principais Benefícios da Auditoria ContínuaPrincipais Benefícios da Auditoria Contínua
Reforçar o valor organizacional que, por sua vez,…
Informação• Diminuição da complexidade através de um processo
Atempadaglobal de normalização, facilitando o processo de revisão.
• Configuração apropriada e consistência dos limites de materialidade.
Complexidade
• Produção automática de relatórios de excepção –foco nos assuntos relevantes.
• O cumprimento regulamentar pode ser auditado.
Maior visibilidade de como os processos estão a p
Reduzida• Maior visibilidade de como os processos estão a funcionar.
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 13
… ajudará a Auditoria Interna a acrescentar mais valor ao negócio.
D fiD fiDesafios e Desafios e RequisitosRequisitosRequisitosRequisitos
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 14
Qual o Modelo Conceptual?Qual o Modelo Conceptual?
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 15
Quais os Requisitos?Quais os Requisitos?
RISCORISCO
•• Conhecimento e ligação aos riscos da organização e ao seu nível de exposição.Conhecimento e ligação aos riscos da organização e ao seu nível de exposição.
•• Desenvolvimento de um Desenvolvimento de um Enterprise Risk Assessment.Enterprise Risk Assessment.
ANÁLISE, DESENHO, IMPLEMENTAÇÃOANÁLISE, DESENHO, IMPLEMENTAÇÃO
•• Análise da situação actual desenho do modelo desejado implementação e monitorizaçãoAnálise da situação actual desenho do modelo desejado implementação e monitorização•• Análise da situação actual, desenho do modelo desejado, implementação e monitorização.Análise da situação actual, desenho do modelo desejado, implementação e monitorização.
•• Interligação com iniciativas de Interligação com iniciativas de governancegovernance e e compliancecompliance..
PESSOAS, PROCESSOS, TECNOLOGIAPESSOAS, PROCESSOS, TECNOLOGIA
•• CommitmentCommitment do do Senior ManagementSenior Management..
•• Abordagem de auditoria organizada e uma equipa de auditoria flexível.Abordagem de auditoria organizada e uma equipa de auditoria flexível.
•• Identificação de Identificação de controlcontrol--ownersowners..
•• Entendimento claro dos sistemas.Entendimento claro dos sistemas.
•• Tecnologia intensiva.Tecnologia intensiva.
CONHECIMENTO FUNCIONAL E DA INDÚSTRIA CONHECIMENTO FUNCIONAL E DA INDÚSTRIA
•• Compreensão dos processos de negócioCompreensão dos processos de negócio
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 16
Compreensão dos processos de negócio.Compreensão dos processos de negócio.
•• Conhecimento da indústria/sector.Conhecimento da indústria/sector.
Quais os Desafios?Quais os Desafios?
•• PessoasPessoas -- falta de competências ao nfalta de competências ao níível da indvel da indúústria/sector e funcionais (ex.: Competências de Governance, stria/sector e funcionais (ex.: Competências de Governance, pp ( p ,( p ,Risco, Mercados Financeiros e Compliance; Competências ao nRisco, Mercados Financeiros e Compliance; Competências ao níível de Fraude e Investigavel de Fraude e Investigaçção).ão).
•• InformaInformaççãoão -- fiabilidade, acessibilidade e disponibilidade dos dados.fiabilidade, acessibilidade e disponibilidade dos dados.
•• Disciplina Disciplina -- consistência e disciplina nos processos de negconsistência e disciplina nos processos de negóócio.cio.
E iE i ã li h d iã li h d i•• ExpectativasExpectativas -- gestão e alinhamento das expectativas.gestão e alinhamento das expectativas.
•• MudanMudanççaa -- a mudana mudançça de a de mindset mindset e procedimentos tem de ser gerida.e procedimentos tem de ser gerida.
•• IndependênciaIndependência -- a auditoria tem de permanecer independente.a auditoria tem de permanecer independente.
•• Impacto nas TIImpacto nas TI -- lidar com impacto nos sistemas e lidar com impacto nos sistemas e outsourcingoutsourcing de IT.de IT.
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 17
Uma abordagem possível para ACUma abordagem possível para AC
Pl D h I l ãA áli E ã A li ã
Fase
Plano Desenho ImplementaçãoAnálise Execução Avaliação
• Prioritizar áreas a endereçar e definir medidas e limites
• Seleccionar conjunto de
• Roll out do plano de implementação (piloto ou total).
• Correr queries e rotinas.
• Identificação de causas de excepções/ resultados.
• Recolher informação relevante.
• Efectuar risk assessment.
• Conduzir uma revisão pós-implementação.
• Identificar potenciais
• Determinar os objectivos com os principais stakeholders.
ferramentas de AC.
• Desenvolver plano de implementação.
• Set-up de actividades de extracção de dados.
• Formação.
Actividades • Efectuar análise de situação
actual.
• Desenho da situação futura.
melhorias.
• Reforço do programa de AC.
Plano de implementação AC
Entendimento de necessidades e requisitos
INITIATIVES
• Working in partnership with the business we will define and deliver Vodafone’s management information requirements, implementing a robust governance process to ensure continuous business information integrity, relevance and value
REQUIREDPLANNED
• Creation of MI function• Definition and communication
of role of finance in management information
• Define data ownership/source/
• Group Technology single billing system
• Common chart of accounts
• Many country based piecemeal projects
• Global Performance
• Hyperion committee• Local OpCo data
warehouses
CURRENTTODAY’S ENVIRONMENTCRITICAL OBJECTIVE:-INSIGHTFUL MANAGEMENT INFORMATION
INITIATIVES
• Working in partnership with the business we will define and deliver Vodafone’s management information requirements, implementing a robust governance process to ensure continuous business information integrity, relevance and value
REQUIREDPLANNED
• Creation of MI function• Definition and communication
of role of finance in management information
• Define data ownership/source/
• Group Technology single billing system
• Common chart of accounts
• Many country based piecemeal projects
• Global Performance
• Hyperion committee• Local OpCo data
warehouses
CURRENTTODAY’S ENVIRONMENTCRITICAL OBJECTIVE:-INSIGHTFUL MANAGEMENT INFORMATION
Gap analysis
5 ) S t a n d a r d iz e sy st e m s in c l u d in g im p le m e n t in g g l o b a l E R P
3 1 .3 .1 0
6 ) S a r b a n e s O x le y
4 ) F in a n ce sh a r e d s e r v ice s
3 ) D e v e lo p in g a g r e a t t e a m
2 ) S im p li fy b u s in e s s p l a n n in g
1 ) M a n a g e m e n t i n f o r m a t io n
3 1 .3 .1 13 1 . 3 .0 93 1 . 3 .0 83 1 .3 .0 73 1 .3 .0 6
5 ) S t a n d a r d iz e sy st e m s in c l u d in g im p le m e n t in g g l o b a l E R P
3 1 .3 .1 0
6 ) S a r b a n e s O x le y
4 ) F in a n ce sh a r e d s e r v ice s
3 ) D e v e lo p in g a g r e a t t e a m
2 ) S im p li fy b u s in e s s p l a n n in g
1 ) M a n a g e m e n t i n f o r m a t io n
3 1 .3 .1 13 1 . 3 .0 93 1 . 3 .0 83 1 .3 .0 73 1 .3 .0 6
G P MV a lu e
D r iv e rs
F e a s ib i l i t y S tu d y i n c l T o o l
S e le c t io n
C o n te n tR e - e n g in e e r in g
G r o u p P la n n in g T o o l
S e le c t io n
C o m m o n In t e g r a te dG lo b a l P la n n in g T o o l
Im p le m e n t C o m m o nO p e ra t in g M o d e l in c lu d in g
B u s in e s s p a r t n e rs
F e a s ib i l i t y S tu d y
I m p le m e n tG o v e rn a n c e
P ro c e s s
A p p o in t m e n t sF in an c e T r an s fo r m a t io n D i r ec to rF in an c e P e o p le L e a d
D e s ig n
A pp o in t m e n tC h ie f In f o r m a tio n O ff ic e r
R e v ie w & I m p ro v e
T a le n t M g m t
C a re e r P a t h s
O p - C oP la n n in g T o o l
I m p le m e n t a t io n
O p -C oP la n n in g T o o l
Im p le m e n ta tio n
O p -C oP la n n in g T o o l
I m p le m e n t a t io n
A pp o in tm e n tsG lob a l L ea d T e am sB en c h m a r k in g / R ev e n u e A s s u r an c e / In v es t m e n t A pp r a is a l
A p p o in t m e n tS in g le O w n e rB u s in es s P la nn in g
B u ild
I n te g ra te &T e s t P i lo t
L a rg eO p -C oP la n
1 s t L a r g e O p -C o
M ig ra t io n
1 s t S m a l lO p -C o
M ig ra tio n
2 nd L a rg eO p - C o
M ig ra t io n
3 rd L a rg e O p -C o
M ig ra t io n
4 th L a rg eO p -C o
M ig ra t io n
2 n d S m a l lO p - C o
M ig r a tio n
3 rd S m a l lO p -C o
M ig ra t io n
5 thS m a l l
M ig ra t io n
6 thS m a l l
M ig ra t io n
7 thS m a l l
M ig ra tio n
8 t hS m a l l
M ig ra tio n
9 t hS m a l l
M ig ra tio n
A pp o in t m e n tP r oc e s s o w n er s
S o XR e m e d ia tio n
S o XT e s tin g
S o XD o c u m e n t a t io n& W a lk t h ro u g h s
E R P D e s ig n
E R P B u i ld
In t e g ra t io n T e s t
P a r tn e rS e le c tio n
M ig ra ti o n& G o L iv e
I m pS tr a t e g y
M ig ra t io n& G o L iv eP i lo t
S S C S o XC o m p l ia n c e
F u l l S o X S S CC o m p l ia n c e
D e f in e C o m m o n R e p o r tin g L ib ra r y
S o u rc eD a ta
B u i ld G lo b a l M IE n v i ro n m e n t
M ig r a te G P M & H y p e r io nI n to
C o m m o n E n v i r o n m e n t
Im p r o v e A m o u n t , F r e q u e n c y
& S o p h is t ic a tio n O f M I
Set-up de actividades de extracção dados
Relatórios de excepção
Reluctance to use high savings tools
30%
40%
50%
60%
70%
80%
90%
% s
eein
g as
impo
rtant Average savings
9.50
9.00
8.50
8.00
7.50
7.00
6.50
6.00
5.50
5.00es
Revisão pós-implementação
Minor
Moderate
Major
1f3e
4e4f
4j
1c
1d1e
2b
3g3a
3h
4b
4d
4g
5a
5c
1a2c
2a
5b
3j
1b
4a
Catastrophic
Ris
k C
onse
quen
ce
Minor
Moderate
Major
1f3e
4e4f
4j
1c
1d1e
2b
3g3a
3h
4b
4d
4g
5a
5c
1a2c
2a
5b
3j
1b
4a
Catastrophic
Ris
k C
onse
quen
ce
Análise de Situação Actual
FUTURE –DO WELL
• < 1 per month per OpCo• 100%• Real time• 100% commonality• Milestones achieved on time and to budget
TARGETS
e e datao e s p/sou ce/policy
• Define group, global and OpCo data and info needs
• Effective MI governance function
• Clarification and effective communication of matrix management roles and responsibilities
• Select IT infrastructure and platform
• Build solution
Management project• Global HR Scorecards• Spend analysis vendor • One Vodafone• DCC (Data Centre
Consolidation)
MEASURES
• Reduced level of ad hoc reporting• New report requests referred to MI
function• Speed of data delivery• Commonality of data definitions across
Vodafone• Execution of plan to deliver
People• Dedicated management information function• Clearly defined role for finance in management informationContent and governance• Strong governance process for management information• Linked to strategic value drivers• Agreed criteria for content• Content optimised on cost and value• Single, trusted view of performanceSystems• Single group wide, global data warehouse• Automated extraction, transformation and loading of dataFunctionality• Delivery of product/segment/customer profitability reporting• Delivery of real time management information (daily/weekly/monthly)
FUTURE –DO WELL
• < 1 per month per OpCo• 100%• Real time• 100% commonality• Milestones achieved on time and to budget
TARGETS
e e datao e s p/sou ce/policy
• Define group, global and OpCo data and info needs
• Effective MI governance function
• Clarification and effective communication of matrix management roles and responsibilities
• Select IT infrastructure and platform
• Build solution
Management project• Global HR Scorecards• Spend analysis vendor • One Vodafone• DCC (Data Centre
Consolidation)
MEASURES
• Reduced level of ad hoc reporting• New report requests referred to MI
function• Speed of data delivery• Commonality of data definitions across
Vodafone• Execution of plan to deliver
People• Dedicated management information function• Clearly defined role for finance in management informationContent and governance• Strong governance process for management information• Linked to strategic value drivers• Agreed criteria for content• Content optimised on cost and value• Single, trusted view of performanceSystems• Single group wide, global data warehouse• Automated extraction, transformation and loading of dataFunctionality• Delivery of product/segment/customer profitability reporting• Delivery of real time management information (daily/weekly/monthly)
Mapeamento dadosSelecção de ferramentas de AC
Domesticoutsourcing
Off shoring
Shared service centres
Process optimisation
Service channels
% seeing as importantAverage savingsRisk assessment
I n s i g n i f i c a n t
M i n o r
M o d e r a t e
M a j o r
R e m o t e U n l i k e l y P o s s i b l e L i k e l y A l m o s t c e r t a i n
1 f3 e
4 c
4 e4 f
4 j
1 c
1 d1 e
2 b
3 g
3 b 3 d3 f
3 a
3 h
4 b
4 d
4 g
4 h
4 i
5 a
5 c
1 a2 c
2 a
5 b
3 j
3 i3 c
1 b
4 a
C a t a s t r o p h i c
Risk
Con
sequ
ence
I n s i g n i f i c a n t
M i n o r
M o d e r a t e
M a j o r
R e m o t e U n l i k e l y P o s s i b l e L i k e l y A l m o s t c e r t a i n
1 f3 e
4 c
4 e4 f
4 j
1 c
1 d1 e
2 b
3 g
3 b 3 d3 f
3 a
3 h
4 b
4 d
4 g
4 h
4 i
5 a
5 c
1 a2 c
2 a
5 b
3 j
3 i3 c
1 b
4 a
C a t a s t r o p h i c
Risk
Con
sequ
ence
Risk Maturity ContinuumRisk Maturity Continuum
Risk SCANA ServicesSCE&G PSNC Energy SEMI SCPC SCANA CommPrime SouthInappropriate credit measurement-Financial losses can result from counterparty failure to meet financial or operational contract terms.
Periodic monitoring of credit exposures; Credit guidelines approved by RMCPeriodic monitoring of credit exposures, Credit guidelines approved by RMC; Regulatory rules; Standard contact terms; Netting agreements; Collateral and letters of credit; Credit reserves
Periodic monitoring of credit exposures, Credit guidelines approved by RMC; Regulatory rules; Standard contact terms; Netting agreements; Collateral and letters of credit; Credit reserves
Periodic monitoring of credit exposures, Credit guidelines approved by RMC; Regulatory rules; Standard contact terms; Netting agreements; Collateral and letters of credit; Credit reserves
Periodic monitoring of credit exposures, Credit guidelines approved by RMC; Regulatory rules; Standard contact terms; Netting agreements; Collateral and letters of credit; Credit reserves
Periodic monitoring of credit exposures, Credit guidelines approved by RMC; Regulatory rules; Standard contact terms; Collateral and letters of credit; Credit reserves
Periodic monitoring of credit exposures, Credit guidelines approved by RMC; Regulatory rules; Standard contact terms; Collateral and letters of credit; Credit reserves
Excessive concentration risk-Financial losses can result from excessive concentration of credit exposure to a specific counterparty, region or market segment.
Periodic measurement of counterparty credit exposures for all companies by the CDD; Credit guidelines approved by RMC; Reporting of exposures to RMC
N/A N/A Periodic measurement of counterparty credit exposures for all companies by the CDD; Credit guidelines approved by RMC; Reporting of exposures to RMC
N/A Periodic measurement of counterparty credit exposures for all companies by the CDD; Credit guidelines approved by RMC; Reporting of exposures to RMC
Periodic measurement of counterparty credit exposures for all companies by the CDD; Credit guidelines approved by RMC; Reporting of exposures to RMCInappropriate credit collateral management-Financial losses can result from failure to collect adequate collateral or to recall posted collateral.
None Management by credit & collections group based on credit scoring and arrears
Management by credit & collections group based on credit scoring and arrears
Management by credit & collections group based on credit scoring and arrears
Management by credit & collections group based on credit scoring and arrears
Management by credit & collections group based on credit scoring and arrears
Management by credit & collections group based on credit scoring and arrears
Inappropriate credit contract terms and conditions- Financial losses can result from failure to develop, review and maintain adequate contract credit provisions.
CCD reviews procurement and sales contract terms for all companies; Legal contract licensing group tracks contract legal terms; Use of standardized contracts with approved creditworthiness clause provisions
CCD reviews procurement and sales contract terms for all companies; Legal contract licensing group tracks contract legal terms; Use of standardized contracts with approved creditworthiness clause provisions
CCD reviews procurement and sales contract terms for all companies; Legal contract licensing group tracks contract legal terms; Use of standardized contracts with approved creditworthiness clause provisions
CCD reviews procurement and sales contract terms for all companies; Legal contract licensing group tracks contract legal terms; Use of standardized contracts with approved creditworthiness clause provisions
CCD reviews procurement and sales contract terms for all companies; Legal contract licensing group tracks contract legal terms; Use of standardized contracts with approved creditworthiness clause provisions
CCD reviews procurement and sales contract terms for all companies; Legal contract licensing group tracks contract legal terms; Use of standardized contracts with approved creditworthiness clause provisions
CCD reviews procurement and sales contract terms for all companies; Legal contract licensing group tracks contract legal terms; Use of standardized contracts with approved creditworthiness clause provisions
Controls Assessment
Where Are They Now?... and Future Aspirations
G
FrameworkElement AdvancedMatureBasic
G
FrameworkElement AdvancedMatureBasicInitial State
Current –1 year later
Principais Milestone Insignificant
Minor
Remote Unlikely Possible Likely Almost certain
4c 4j1e
3b 3d3f
4b
4h
4i2c
3i3cInsignificant
Minor
Remote Unlikely Possible Likely Almost certain
4c 4j1e
3b 3d3f
4b
4h
4i2c
3i3c
Lessons Learned
INITIATIVES
• Working in partnership with the business we will define and deliver Vodafone’s management information requirements, implementing a robust governance process to ensure continuous business information integrity, relevance and value
REQUIREDPLANNED
• Creation of MI function• Definition and communication
of role of finance in management information
• Define data ownership/source/ policy
• Define group, global and OpCo
• Group Technology single billing system
• Common chart of accounts
• Many country based piecemeal projects
• Global Performance Management project
• Global HR Scorecards
• Hyperion committee• Local OpCo data
warehouses
CURRENTTODAY’S ENVIRONMENTCRITICAL OBJECTIVE:-INSIGHTFUL MANAGEMENT INFORMATION
INITIATIVES
• Working in partnership with the business we will define and deliver Vodafone’s management information requirements, implementing a robust governance process to ensure continuous business information integrity, relevance and value
REQUIREDPLANNED
• Creation of MI function• Definition and communication
of role of finance in management information
• Define data ownership/source/ policy
• Define group, global and OpCo
• Group Technology single billing system
• Common chart of accounts
• Many country based piecemeal projects
• Global Performance Management project
• Global HR Scorecards
• Hyperion committee• Local OpCo data
warehouses
CURRENTTODAY’S ENVIRONMENTCRITICAL OBJECTIVE:-INSIGHTFUL MANAGEMENT INFORMATION
INITIATIVES
FUTURE –DO WELL
• Working in partnership with the business we will define and deliver Vodafone’s management information requirements, implementing a robust governance process to ensure continuous business information integrity, relevance and value
• < 1 per month per OpCo• 100%
R l ti
TARGETS
REQUIREDPLANNED
• Creation of MI function• Definition and communication
of role of finance in management information
• Define data ownership/source/ policy
• Define group, global and OpCo data and info needs
• Effective MI governance function
• Clarification and effective communication of matrix management roles and responsibilities
• Select IT infrastructure and platform
• Build solution
• Group Technology single billing system
• Common chart of accounts
• Many country based piecemeal projects
• Global Performance Management project
• Global HR Scorecards• Spend analysis vendor • One Vodafone• DCC (Data Centre
Consolidation)
• Hyperion committee• Local OpCo data
warehouses
CURRENTTODAY’S ENVIRONMENT
MEASURES
• Reduced level of ad hoc reporting• New report requests referred to MI
function
People• Dedicated management information function
Cl l d fi d l f fi i t i f ti
CRITICAL OBJECTIVE:-INSIGHTFUL MANAGEMENT INFORMATION
INITIATIVES
FUTURE –DO WELL
• Working in partnership with the business we will define and deliver Vodafone’s management information requirements, implementing a robust governance process to ensure continuous business information integrity, relevance and value
• < 1 per month per OpCo• 100%
R l ti
TARGETS
REQUIREDPLANNED
• Creation of MI function• Definition and communication
of role of finance in management information
• Define data ownership/source/ policy
• Define group, global and OpCo data and info needs
• Effective MI governance function
• Clarification and effective communication of matrix management roles and responsibilities
• Select IT infrastructure and platform
• Build solution
• Group Technology single billing system
• Common chart of accounts
• Many country based piecemeal projects
• Global Performance Management project
• Global HR Scorecards• Spend analysis vendor • One Vodafone• DCC (Data Centre
Consolidation)
• Hyperion committee• Local OpCo data
warehouses
CURRENTTODAY’S ENVIRONMENT
MEASURES
• Reduced level of ad hoc reporting• New report requests referred to MI
function
People• Dedicated management information function
Cl l d fi d l f fi i t i f ti
CRITICAL OBJECTIVE:-INSIGHTFUL MANAGEMENT INFORMATION
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 18
5544332211
Risk Governance
Risk Assessment
Risk Quantification and Aggregation
Risk Monitoring and Reporting
Risk and Control Optimization
Remain in Compliance
Basic
A Strategic Tool
Advanced
A Management Process
Mature
Today Target:
Example
5544332211
Risk Governance
Risk Assessment
Risk Quantification and Aggregation
Risk Monitoring and Reporting
Risk and Control Optimization
Remain in Compliance
Basic
A Strategic Tool
Advanced
A Management Process
Mature
Today Target:
Example
Risk and Control Optimization
Measuring and Monitoring
Quantification and Aggregation
Assessment
Governance
Risk and Control Optimization
Measuring and Monitoring
Quantification and Aggregation
Assessment
Governancelater
Low effort, time and cost
Moderate effort, time and cost
High effort, time and cost
FUTURE –DO WELL
• < 1 per month per OpCo• 100%• Real time• 100% commonality• Milestones achieved on time and to budget
TARGETS
data and info needs• Effective MI governance
function• Clarification and effective
communication of matrix management roles and responsibilities
• Select IT infrastructure and platform
• Build solution
• Spend analysis vendor • One Vodafone• DCC (Data Centre
Consolidation)
MEASURES
• Reduced level of ad hoc reporting• New report requests referred to MI
function• Speed of data delivery• Commonality of data definitions across
Vodafone• Execution of plan to deliver
People• Dedicated management information function• Clearly defined role for finance in management informationContent and governance• Strong governance process for management information• Linked to strategic value drivers• Agreed criteria for content• Content optimised on cost and value• Single, trusted view of performanceSystems• Single group wide, global data warehouse• Automated extraction, transformation and loading of dataFunctionality• Delivery of product/segment/customer profitability reporting• Delivery of real time management information (daily/weekly/monthly)
FUTURE –DO WELL
• < 1 per month per OpCo• 100%• Real time• 100% commonality• Milestones achieved on time and to budget
TARGETS
data and info needs• Effective MI governance
function• Clarification and effective
communication of matrix management roles and responsibilities
• Select IT infrastructure and platform
• Build solution
• Spend analysis vendor • One Vodafone• DCC (Data Centre
Consolidation)
MEASURES
• Reduced level of ad hoc reporting• New report requests referred to MI
function• Speed of data delivery• Commonality of data definitions across
Vodafone• Execution of plan to deliver
People• Dedicated management information function• Clearly defined role for finance in management informationContent and governance• Strong governance process for management information• Linked to strategic value drivers• Agreed criteria for content• Content optimised on cost and value• Single, trusted view of performanceSystems• Single group wide, global data warehouse• Automated extraction, transformation and loading of dataFunctionality• Delivery of product/segment/customer profitability reporting• Delivery of real time management information (daily/weekly/monthly)
12 A
M
4 A
M
8 A
M
12 P
M
4 P
M
8 P
M
• Real time• 100% commonality• Milestones achieved on time and to budget
function• Speed of data delivery• Commonality of data definitions across
Vodafone• Execution of plan to deliver
• Clearly defined role for finance in management informationContent and governance• Strong governance process for management information• Linked to strategic value drivers• Agreed criteria for content• Content optimised on cost and value• Single, trusted view of performanceSystems• Single group wide, global data warehouse• Automated extraction, transformation and loading of dataFunctionality• Delivery of product/segment/customer profitability reporting• Delivery of real time management information (daily/weekly/monthly)
• Real time• 100% commonality• Milestones achieved on time and to budget
function• Speed of data delivery• Commonality of data definitions across
Vodafone• Execution of plan to deliver
• Clearly defined role for finance in management informationContent and governance• Strong governance process for management information• Linked to strategic value drivers• Agreed criteria for content• Content optimised on cost and value• Single, trusted view of performanceSystems• Single group wide, global data warehouse• Automated extraction, transformation and loading of dataFunctionality• Delivery of product/segment/customer profitability reporting• Delivery of real time management information (daily/weekly/monthly)
A dit i C tíA dit i C tíAuditoria ContínuaAuditoria Contínuana Práticana Práticana Práticana Prática
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 19
Como pode AC contribuir na práticaComo pode AC contribuir na prática
Acumulação de permissõesAtribuição de direitos excessivos
Globalmente, os controlos foram executados de acordo com os procedimentos mas a fraude não foi detectada antes devido (a)
Middle OfficeControlo/Compliance
Front OfficeTrading
Atribuição de direitos excessivos
Violação de segregação de funçõesCapacidade de alterar valores do sistema
procedimentos, mas a fraude não foi detectada antes devido: (a) não execução sistemática de testes detalhados; (b) ausência de alguns controlos.
“knew that they were only monitored at the end of the month and cancelled them before the control took place”
(função original) (nova função) Mission Green Summary Report
transacções com datas
(muito) futuras
transacções sem contraparte cancelamento frequente de transacções
alteração de valores calculados pelo sistema de front-office...
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 20
Back-office não recebe transacções pendentes de
caracterização
Controlo não executado até perto da data da transacção
Elimina transacções (fictícias) antes de actuação do controlo.
Esconde efeito em posição e risco das transacções fictícias
Como pode AC contribuir na práticaComo pode AC contribuir na prática
Acumulação de permissõesAtribuição de direitos excessivos
A Auditoria Contínua pode ser implementada com uma diversidade de técnicas e procedimentos, pode estar
Middle OfficeControlo/Compliance
Front OfficeTrading
Atribuição de direitos excessivos
Detecção/inibição em tempo real de violações à matriz de Segregação de
Funções
suportada em ferramentas específicas ou scripts/queries.
Auditoria Contínua não é Tecnologia, aTecnologia facilita a Auditoria Contínua.
(função original) (nova função)
transacções com datas
(muito) futuras
cancelamento frequente de transacções
alteração de valores calculados pelo sistema de front-office...transacções sem contraparte
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 21
Identificação de Padrões e de execução de operações sensíveis
Identificação de informação em falta/inconsistente.Identificação de tendências e indicadores Detecção de violação de thresholds.
Detecção de violação SoD e de execução de operações sensíveis.
A diferença no factor “Tempo”A diferença no factor “Tempo”
Auditoria Tradicional – “worst case scenario” Controlo corrigido demasiado tarde
Jan Mar Jun DezSet
C l b d
Controlo é desactivado
Auditor Colaborador
Auditor confirma definições do controlo e que o mesmo se encontra a funcionar
Fraude, violação de controlo, erros, etc. não são detectados
Auditor detecta a falha do controlo numa auditoria subsequente
Auditor
Auditoria Contínua – um resultado alternativo
Jan Mar Jun DezSet
Auditoria confirma definições do controlo continuamente
Controlo é desactivado e a falha identificado
Falha de controlo é corrigida
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 22
Auditoria confirma definições do controlo continuamente
Auditor
O papel da Tecnologia na ACO papel da Tecnologia na AC
A id d i d l i f ili i ã d d A di i C í• As capacidades actuais da tecnologia facilitam a concretização dos processos de Auditoria Contínua.
• Actualmente, existem diversas ferramentas disponíveis para suportar/facilitar a Auditoria Contínua, umas maisgenéricas outras mais específicas, podendo englobar as seguintes necessidades:
Violação de Segregação de funções
Identificação de Fraude
Análise de transacções
Validação da informação
Execução de rotinas
Detecção de falha de controlos
T t d t lTeste de controlos
• A aquisição/implementação da ferramenta, por si só, não significa Auditoria Contínua, é necessário “usar” e“pensar” para Auditoria Contínua.
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 23
ConclusõesConclusões
•• AA AuditoriaAuditoria ContContíínuanua éé aa ““colacola”” queque uneune conformidadeconformidade dede controlo,controlo, avaliaavaliaççãoão dede risco,risco, planeamentoplaneamento dede auditoria,auditoria,ananááliselise dede informainformaççãoão ee asas outrasoutras ttéécnicascnicas ee ferramentasferramentas dede auditoriaauditoria..
•• AsAs ttéécnicascnicas dede AuditoriaAuditoria ContContíínuanua podempodem incluirincluir revisãorevisão emem tempotempo realreal detalhadadetalhada ouou ananááliselise dede tendênciastendências eecomparacomparaççãoão aoao longolongo dodo tempotempo..
•• AA AuditoriaAuditoria TradicionalTradicional continuacontinua aa serser necessnecessááriaria ee oo auditorauditor nãonão éé substitusubstituíídodo..
•• AA auditoriaauditoria tornatorna--sese maismais visvisíívelvel parapara osos stakeholdersstakeholders ee comcom maiormaior valorvalor parapara aa organizaorganizaççãoão..aud o aaud o a o ao a sese a sa s ss ee pa apa a osos s a e o de ss a e o de s ee coco a oa o a oa o pa apa a aa o ga ao ga aççãoão
•• AA AuditoriaAuditoria ContContíínuanua pressupõepressupõe oo entendimentoentendimento dede riscosriscos ee controlos,controlos, ee umauma llóógicagica custo/benefcusto/benefííciocio..
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 24
“the cost and time needed to perform a continuous auditing engagement increases as the strength of an organizations’s process and controls decreases” ISACA Continuous Auditing: Is It Fantasry or Reality?
Q&AQ&A
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 25
Gonçalo CarvalhoSenior Manager, IT Advisory Services
KPMG Advisory Tel +351 210 110 019Av. Praia da Vitória, 71A – 11º Fax +351 210 110 134
João MadeiraManager, Business Advisory Services
KPMG Advisory Tel +351 210 110 053Av. Praia da Vitória, 71A – 11º Fax +351 210 110 124
1069-006 Lisboa
KPMG Advisory – Consultores de Gestão, Lda. Is a Portuguese limited liability company
1069-006 Lisboa
KPMG Advisory – Consultores de Gestão, Lda. Is a Portuguese limited liability company
© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 26
A informação contida neste documento é de natureza geral e não se aplica a nenhuma entidade ou situação particular. Apesar de fazermos todos os possíveis para fornecerinformação precisa e actual, não podemos garantir que tal informação seja precisa na data em que for recebida/conhecida ou que continuará a ser precisa no futuro. Ninguémdeve actuar de acordo com essa informação sem aconselhamento profissional apropriado para cada situação específica.