internal audit services auditoria contínua como driver de … · 2017. 8. 11. · • reforço da...

INTERNAL AUDIT SERVICES

Auditoria Contínua como Auditoria Contínua como DriverDriver de de f ê f áf ê f áEficiência e Eficácia da Auditoria Eficiência e Eficácia da Auditoria

InternaInterna

ADVISORY SERVICESADVISORY SERVICES

Lisboa, 4 de Novembro de 2008Lisboa, 4 de Novembro de 2008

© 2008 KPMG Advisory – Consultores de Gestão, Lda., a firma portuguesa membro da KPMG Internacional, uma cooperativa suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG Internacional. 1

XV Conferência AnualXV Conferência Anual

Internal Audit of the FutureInternal Audit of the Future

• Integrated Assurance Model

• Internal Audit’s Role

• Balancing Stakeholders Expectationsa a c g Sta e o de s pectat o s

• Risk Based Approach

• The Right People

• Continuous Auditing and Technology

“Refine its skill sets and risk assessment and auditplanning processes, especially the cycle basedapproach. Also, enhance significantly its use oftechnology and continuous auditing techniques.”


AgendaAgenda

•• DriversDrivers da Auditoria Contínuada Auditoria Contínua

•• Objectivos e BenefíciosObjectivos e Benefícios

•• Desafios e RequisitosDesafios e Requisitos

•• Auditoria Contínua na PráticaAuditoria Contínua na Prática


Auditoria Contínua como Driver de Eficiência e Eficácia da Auditoria InternaAuditoria Contínua como Driver de Eficiência e Eficácia da Auditoria Interna

D iD i ddDriversDrivers da da Auditoria ContínuaAuditoria ContínuaAuditoria ContínuaAuditoria Contínua


DriversDrivers da Auditoria Contínuada Auditoria Contínua

A estratégia de Auditoria Contínua de cada organização é influenciada por vários drivers estratégicos, operacionais e externos…

Capacidade de demonstrar

Capacidade de alavancagem de

estratégias de gestão de informação

Melhor performance através da monitorização consistente de

itens chaveCapacidade de demonstrar as melhores práticas de

Governance

Drivers Estratégicos

Prevenção e detecção de fraude

Maior escrutínio por parte das agências de

rating e bolsas

Ambiente de risco legal e regulamentar em

expansãoEndereçar as

falhas de controlospró-activamente

Drivers Operacionais

Estratégias de Auditoria Contínua Drivers

Externos

Melhor informação na t d d d i ã

Criar oportunidades para reduzir os testes

Risco de negócio crescente devido ao ambiente de incerteza económica

Capacidade de melhorar a eficiência

dos processos

Procura crescente de informação mais

fiável

tomada de decisãode SOX


Obj tiObj tiObjectivos eObjectivos eBenefíciosBenefíciosBenefíciosBenefícios


Objectivos da Auditoria ContínuaObjectivos da Auditoria Contínua

• A Auditoria Contínua (AC) consiste na recolha de indicadores e evidência de auditoria, por um auditor internoou externo, em sistemas de TI, processos, transacções e controlos, numa base frequente ou contínua, duranteum período de tempo, sendo que o recurso à tecnologia é crucial para a sua implementação.

• Para além de aumentar a eficiência e eficácia das auditorias, a Auditoria Contínua tem ainda como principaisobjectivos:

Alavancar as ferramentas e tecnologia disponíveis;

Reforçar as capacidades e competências dos auditores;

Assegurar o Compliance com as políticas, procedimentos e regulamentos.

• Paralelamente é necessário considerar uma Monitorização Contínua (MC) como uma ferramenta de gestão eParalelamente, é necessário considerar uma Monitorização Contínua (MC) como uma ferramenta de gestão eobtenção de feedback, baseada no risco, para monitorizar transacções, controlos, sistemas, processos e actividadesmais relevantes.


Mudança face à abordagem “tradicional”Mudança face à abordagem “tradicional”

90

30

40

50

60

70

80

cácia dos controlos

Esperado

Actual

Tendência Abordagem de

Auditoria Tradicional

-

10

20

1 2 3 4 5 6 7 8 9 10 11 12

Efic

AUDITAUDITAuditoria Tradicional

70

80

90

10

20

30

40

50

60

Eficácia dos controlos

Esperado

Actual

Tendência

AUDIT

Abordagem de Auditoria Contínua


-

1 2 3 4 5 6 7 8 9 10 11 12

Principais Benefícios da Auditoria ContínuaPrincipais Benefícios da Auditoria Contínua

Reforçar o valor organizacional que, por sua vez,…

Maior Informação

Eficiência Atempada

Controlos Complexidade

Reforçados

p

Reduzida


… ajudará a Auditoria Interna a acrescentar mais valor ao negócio.



Maior • Auditorias por excepção.

C t t ti dEficiência

• Componentes automatizados

• Deficiências auditadas continuamente e corrigidas.

• Redução do tempo de espera dos dados.

• Reforço de um perfil dinâmico e orientado para

Controlos

ç p pprincipais riscos.

• Redução de testes manuais de SOX.

• Automatização de processos manuais.

Reforçados• Redução dos custos de deslocação.

• Expansão do perímetro auditável.





Maior • A correcção de erros é transferida para mais perto da “fonte”

Eficiênciada fonte .

• Reforço da visibilidade da auditoria interna no negócio e um maior efeito dissuasor.

• Auxiliar na avaliação da eficácia dos controlos e dos

Controlos

riscos dos processos de negócio associados com processos de negócio subcontratados.

• Capacidade de auditar a função de “monitorização”, através de uma perspectiva de Auditoria Interna,

Reforçadosproporcionando mais um elemento importante de governance.





Informação• Melhoria na rapidez de reporte ao negócio.

Atempadae o a a ap de de epo e ao egóc o

• Diminuição de situações não esperadas.

• Não acumulação de problemas pendentes.

• Reforço da funcionalidade do sistema.

Complexidade

• Identificação de desvios e de má conduta.

• Identificação rápida e atempada de erros.

• Capacidade de proceder, de forma atempada, à análise dos erros, violações às políticas, fraude e má conduta. p

Reduzida• Melhor informação para a tomada de decisão.





Informação• Diminuição da complexidade através de um processo

Atempadaglobal de normalização, facilitando o processo de revisão.

• Configuração apropriada e consistência dos limites de materialidade.

Complexidade

• Produção automática de relatórios de excepção –foco nos assuntos relevantes.

• O cumprimento regulamentar pode ser auditado.

Maior visibilidade de como os processos estão a p

Reduzida• Maior visibilidade de como os processos estão a funcionar.



D fiD fiDesafios e Desafios e RequisitosRequisitosRequisitosRequisitos


Qual o Modelo Conceptual?Qual o Modelo Conceptual?


Quais os Requisitos?Quais os Requisitos?

RISCORISCO

•• Conhecimento e ligação aos riscos da organização e ao seu nível de exposição.Conhecimento e ligação aos riscos da organização e ao seu nível de exposição.

•• Desenvolvimento de um Desenvolvimento de um Enterprise Risk Assessment.Enterprise Risk Assessment.

ANÁLISE, DESENHO, IMPLEMENTAÇÃOANÁLISE, DESENHO, IMPLEMENTAÇÃO

•• Análise da situação actual desenho do modelo desejado implementação e monitorizaçãoAnálise da situação actual desenho do modelo desejado implementação e monitorização•• Análise da situação actual, desenho do modelo desejado, implementação e monitorização.Análise da situação actual, desenho do modelo desejado, implementação e monitorização.

•• Interligação com iniciativas de Interligação com iniciativas de governancegovernance e e compliancecompliance..

PESSOAS, PROCESSOS, TECNOLOGIAPESSOAS, PROCESSOS, TECNOLOGIA

•• CommitmentCommitment do do Senior ManagementSenior Management..

•• Abordagem de auditoria organizada e uma equipa de auditoria flexível.Abordagem de auditoria organizada e uma equipa de auditoria flexível.

•• Identificação de Identificação de controlcontrol--ownersowners..

•• Entendimento claro dos sistemas.Entendimento claro dos sistemas.

•• Tecnologia intensiva.Tecnologia intensiva.

CONHECIMENTO FUNCIONAL E DA INDÚSTRIA CONHECIMENTO FUNCIONAL E DA INDÚSTRIA

•• Compreensão dos processos de negócioCompreensão dos processos de negócio


Compreensão dos processos de negócio.Compreensão dos processos de negócio.

•• Conhecimento da indústria/sector.Conhecimento da indústria/sector.

Quais os Desafios?Quais os Desafios?

•• PessoasPessoas -- falta de competências ao nfalta de competências ao níível da indvel da indúústria/sector e funcionais (ex.: Competências de Governance, stria/sector e funcionais (ex.: Competências de Governance, pp ( p ,( p ,Risco, Mercados Financeiros e Compliance; Competências ao nRisco, Mercados Financeiros e Compliance; Competências ao níível de Fraude e Investigavel de Fraude e Investigaçção).ão).

•• InformaInformaççãoão -- fiabilidade, acessibilidade e disponibilidade dos dados.fiabilidade, acessibilidade e disponibilidade dos dados.

•• Disciplina Disciplina -- consistência e disciplina nos processos de negconsistência e disciplina nos processos de negóócio.cio.

E iE i ã li h d iã li h d i•• ExpectativasExpectativas -- gestão e alinhamento das expectativas.gestão e alinhamento das expectativas.

•• MudanMudanççaa -- a mudana mudançça de a de mindset mindset e procedimentos tem de ser gerida.e procedimentos tem de ser gerida.

•• IndependênciaIndependência -- a auditoria tem de permanecer independente.a auditoria tem de permanecer independente.

•• Impacto nas TIImpacto nas TI -- lidar com impacto nos sistemas e lidar com impacto nos sistemas e outsourcingoutsourcing de IT.de IT.


Uma abordagem possível para ACUma abordagem possível para AC

Pl D h I l ãA áli E ã A li ã

Fase

Plano Desenho ImplementaçãoAnálise Execução Avaliação

• Prioritizar áreas a endereçar e definir medidas e limites

• Seleccionar conjunto de

• Roll out do plano de implementação (piloto ou total).

• Correr queries e rotinas.

• Identificação de causas de excepções/ resultados.

• Recolher informação relevante.

• Efectuar risk assessment.

• Conduzir uma revisão pós-implementação.

• Identificar potenciais

• Determinar os objectivos com os principais stakeholders.

ferramentas de AC.

• Desenvolver plano de implementação.

• Set-up de actividades de extracção de dados.

• Formação.

Actividades • Efectuar análise de situação

actual.

• Desenho da situação futura.

melhorias.

• Reforço do programa de AC.

Plano de implementação AC

Entendimento de necessidades e requisitos

INITIATIVES

• Working in partnership with the business we will define and deliver Vodafone’s management information requirements, implementing a robust governance process to ensure continuous business information integrity, relevance and value

REQUIREDPLANNED

• Creation of MI function• Definition and communication

of role of finance in management information

• Define data ownership/source/

• Group Technology single billing system

• Common chart of accounts

• Many country based piecemeal projects

• Global Performance

• Hyperion committee• Local OpCo data

warehouses

CURRENTTODAY’S ENVIRONMENTCRITICAL OBJECTIVE:-INSIGHTFUL MANAGEMENT INFORMATION

INITIATIVES


REQUIREDPLANNED



• Define data ownership/source/




• Global Performance


warehouses


Gap analysis

5 ) S t a n d a r d iz e sy st e m s in c l u d in g im p le m e n t in g g l o b a l E R P

3 1 .3 .1 0

6 ) S a r b a n e s O x le y

4 ) F in a n ce sh a r e d s e r v ice s

3 ) D e v e lo p in g a g r e a t t e a m

2 ) S im p li fy b u s in e s s p l a n n in g

1 ) M a n a g e m e n t i n f o r m a t io n

3 1 .3 .1 13 1 . 3 .0 93 1 . 3 .0 83 1 .3 .0 73 1 .3 .0 6

5 ) S t a n d a r d iz e sy st e m s in c l u d in g im p le m e n t in g g l o b a l E R P

3 1 .3 .1 0

6 ) S a r b a n e s O x le y

4 ) F in a n ce sh a r e d s e r v ice s

3 ) D e v e lo p in g a g r e a t t e a m

2 ) S im p li fy b u s in e s s p l a n n in g

1 ) M a n a g e m e n t i n f o r m a t io n

3 1 .3 .1 13 1 . 3 .0 93 1 . 3 .0 83 1 .3 .0 73 1 .3 .0 6

G P MV a lu e

D r iv e rs

F e a s ib i l i t y S tu d y i n c l T o o l

S e le c t io n

C o n te n tR e - e n g in e e r in g

G r o u p P la n n in g T o o l

S e le c t io n

C o m m o n In t e g r a te dG lo b a l P la n n in g T o o l

Im p le m e n t C o m m o nO p e ra t in g M o d e l in c lu d in g

B u s in e s s p a r t n e rs

F e a s ib i l i t y S tu d y

I m p le m e n tG o v e rn a n c e

P ro c e s s

A p p o in t m e n t sF in an c e T r an s fo r m a t io n D i r ec to rF in an c e P e o p le L e a d

D e s ig n

A pp o in t m e n tC h ie f In f o r m a tio n O ff ic e r

R e v ie w & I m p ro v e

T a le n t M g m t

C a re e r P a t h s

O p - C oP la n n in g T o o l

I m p le m e n t a t io n

O p -C oP la n n in g T o o l

Im p le m e n ta tio n

O p -C oP la n n in g T o o l

I m p le m e n t a t io n

A pp o in tm e n tsG lob a l L ea d T e am sB en c h m a r k in g / R ev e n u e A s s u r an c e / In v es t m e n t A pp r a is a l

A p p o in t m e n tS in g le O w n e rB u s in es s P la nn in g

B u ild

I n te g ra te &T e s t P i lo t

L a rg eO p -C oP la n

1 s t L a r g e O p -C o

M ig ra t io n

1 s t S m a l lO p -C o

M ig ra tio n

2 nd L a rg eO p - C o

M ig ra t io n

3 rd L a rg e O p -C o

M ig ra t io n

4 th L a rg eO p -C o

M ig ra t io n

2 n d S m a l lO p - C o

M ig r a tio n

3 rd S m a l lO p -C o

M ig ra t io n

5 thS m a l l

M ig ra t io n

6 thS m a l l

M ig ra t io n

7 thS m a l l

M ig ra tio n

8 t hS m a l l

M ig ra tio n

9 t hS m a l l

M ig ra tio n

A pp o in t m e n tP r oc e s s o w n er s

S o XR e m e d ia tio n

S o XT e s tin g

S o XD o c u m e n t a t io n& W a lk t h ro u g h s

E R P D e s ig n

E R P B u i ld

In t e g ra t io n T e s t

P a r tn e rS e le c tio n

M ig ra ti o n& G o L iv e

I m pS tr a t e g y

M ig ra t io n& G o L iv eP i lo t

S S C S o XC o m p l ia n c e

F u l l S o X S S CC o m p l ia n c e

D e f in e C o m m o n R e p o r tin g L ib ra r y

S o u rc eD a ta

B u i ld G lo b a l M IE n v i ro n m e n t

M ig r a te G P M & H y p e r io nI n to

C o m m o n E n v i r o n m e n t

Im p r o v e A m o u n t , F r e q u e n c y

& S o p h is t ic a tio n O f M I

Set-up de actividades de extracção dados

Relatórios de excepção

Reluctance to use high savings tools

30%

40%

50%

60%

70%

80%

90%

% s

eein

g as

impo

rtant Average savings

9.50

9.00

8.50

8.00

7.50

7.00

6.50

6.00

5.50

5.00es

Revisão pós-implementação

Minor

Moderate

Major

1f3e

4e4f

4j

1c

1d1e

2b

3g3a

3h

4b

4d

4g

5a

5c

1a2c

2a

5b

3j

1b

4a

Catastrophic

Ris

k C

onse

quen

ce

Minor

Moderate

Major

1f3e

4e4f

4j

1c

1d1e

2b

3g3a

3h

4b

4d

4g

5a

5c

1a2c

2a

5b

3j

1b

4a

Catastrophic

Ris

k C

onse

quen

ce

Análise de Situação Actual

FUTURE –DO WELL

• < 1 per month per OpCo• 100%• Real time• 100% commonality• Milestones achieved on time and to budget

TARGETS

e e datao e s p/sou ce/policy

• Define group, global and OpCo data and info needs

• Effective MI governance function

• Clarification and effective communication of matrix management roles and responsibilities

• Select IT infrastructure and platform

• Build solution

Management project• Global HR Scorecards• Spend analysis vendor • One Vodafone• DCC (Data Centre

Consolidation)

MEASURES

• Reduced level of ad hoc reporting• New report requests referred to MI

function• Speed of data delivery• Commonality of data definitions across

Vodafone• Execution of plan to deliver

People• Dedicated management information function• Clearly defined role for finance in management informationContent and governance• Strong governance process for management information• Linked to strategic value drivers• Agreed criteria for content• Content optimised on cost and value• Single, trusted view of performanceSystems• Single group wide, global data warehouse• Automated extraction, transformation and loading of dataFunctionality• Delivery of product/segment/customer profitability reporting• Delivery of real time management information (daily/weekly/monthly)

FUTURE –DO WELL


TARGETS

e e datao e s p/sou ce/policy





• Build solution

Management project• Global HR Scorecards• Spend analysis vendor • One Vodafone• DCC (Data Centre

Consolidation)

MEASURES





Mapeamento dadosSelecção de ferramentas de AC

Domesticoutsourcing

Off shoring

Shared service centres

Process optimisation

Service channels

% seeing as importantAverage savingsRisk assessment

I n s i g n i f i c a n t

M i n o r

M o d e r a t e

M a j o r

R e m o t e U n l i k e l y P o s s i b l e L i k e l y A l m o s t c e r t a i n

1 f3 e

4 c

4 e4 f

4 j

1 c

1 d1 e

2 b

3 g

3 b 3 d3 f

3 a

3 h

4 b

4 d

4 g

4 h

4 i

5 a

5 c

1 a2 c

2 a

5 b

3 j

3 i3 c

1 b

4 a

C a t a s t r o p h i c

Risk

Con

sequ

ence

I n s i g n i f i c a n t

M i n o r

M o d e r a t e

M a j o r

R e m o t e U n l i k e l y P o s s i b l e L i k e l y A l m o s t c e r t a i n

1 f3 e

4 c

4 e4 f

4 j

1 c

1 d1 e

2 b

3 g

3 b 3 d3 f

3 a

3 h

4 b

4 d

4 g

4 h

4 i

5 a

5 c

1 a2 c

2 a

5 b

3 j

3 i3 c

1 b

4 a

C a t a s t r o p h i c

Risk

Con

sequ

ence

Risk Maturity ContinuumRisk Maturity Continuum

Risk SCANA ServicesSCE&G PSNC Energy SEMI SCPC SCANA CommPrime SouthInappropriate credit measurement-Financial losses can result from counterparty failure to meet financial or operational contract terms.

Periodic monitoring of credit exposures; Credit guidelines approved by RMCPeriodic monitoring of credit exposures, Credit guidelines approved by RMC; Regulatory rules; Standard contact terms; Netting agreements; Collateral and letters of credit; Credit reserves

Periodic monitoring of credit exposures, Credit guidelines approved by RMC; Regulatory rules; Standard contact terms; Netting agreements; Collateral and letters of credit; Credit reserves



Periodic monitoring of credit exposures, Credit guidelines approved by RMC; Regulatory rules; Standard contact terms; Collateral and letters of credit; Credit reserves

Periodic monitoring of credit exposures, Credit guidelines approved by RMC; Regulatory rules; Standard contact terms; Collateral and letters of credit; Credit reserves

Excessive concentration risk-Financial losses can result from excessive concentration of credit exposure to a specific counterparty, region or market segment.

Periodic measurement of counterparty credit exposures for all companies by the CDD; Credit guidelines approved by RMC; Reporting of exposures to RMC

N/A N/A Periodic measurement of counterparty credit exposures for all companies by the CDD; Credit guidelines approved by RMC; Reporting of exposures to RMC

N/A Periodic measurement of counterparty credit exposures for all companies by the CDD; Credit guidelines approved by RMC; Reporting of exposures to RMC

Periodic measurement of counterparty credit exposures for all companies by the CDD; Credit guidelines approved by RMC; Reporting of exposures to RMCInappropriate credit collateral management-Financial losses can result from failure to collect adequate collateral or to recall posted collateral.

None Management by credit & collections group based on credit scoring and arrears

Management by credit & collections group based on credit scoring and arrears





Inappropriate credit contract terms and conditions- Financial losses can result from failure to develop, review and maintain adequate contract credit provisions.

CCD reviews procurement and sales contract terms for all companies; Legal contract licensing group tracks contract legal terms; Use of standardized contracts with approved creditworthiness clause provisions







Controls Assessment

Where Are They Now?... and Future Aspirations

G

FrameworkElement AdvancedMatureBasic

G

FrameworkElement AdvancedMatureBasicInitial State

Current –1 year later

Principais Milestone Insignificant

Minor

Remote Unlikely Possible Likely Almost certain

4c 4j1e

3b 3d3f

4b

4h

4i2c

3i3cInsignificant

Minor

Remote Unlikely Possible Likely Almost certain

4c 4j1e

3b 3d3f

4b

4h

4i2c

3i3c

Lessons Learned

INITIATIVES


REQUIREDPLANNED



• Define data ownership/source/ policy

• Define group, global and OpCo




• Global Performance Management project

• Global HR Scorecards


warehouses


INITIATIVES


REQUIREDPLANNED




• Define group, global and OpCo





• Global HR Scorecards


warehouses


INITIATIVES

FUTURE –DO WELL


• < 1 per month per OpCo• 100%

R l ti

TARGETS

REQUIREDPLANNED








• Build solution





• Global HR Scorecards• Spend analysis vendor • One Vodafone• DCC (Data Centre

Consolidation)


warehouses

CURRENTTODAY’S ENVIRONMENT

MEASURES


function

People• Dedicated management information function

Cl l d fi d l f fi i t i f ti

CRITICAL OBJECTIVE:-INSIGHTFUL MANAGEMENT INFORMATION

INITIATIVES

FUTURE –DO WELL


• < 1 per month per OpCo• 100%

R l ti

TARGETS

REQUIREDPLANNED








• Build solution





• Global HR Scorecards• Spend analysis vendor • One Vodafone• DCC (Data Centre

Consolidation)


warehouses

CURRENTTODAY’S ENVIRONMENT

MEASURES


function

People• Dedicated management information function

Cl l d fi d l f fi i t i f ti

CRITICAL OBJECTIVE:-INSIGHTFUL MANAGEMENT INFORMATION


5544332211

Risk Governance

Risk Assessment

Risk Quantification and Aggregation

Risk Monitoring and Reporting

Risk and Control Optimization

Remain in Compliance

Basic

A Strategic Tool

Advanced

A Management Process

Mature

Today Target:

Example

5544332211

Risk Governance

Risk Assessment

Risk Quantification and Aggregation

Risk Monitoring and Reporting


Remain in Compliance

Basic

A Strategic Tool

Advanced

A Management Process

Mature

Today Target:

Example


Measuring and Monitoring

Quantification and Aggregation

Assessment

Governance


Measuring and Monitoring

Quantification and Aggregation

Assessment

Governancelater

Low effort, time and cost

Moderate effort, time and cost

High effort, time and cost

FUTURE –DO WELL


TARGETS

data and info needs• Effective MI governance

function• Clarification and effective

communication of matrix management roles and responsibilities


• Build solution

• Spend analysis vendor • One Vodafone• DCC (Data Centre

Consolidation)

MEASURES





FUTURE –DO WELL


TARGETS

data and info needs• Effective MI governance

function• Clarification and effective

communication of matrix management roles and responsibilities


• Build solution

• Spend analysis vendor • One Vodafone• DCC (Data Centre

Consolidation)

MEASURES





12 A

M

4 A

M

8 A

M

12 P

M

4 P

M

8 P

M

• Real time• 100% commonality• Milestones achieved on time and to budget



• Clearly defined role for finance in management informationContent and governance• Strong governance process for management information• Linked to strategic value drivers• Agreed criteria for content• Content optimised on cost and value• Single, trusted view of performanceSystems• Single group wide, global data warehouse• Automated extraction, transformation and loading of dataFunctionality• Delivery of product/segment/customer profitability reporting• Delivery of real time management information (daily/weekly/monthly)

• Real time• 100% commonality• Milestones achieved on time and to budget



• Clearly defined role for finance in management informationContent and governance• Strong governance process for management information• Linked to strategic value drivers• Agreed criteria for content• Content optimised on cost and value• Single, trusted view of performanceSystems• Single group wide, global data warehouse• Automated extraction, transformation and loading of dataFunctionality• Delivery of product/segment/customer profitability reporting• Delivery of real time management information (daily/weekly/monthly)

A dit i C tíA dit i C tíAuditoria ContínuaAuditoria Contínuana Práticana Práticana Práticana Prática


Como pode AC contribuir na práticaComo pode AC contribuir na prática

Acumulação de permissõesAtribuição de direitos excessivos

Globalmente, os controlos foram executados de acordo com os procedimentos mas a fraude não foi detectada antes devido (a)

Middle OfficeControlo/Compliance

Front OfficeTrading

Atribuição de direitos excessivos

Violação de segregação de funçõesCapacidade de alterar valores do sistema

procedimentos, mas a fraude não foi detectada antes devido: (a) não execução sistemática de testes detalhados; (b) ausência de alguns controlos.

“knew that they were only monitored at the end of the month and cancelled them before the control took place”

(função original) (nova função) Mission Green Summary Report

transacções com datas

(muito) futuras

transacções sem contraparte cancelamento frequente de transacções

alteração de valores calculados pelo sistema de front-office...


Back-office não recebe transacções pendentes de

caracterização

Controlo não executado até perto da data da transacção

Elimina transacções (fictícias) antes de actuação do controlo.

Esconde efeito em posição e risco das transacções fictícias

Como pode AC contribuir na práticaComo pode AC contribuir na prática

Acumulação de permissõesAtribuição de direitos excessivos

A Auditoria Contínua pode ser implementada com uma diversidade de técnicas e procedimentos, pode estar

Middle OfficeControlo/Compliance

Front OfficeTrading

Atribuição de direitos excessivos

Detecção/inibição em tempo real de violações à matriz de Segregação de

Funções

suportada em ferramentas específicas ou scripts/queries.

Auditoria Contínua não é Tecnologia, aTecnologia facilita a Auditoria Contínua.

(função original) (nova função)

transacções com datas

(muito) futuras

cancelamento frequente de transacções

alteração de valores calculados pelo sistema de front-office...transacções sem contraparte


Identificação de Padrões e de execução de operações sensíveis

Identificação de informação em falta/inconsistente.Identificação de tendências e indicadores Detecção de violação de thresholds.

Detecção de violação SoD e de execução de operações sensíveis.

A diferença no factor “Tempo”A diferença no factor “Tempo”

Auditoria Tradicional – “worst case scenario” Controlo corrigido demasiado tarde

Jan Mar Jun DezSet

C l b d

Controlo é desactivado

Auditor Colaborador

Auditor confirma definições do controlo e que o mesmo se encontra a funcionar

Fraude, violação de controlo, erros, etc. não são detectados

Auditor detecta a falha do controlo numa auditoria subsequente

Auditor

Auditoria Contínua – um resultado alternativo

Jan Mar Jun DezSet

Auditoria confirma definições do controlo continuamente

Controlo é desactivado e a falha identificado

Falha de controlo é corrigida


Auditoria confirma definições do controlo continuamente

Auditor

O papel da Tecnologia na ACO papel da Tecnologia na AC

A id d i d l i f ili i ã d d A di i C í• As capacidades actuais da tecnologia facilitam a concretização dos processos de Auditoria Contínua.

• Actualmente, existem diversas ferramentas disponíveis para suportar/facilitar a Auditoria Contínua, umas maisgenéricas outras mais específicas, podendo englobar as seguintes necessidades:

Violação de Segregação de funções

Identificação de Fraude

Análise de transacções

Validação da informação

Execução de rotinas

Detecção de falha de controlos

T t d t lTeste de controlos

• A aquisição/implementação da ferramenta, por si só, não significa Auditoria Contínua, é necessário “usar” e“pensar” para Auditoria Contínua.


ConclusõesConclusões

•• AA AuditoriaAuditoria ContContíínuanua éé aa ““colacola”” queque uneune conformidadeconformidade dede controlo,controlo, avaliaavaliaççãoão dede risco,risco, planeamentoplaneamento dede auditoria,auditoria,ananááliselise dede informainformaççãoão ee asas outrasoutras ttéécnicascnicas ee ferramentasferramentas dede auditoriaauditoria..

•• AsAs ttéécnicascnicas dede AuditoriaAuditoria ContContíínuanua podempodem incluirincluir revisãorevisão emem tempotempo realreal detalhadadetalhada ouou ananááliselise dede tendênciastendências eecomparacomparaççãoão aoao longolongo dodo tempotempo..

•• AA AuditoriaAuditoria TradicionalTradicional continuacontinua aa serser necessnecessááriaria ee oo auditorauditor nãonão éé substitusubstituíídodo..

•• AA auditoriaauditoria tornatorna--sese maismais visvisíívelvel parapara osos stakeholdersstakeholders ee comcom maiormaior valorvalor parapara aa organizaorganizaççãoão..aud o aaud o a o ao a sese a sa s ss ee pa apa a osos s a e o de ss a e o de s ee coco a oa o a oa o pa apa a aa o ga ao ga aççãoão

•• AA AuditoriaAuditoria ContContíínuanua pressupõepressupõe oo entendimentoentendimento dede riscosriscos ee controlos,controlos, ee umauma llóógicagica custo/benefcusto/benefííciocio..


“the cost and time needed to perform a continuous auditing engagement increases as the strength of an organizations’s process and controls decreases” ISACA Continuous Auditing: Is It Fantasry or Reality?

Q&AQ&A


Gonçalo CarvalhoSenior Manager, IT Advisory Services

KPMG Advisory Tel +351 210 110 019Av. Praia da Vitória, 71A – 11º Fax +351 210 110 134

João MadeiraManager, Business Advisory Services

KPMG Advisory Tel +351 210 110 053Av. Praia da Vitória, 71A – 11º Fax +351 210 110 124

1069-006 Lisboa

[email protected]

KPMG Advisory – Consultores de Gestão, Lda. Is a Portuguese limited liability company

1069-006 Lisboa

[email protected]

KPMG Advisory – Consultores de Gestão, Lda. Is a Portuguese limited liability company


A informação contida neste documento é de natureza geral e não se aplica a nenhuma entidade ou situação particular. Apesar de fazermos todos os possíveis para fornecerinformação precisa e actual, não podemos garantir que tal informação seja precisa na data em que for recebida/conhecida ou que continuará a ser precisa no futuro. Ninguémdeve actuar de acordo com essa informação sem aconselhamento profissional apropriado para cada situação específica.

internal audit services auditoria contínua como driver de … · 2017. 8. 11. · • reforço da...

Documents