1 / 45

Tendências Identificadas em Projetos de Auditoria Contínua de Sistemas

Tendências Identificadas em Projetos de Auditoria Contínua de Sistemas. Miklos A. Vasarhelyi KPMG Professor of AIS, Rutgers University Lead Member of technical Staff AT&T Laboratories. Índice. Introdução Uma Economia em Tempo Real Teoria Ambiente Exemplos Conclusões. Introdução.

dannon
Download Presentation

Tendências Identificadas em Projetos de Auditoria Contínua de Sistemas

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tendências Identificadas em Projetos de Auditoria Contínua de Sistemas Miklos A. Vasarhelyi KPMG Professor of AIS, Rutgers University Lead Member of technical Staff AT&T Laboratories

  2. Índice • Introdução • Uma Economia em Tempo Real • Teoria • Ambiente • Exemplos • Conclusões

  3. Introdução

  4. Auditoria Contínua uma Historia • Laboratórios Bell (AT&T) 1986 – 1991 • CICA/AICPA – 1999 – o livro vermelho • Símpósios de auditoria continua na Rutgers 1999 • Lei Sarbanes Oxley 2002 • IIA – 2005 – GTAG # 3 • CarLab Fundado – 2002 • Surveys (pesquisas) da ACL e PWC 2005-2007 • 2009 ISACA propoe padrões de auditoria contínua • Muitos produtos e esforços na área de GRC

  5. The Audit Maturity Model (2009) Traditional Emerging Maturing Continuous

  6. A economia de Tempo Real August 18st, 2009

  7. Latências XBRL

  8. Uma Economia em Tempo Real • Classificação de Processos Corporativos • Processos que são mantidos por sistemas em tempo real, • processos que são monitorados quase que em uma base contínua, • processos que são altamente dependentes, e • processos dos quais decisões oportunas proporcionam uma vantagem competitiva.

  9. Uma economia de tempo real 2 • XML (Extensible Markup Language) • XBRL para relatórios financeiros • Gerenciamento de dinheiro em tempo real • Gerenciamento de contas a pagar e receber • Implantação do sistema “just in time”

  10. ReLatórios de tempo real • Virtual close na Motorola and Cisco • Tipicamente se refere a relatórios internos da empresa • Obstáculos legais a fazem difícil nos Estados Unidos • Ironicamente a Sarbanes Oxley #409 requer “real time reporting” • Robert Tarola, WR Grace, Technologies for Continuous Reporting.wmv

  11. http://raw.rutgers.edu A wide range of presentations / videos and papers from the multiple CA and CR conferences promoted by Rutgers

  12. A Teoria August 18st, 2009

  13. Auditoria Contínua por parte da Auditoria Interna • Obtem evidencia mais efetivamente e eficientemente • Reage em tempo ábil a riscos de negócios • Alavanca tecnologia para executar auditorias internas mais eficientemente • Auditorias mais bem enfocadas • Ajuda o monitoramento do compliance com politicas, procedimentos e regulamentações Monitoramento Continuo - Responsibilidade da Administração • Melhora governança – Alinhando negócios, compliance, e risco aos contorles internos e remediaçaõ • Melhora de transparencia e reação mais em tempo nas decisões diárias • Trabalha em reduzir o custo de contrôles e o custo de teste e monitoramento • alavancar tecnologia para criar eficiencias e oportunidades para melhoras de performance Auditoria Contínua vs Monitoramento Contínuo Fonte- CA/CM as Preventive Care against Fraud By James R. Littley and Andrew M. Costello, KPMG

  14. Elementos de Automação Progressiva Economic events Economic events Economic events Sensoriamento Economic events Organização de Processamento de dados e Processo de Armazenamento 1 Organização de Processamento de dados e Processo de Armazenamento 2 Eventos Econômicos Entrega Integração entre sistemas Execução Tomada de decisão Automática

  15. Monitoramento e Avaliação de Riscos Contínuos Auditoria Contínua de Dados Monitoramento de Controles Contínua Figura 2: Auditoria Contínua

  16. ACD (Auditoria Continua de Dados) • Monitoramento de • Métricas de processos chave usando índices analíticos (KPIs) • Transações comerciais • Dados de arquivo-mestre • Eventos especiais • Frequentização de relatórios de auditoria • Controlável dentro de um programa de deterrence e prioridades estratégicas • Exemplos: AT&T, HCA, Seguradora, HP, IBM, etc.

  17. MCC (Monitoramento Continuo de Controles) • Monitoramento de • Controle de autorização e acesso • Configuração de sistema • Parâmetros determinantes de processos administrativos • Exemplos: Siemens, BD, Talecris • Em grandes sistemas integrados (ERPs) progressivamente se tornará impossivel auditar sem AC

  18. Monitoramento e Avaliação Contínua de Risco (MACR) Em desenvolvimento • Contribuicom informação para planejamento de auditoria • Parameteriza as contribuições da evidencia provida pela auditoria tradicional, ACD e MCC • Medem fatores de risco em uma base contínua • Integra diferentes cenários de risco em quadros quantitativos

  19. Ambiente • Surgimento de uma indústria • ACL • Idea • Approva • Oversight • SAP GRC • Varios outros inclusive McAffeee produtos de segurança

  20. CarLab AT&T CPAS Siemens CCM Automação da Auditoria (AA) HCA Equacões de continuidade Itau Unibanco Monitoramento de agencias Contas Transitorias Metlife Forensics as CA -> the wires project P&G O projeto KPI Projeto Order to cash -> automação Auditoria remota Projetos KPMG Adoção de tecnologia em firmas de contabilidade externa Adoção de tecnologia em auditoria Interna O futuro da auditoria (thefutureofaudit.com) Planos de pesquisa 20

  21. AT&T (Bell Laboratories)

  22. CPAS VISÃO GERAL Sistemas Estação de trabalho Relatórios do Sistema Operacional FD-nível 2 Relatório Operacional Relatório Operacional FD-nível 1 FD-nível 1 FD-nível 1 Relatório Operacional Filtro Alarme FD-nível 0 Diagrama de Fluxo de Dados Base de Dados Análises Medidas Relatórios Figura 4: Auditoria Contínua de dados na AT&T

  23. Recalcular Medidas Faturamento FlowFront - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ 04/01/89 Data: fernsu fer Traçar gráfico nível 1 Data Definida RPC: Silver Springs PE: 60 Ajuda Texto Sair FlowFront Hierarquia Sistema de Faturamento - Visão Geral Gráfico S Percentual de Contas Faturadas com Sucesso 100 100 99 99 99 Tra 98 98 98 97 95 Atualizaç 85 67 Valor Percentual Faturado 0 20 40 60 80 100 Pagamento Visão Geral Dados Trans 23 Inquérito 3/16 3/17 3/18 3/21 3/22 3/23 3/24 3/25 3/28 3/29 3/30 3/31 4/1 Pro 4/1/89 Média: 89.076923076923 Desvio Padrão: 21.872591442494 Erros Figura 5: Indicadores Analíticos Sistema CPAS

  24. FlowFront - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ fernsu fer 04/01/89 Data: Data Definida Recalcular Medidas Traçar gráfico nível 1 RPC: Silver Springs PE: 60 Ajuda Texto Sair FlowFront Hierarquia Sistema de Faturamento - Módulo de Faturamento por Cliente Base de Dados do Cliente Atualizaç Faturamento Valor Atualizar Informações de Faturamento Extrato De Contas De Clientes Calcular Valor de Dívida Pagamento 1000 1000 Visão Geral Arquivos de Diário Formatar Fatura Imprimir Fatura 998 988 Inquérito Contas Desaparecidas: 10 2 Arquivos de Diário Tabelas Processamento De Erros Erros 0 Figura 6: Fluxograma e Número de Transações no CPAS

  25. HCA

  26. Pesquisa em HCA • Experimentação de modelagem de supply chain • Erros básicos • Erros de dados • Erros de integridade referencial • Modelagem matemática para identificar anomalias (1) Variância = |Valor medido (metric) – Valor de base (modelo) (2) Se Variância > variância aceitável  Emitir um Alerta

  27. Sistema de Auditoría Contínua Baseado em Dados Monitoramento Automático Analítico: Verificação Automática de Transação Equações Contínuas Alarmes de Anomalias Alarmes de Exceções Responsabilidade dos Funcionários da Empresa Depósito de Dados Comerciais Panorama do Sistema da Empresa Gerenciamento de Materiais Vendas Encomendas Contas a Receber Recursos Humanos Contas a Pagar Figura 7: Arquitetura de um Sstema de Auditoria Contínua de Dados

  28. Siemens

  29. Projeto Siemens • Foco é automatizar auditoria dos sistemas SAP • 68% das ações de auditoria podem ser automatizadas • Que provas seriam realmente exigidas em uma nova auditoria, de sistemas extremamente automatizados, se uma nova metodologia de auditoria é projetada a partir do zero? • Quais são os efeitos (visíveis e invisíveis) da auditoria remota?

  30. Sistema Piloto CMBPC na Siemens Companhia A SAP SYS PD2 Companhia B SAP SYS. P88 Companhia C SAP SYS. P51 Company D SAP SYS. P40 Comum - Extrações em uma Base Contínua Armazenamento de Dados Relacionados Retorno de Alertas para Companhias Dados para Análise • Alertas para: • Gerenciamento • Auditoria • Etc • Regras CO. A • Sys= PD2 • Co = W001&W103 • COA – WX01 • Etc… • Regras CO. D • Sys= P40 • Co = 001 • CDA - 1000 • Etc… • CA Analisador • Checar AAS 1.02.00 – F XX= o enviar alerta 4 • Checar AAS 1.02.10 – F Y = X enviar alerta 5 • etc Alertas Alerta 1: Dlat XXX, Mensagem = YYY Alerta 2 : Dlat HHH, Mensagem = KKK Workflow de Comunicação / Portal Alerta 3 : Dlat = OOO, Mensagem = AAA Alerta 4 : Dlat = GGG, Mensagem = LLL Figura 8: Arquitetura de um Sistema de Monitoramento de Controles Proposto para a Siemens

  31. Modelagem de Comparação de Dados • Monitoramento deveria ser realizado a qual nível de agregação? • Que tipo de erros é encontrado em fluxos de dados? Como podem estes ser classificados? Como se relacionam estes erros às deficiências do controle interno? • Quais são as latências intrínsecas da cadeia de valor? Como o modelo de cadeia de valor e modelado integrando estas latências? • Se transações são avaliadas como errôneas, é possível corrigi-las automaticamente?

  32. Monitoramento de atividades bancárias • BSA • Money Laundering • Sistema baseado em regras • Unindo uma série de requisitos • Multiplas fontes (credito, depositos e saques, etc....)

  33. P&G KPI project Order to cash project -> selective automation Remote audit

  34. KPIs • Monitoramento de KPIs (key performance indicators) • Firma de liderança mundial em produtos ao consumidor • Com manufatura em mais de 100 paises • E distribuição em mais de 160 países • Detecção de anomalias

  35. Order to cash • Este projeto se orienta a automatizar seletivamente a auditoria usando order to cash como contexto • Audit action sheets • Taxonomização de protocolos • Mudança da naturesa da evidencia • Classificaçao do nível de automação • Manual • Deterministico • Comparação • Historico / Estocastico • Arquitetura da estrutura • Prototipagem dos modelos selecionados

  36. Projetos KPMG

  37. Projetos KPMG Adoção de tecnologia em firmas de contabilidade externa Adoção de tecnologia em auditoria Interna O futuro da auditoria (thefutureofaudit.com)

  38. The Audit Maturity Model Traditional Emerging Maturing Continuous

  39. O futuro da auditoria

  40. Conclusões

  41. Conclusões • Organizações devem examinar o âmbito dos seus processos para aplicações e o “tradeoff”. • Auditoria contínua possibilita o mapeamento de riscos. • A auditoria contínua acontecerá ao longo da série de empresas. • Organizações financeiras e processos financeiros corporativos serão os inovadores. • Avanços em TI devem ser complementados por avanços na modelagem analítica.

  42. Conclusões • O advento do XML, XBRL e outros padrões de interoperabilidade irão acelerar auditoria contínua e permitir uma cooperação inter-organizacional de auditoria de processos. • A comunidade acadêmica tem liderado o pensamento em auditoria contínua. • A integração das instalações de auditoria contínua em software integrados (ERPs) permitirá alguns dos benefícios para fluir a organizações menores.

  43. Conclusões • Quatro inovações do CarLab • Equações de continuidade • Clustering em auditoria • Process mining • Remote audit conceptualization

  44. Visite-nos • Conferencias • Anualmente em Newark 1a semana de novembro -5,6 Novembro 2010 • Anualmente no CONTECSI • ISAR em Singapura (24; 25 Junho 2010) • http://raw.rutgers.edu • Inclui um grande numero de materiais sobre as conferencias (videos), papers, e noticias • miklosv@rutgers.edu

More Related