continuous control monitoring - rawraw.rutgers.edu/docs/wcars/18wcars/wilson luiz gellacic.pdf ·...
TRANSCRIPT
1
CContinuousontinuousCControlontrol
MMonitoringonitoring
Wilson Luiz Gellacic Partner
Metodologia de Implementação
2
Agenda
• Revendo os Conceitos sobre Controles
• Por quê Focar em Controles Automáticos
• Oportunidades Existentes
• Como Implementar Monitoramento Contínuo
• Alguns Exemplos
• O Futuro Bate à nossa Porta
3
Identificar controles que mitiguem riscos
• Controles que forneçam razoável segurança que erros significativos não ocorram;• Controles podem ser automatizados e/ou manuais. • Exemplo: Conta de Estoque:
Existência: produtos finais são registrados quando disponíveisProcesso: processo de remessa do armazémO Que Pode Dar Errado? Carregamento não ser registradoControle: realizar contagem de inventário todo mês
Preparar a Documentação e Avaliar Controles -Abordagem SOX
ContasSignificativas
Assertivas
?Riscos: O que
Poderia dar errado?ControlesProcessos
significativos
Riscos inerentese de negócio
2003FinancialStatements
Demonstraçõesfinanceiras
Testes/Monitoramento
Contas contábeis e sistemas relacionados
Ativi
dade
Proc
esso
Documentação e controles Avaliar/Monitorar
4
Aplicações de Âmbito Geral na Empresa
Processos
Contas Significativas
Aplicações
Contas aPagar
Contas aReceber
FolhaPagto
Ativo Fixo etc.
Tecnologia da InformaçãoSegurança e Networking de Informações
Gestão de TIDesenvolvimento &
OperaçõesSuporte Técnico &
Gestão DBs
Controles AutomáticosDe Aplicações
Controles gerais de TI x Controles de aplicaçãoA Tecnologia da Informação possui um papel essencial em controles internos pois muitos dados financeiros dependem de sistemas
Controles Geraisde TI
5
Firewall
Internet
Funcionário em Trânsito
Data Center
Firewall
Departamento
Home OfficeIntranet
EstaçãoLocal
Servidor de Informações Públicas
Parceiro de Negócios
Provedor de
Acesso Remoto
Firewall
O ambiente atual de tecnologia permite explorar novas possibilidades em controles automáticos
6
Source: IT Control Objectives for Sarbanes-Oxley, 2nd Edition
Por quê usar mais controles automáticos ?
7
SupplySupplyChainChain
ManagementManagement
EnterpriseEnterpriseResourceResourcePlanningPlanning
CustomerCustomerRelationshipRelationshipManagementManagement
FFOORRNNEECCEEDDOORREESS
Business Strategy + ProcessBusiness Strategy + Process
Knowledge ManagementKnowledge Managemente-Business Servicese-Business Services
Web + IT IntegrationWeb + IT Integration
Business IntelligenceBusiness Intelligence
CCLLIIEENNTTEESS
NegócioNegócio
TecnologiaTecnologia
e-Business Servicese-Business Services
Tecnologia e Negócios estão cada vez mais integrados
Dentro desse cenário, o que deve mudar no mundo de controles internos ? Como estar preparado ?
• O que podemos fazer de forma
melhor ?
• Como ser mais produtivo ?
• Como as novas tecnologias
podem nos ajudar ?
• Quais as prioridades ?
• Quanto devemos investir ?
• Qual a melhor solução
tecnológica ?
? ? ?
9
Monitoramento Contínuo de Controles (CCM)
CCM ( Continuos Control Monitoring ) é um conjunto integrado de processos e técnicas, possibilitados pela tecnologia, que pretendem ajudar a organização a:
– Identificar deficiências de controle
– Localizar em que ponto as deficiências de controle são exploradas
– Quantificar o efeito do descumprimento de controles de forma a entender mais claramente os riscos
– Sanar as deficiências de controle pela raiz
– Automatizar o monitoramento contínuo do ambiente de controle
– Aumentar a eficiência e a eficácia dos processos de controle
– Impedir que certos riscos se concretizem
• Um ambiente eficaz de CCM permite que a organização tenha o equilíbrio certo entre controles manuais e automatizados para detectar e impedir falhas nos controles
10
Motivadores para se falar sobre CCM
Questões• CUSTO DA CONFORMIDADE
– A maioria das organizações gasta tempo e dinheiro significativos para estar em conformidade com os reguladorers e se preocupam com o alto custo envolvido
• CONTROLES MANUAIS– Muitos dos controles que as organizações adotam
são manuais e intensivos em mão-de-obra
• RETORNO QUESTIONÁVEL– Na maioria dos casos, o benefício do investimento
em SOX não é imediatamente visível para a empresa e o custo de manter um ambiente de controles manuais não é sustentável
• ESCOPO & CUSTOS GERAIS DE AUDITORIA– A gestão do escopo e os custos de auditoria são
uma preocupação crescente, tanto da perspectiva de auditoria interna como de auditoria externa
Implicações• NECESSIDADE DE SER MAIS
EFICIENTE– A maioria das organizações acredita que precisam
fazer algo para ser mais eficientes na automação e no monitoramento de controles
• NECESSIDADE DE UMA MELHOR RELAÇÃO CUSTO-BENEFÍCIO
– A maioria das organizações não consegue sustentar os custos mais elevados de conformidade a longo prazo
• FERRAMENTAS & SOLUÇÕES DE SOFTWARE
– Os fornecedores de software estão desenvolvendo e promovendo ativamente novas ferramentas e técnicas para automatizar o monitoramento de controles (i.e., Approva, Applimation, Logical Apps, Virsa, etc.)
CCM pode ajudar as organizações a reduzir os esforços de auditoria e
gestão de riscos
CCM pode ajudar as organizações a reduzir os esforços de auditoria e
gestão de riscos
11
Exemplos de métricas de CCM
Registros Duplicados
LimitesExcedidos
Dados incorretos
Falta ou Ausência de Dados
Registros Não-autorizados
Acesso a TransaçõesCríticas
Transações Não-autorizadas
Mudanças de Configuração
Segregação de Funções
Fornecedores com Pagamentos Iguais
Identificar Transferências acima de 100 Mil
Bens Recebidos no Mesmo Dia da Ordem de Compra
Aprovações Atípicas Indefinidas
Ajustes Contábeis sem Identificação
Usuários com Acessos irrestritos
Usuários que Liberaram DepósitosBloqueados
Fornecedores com Pagamentos Duplicados
Acesso Para Criar Fornecedores Diferentede Pagadores
ControlesMonitorados
O qu
epod
edar
erra
do? A
lgunsExem
plos
12
Por quê começar ?Situação Futura Desejada• Ambiente de controles com melhor relação custo-
benefício
• Monitoramento eficiente dos controles
• Economias de custo e eficiências geradas por CCM
• Aumento do número de controles automatizados
• Conscientização contínua sobre risco digital
• Aumento no uso de controles preventivos
• Redução do número de casos de descumprimento
• Abordar riscos operacionais e do negócio
SustentabilidadeSustentabilidade
Situação Atual• Grande quantidade de controles manuais
• Custo elevado de conformidade
• Novas soluções de software
• Exceções de controle durante a auditoria anual
• Excesso de confiança nos controles de detecção
• Número elevado de casos de descumprimento dos controles
• Foco na conformidade vs. riscos operacionais e do negócio
13
Representação Gráfica de Controles IntegradosRepresentação Gráfica de Controles Integrados
Conciliações Contábeis
Conciliações Contábeis
Documentação SOX
Documentação SOX
Controles Manuais
Controles Manuais
Controles de Dados Cadastrais
Controles de Dados Cadastrais
Controles de Interface
Controles de Interface
Controles de Transações
Controles de Transações
Controles Configuráveis
Controles Configuráveis
Controles Gerais do Ambiente de InformáticaControles Gerais do Ambiente de Informática
Controles de Acesso
Controles de Acesso
Segregação de Funções
Segregação de Funções
Por onde começar ?
Foco: Vulnerabilidades , Quantidade de controles manuais, Nível de Automação do ProcessoFoco: Vulnerabilidades , Quantidade de controles manuais, Nível de Automação do Processo
14
Priority Project Name Description Sponsor Contact Appx.Size
Appx Start
Resource s Required
Resource Contact
LOU Schedule, Staff ing & Notes
1 IT Asset Landscape
High level study of potential risk areas and development of strea mlined audit and IT r isk remedia tion needs including consideration of control work being documented under various projects.
Sa lluzzo 150 16-Sep Mgr and Sr Mgr
Grossberg ü 80% Complete
2 Privacy Diagnostic
Umbrella review of various regulatory requirements regarding data privac y and security that are most significant to ABC’s global business and an assessment of the processes, procedures and te chnology to ensure complia nce.
Sa lluzzo 500 1-Jan Senior for 8 weeks
Leizerov
Solutions Alignment
Evaluate application portfolio for efficiency and effectiveness in meeting strategic business needs.
Webber
600 Sr Mgr, Mgr & Sr for 6-8 we eks
Grossberg
Controls Optimization
Evaluate SOX documentation for opportunitie s to leverage application controls.
Webber
120/ process
Sr Mgr, Mgr & Sr
Grossberg
End User Computing Control Revie w
For the spreadsheets/ databases [End User Computing (EUC)] that support a significant business proce ss where the importance is assessed as high or critical, identify and recommend policy/procedure to support audit reliance.
Webber
400 Sr Mgr, Mgr & Sr for 4 we eks
Levy
Vendor Manage ment
Determine a roadmap to address risks related to outsourcing IT processes. Provide detailed risk assessment and risk management guidance.
Webber
200 Sr Mgr and Mgr for 4 we eks
Grossberg
Como Começar ?Inventário dos Processos
Workshop
Análise de Controles de Processos do Negócio
Validar Exceções
Aplicação
• Fluxogramas dos Processos do Negócio (Riscos & Controles)
• Emitir Relatório & Aperfeiçoar
• Corrigir
• Identificar Controles Compensatórios
• Entender o Processo
• Validar O que Poderia Dar Errado (WCGWs)
• Avaliar/ Otimizar Controles
• Identificar Falhas nos Controle
• Identificar Controles a Serem Automatizados
Desenvolvimento das Regras
Controles a Serem Automatizados
Relatório de Exceções
ExperiênciasExternas
Índice de Controles Automáticos
Significant Mega Processes Sub Processes Asia Pacific North America EMEA Latin America
APS OneGlobe SAP APSAccPac AccPac
Desk Bank
SM Banking
DBS Web Banking
Hexagon Client
Hexagon Server
Cash Receipts--Lockbox Mellon Telecash NA N/A
AccPac OneGlobe SAP AccPac
Desk Bank JPMC Insight MultiCash
PNC Bank IDDC Direct
AccPac AccPacExcel RM
Cash Disbursements--Imprest NA Excel NA NA
NA OneGlobe NA NA
NA Works NA NA
AP Sub-Contractors AccPac OneGlobe SAP AccPac
Process InventoryApplications by Region
Cash Receipts Cash Receipts--Wire and Checks In Off ice CitiDirect MultiCash
RM
Cash Disbursements / Payables
AP/Cash Disbursements -- Wire & Check
AP/Procurement Card
RM
A/P--Receipt and Recording (invoices)
OneGlobe SAP
Conhecimento do Cliente
15
Ponto de vista tradicional sobre CCM
Manter Nossa Empresa Longe de ProblemasPromover Conformidade Sustentável com a
Melhor Relação Custo-Benefício
Monitoramento de Controles
Abordagem de Avaliação Baseada em Risco, Top-DownAbordagem de Avaliação Baseada em Risco, Top-Down
Controles a Nível da AdministraçãoControles a Nível da Administração
Racionalização de ControlesRacionalização de Controles
Otimização de ControlesOtimização de Controles
Avaliar
Melhorar
Monitorar
16
Ponto de vista da Ernst & Young sobre CCM
Conformidade & Monitoramento de
Controles
Conformidade & Monitoramento de
Controles
Monitoramento do Desempenho do
Negócio & Suporte àTomada de Decisões
Monitoramento do Desempenho do
Negócio & Suporte àTomada de Decisões
Manter Nossa Empresa Longe de ProblemasPromover Conformidade Sustentável com a
Melhor Relação Custo-Benefício
Tornar Nossa Empresa MelhorPromover Melhorias dos Processos &
Operacionais
Monitoramento de Controles
Abordagem de Avaliação Baseada em Risco, Top-DownAbordagem de Avaliação Baseada em Risco, Top-Down
Controles a Nível da AdministraçãoControles a Nível da Administração
Racionalização de ControlesRacionalização de Controles
Otimização de ControlesOtimização de Controles
Avaliar
Melhorar
Monitorar
17
Explorando possibilidadesSom
ente para fins ilustrativosSom
ente para fins ilustrativos