2. Perfil Caseware
• Fornecedor líder no setor de softwares para análise
de dados, auditoria contínua e monitoramento
contínuo.
• A Caseware Inc. é uma empresa com sede no Canadá
e unidades nos EUA, América Latina, Europa e China
• Mais de 40 parceiros distribuidores que atendem 90
países com tradução para 16 idiomas
• 2 distribuidores no Brasil;
3. GTAGs - Guias de Prática
Guias de Auditoria de
Tecnologia em questões
relacionadas à gestão de
TI, controle e segurança
•GTAG 3: Continuous Auditing:
Implications for Assurance,
Monitoring and Risk Assessment
•GTAG 16: Data Analysis
Technologies
4. Effectiveness of Controls
Auditoria Periódicas
Audit
1
Audit
2
Audit
3
Real
Esperada
Efectividad
Time
Source: Continuous Auditing From a Practical Perspective, Kevin Handscombe
4
5. Effectiveness of Controls
Auditoria Contínua
CA
CA
CA
CA
CA
CA
CA
CA
CA
CA
CA
CA
Real
Esperada
Efectividad
Time
Source: Continuous Auditing From a Practical Perspective, Kevin Handscombe
5
7. Auditoria Contínua
• Utiliza-se tecnologia da informação, para
automatizar o trabalho convencional de
auditoria tornando mais abrangente e
tempestivo.
• Efetuamos testes de controles automaticamente
em bases de dados contínuas, de forma a
identificar exceções e anomalias, tendências e
indicadores de riscos
Auditoria contínua é uma das ferramentas da
auditoria interna.
Fonte: IIA / AICPA / CICA
8. Auditoria Contínua
• Tipo de auditoria que produz resultados
simultaneamente ou em um pequeno período de
tempo após a ocorrência de um evento
relevante
Fonte: Prof. Miklos Vasarhelyi (Rutgers University)
• A capacidade de realizar avaliações de controle
e risco em tempo real, ou o mais próximo do
tempo real quanto possível..
Fonte: IIA / AICPA / CICA
10. Monitoramento Contínuo
• Fazer auditoria contínua como parte do
processo de core business da organização
• Obter maior apoio (buy-in) da alta
administração
– Demonstrar que Controles economizam dinheiro
e podem ser utilizados como indicadores do
negócio
O gestor é o dono do controle e o
monitoramento contínuo é uma ferramenta da
administração
11. Monitoramento Contínuo
• É um processo da Administração para
assegurar que os processos e controles de
negócio estão operando de modo eficiente.
• A administração deve identificar pontos críticos
de controle e implementar testes automatizados
para monitorar estes controles de modo
contínuo
• É responsabilidade da administração agir nas
deficiências de controle e corrigir transações
com defeitos
12. Data Analytics
• Análise de dados é definida como o processo
de inspeção, limpeza, transformação, e
modelagem de dados com o objetivo de
encontrar a informação útil, sugerindo
conclusões, e apoiando a tomada de decisão.
• Análise de dados é um processo analítico pelo
qual insights são extraídos de dados eletrônicos
internos ou externos da organização. Estes
insights podem ser históricos, em tempo real ou
preditivos.
14. Ferramentas
Alto
Otimizado
Execução contínua de auditoria automatizada e
testes de monitoramento com foco no negócio.
Ferramentas estatísticas e integradas
Repetitivo
Análises e testes automatizados e reusáveis, com softwares de
auditoria em ambiente centralizado. Os resultados são para
avaliação de risco em todo o processo de auditoria
Baixo
Ad hoc
Análises de dados pontuais sobre certas auditorias. Uso de planilhas ou
ferramentas em ambiente local ou desktop.
16. Exemplo
Risco: Faturas podem não ser válidas e / ou
devidamente autorizada
Atividade de controle: Conferencia de faturas
para a entrada de mercadorias
Método: parcialmente automatizado
Tipo: Preventivo
Freqüência: Recorrente
Componente de COSO: Atividades de Controle
17. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
Risco
18. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Risco
Controle
19. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
Para diferenças
abaixo do limite uma
prova de
reconciliação manual
e criada pelo
funcionário de contas
a pagar e aprovado e
publicado pelo seu
Supervisor para a
conta de ajuste no
sistema.
Risco
Controle
20. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
As diferenças acima
do limite são
colocados em espera
e investigadas pelo
gerente da área e o
funcionário de contas
a pagar
Risco
Controle
21. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Risco
Controle
22. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Obter uma lista
de todas as
faturas para o
período de
teste
selecionado.
Risco
Controle
Passos
23. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Obter o
formulário de
entrada de
mercadorias e
re-executar a
reconciliação
Risco
Controle
Passos
24. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Verificar que
uma folha de
prova
reconciliação
manual é criada
pelo
funcionário de
contas a pagar
Risco
Controle
Passos
25. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Verificar que a
folha de prova
da reconciliação
manual é
aprovada pelo
Supervisor de
contas a pagar
Risco
Controle
Passos
26. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Obter do sistema
uma cópia
impressa de todos
ajustes e verificar a
que a diferença foi
postada pelo
Supervisor
Risco
Controle
Passos
27. Risco, controle e Passos de auditoria
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Verificar que todas
as diferenças que
se enquadram
acima do limite são
investigados pela
gerencia da área e
o funcionário de
contas a pagar
Risco
Controle
Passos
28. O componente análise de dados
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Compare entradas
no sistema com
Mercadorias
Recebidas
Risco
Controle
Passos
Extrai todas as
novas faturas do
sistema
29.
30. O componente análise de dados
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Reconcilie as
diferenças abaixo
do limite para a
conta de ajuste
Risco
Controle
Passos
Atribui quaisquer
exceções ao
gerente da area
envolvida.
31.
32. O componente de data analytics
Faturas podem
não ser válidas
e / ou
devidamente
autorizada
O funcionário de
contas a pagar checa
o formulario de
entrada de
mercadorias com a
fatura no sistema e
permite uma
diferença máxima de
0,5%.
Atribui
qualquer
variação acima
do limite para o
Gerente da
Area.
Risco
Controle
Passos
33.
34.
35.
36. Propriedade dos testes automatizados
Frequência: Diariamente
Detecção: Qualquer não cumprimento acima e abaixo do
limite
Atribuição: Gerenciamento da area
Prazo: Resolver no mesmo dia
Evidência: Due diligence realizada para aquelas acima do
limite e quaisquer outras exceções detectadas
Valor: Certifique-se que a eficácia de controle é mantida
em alto nível
37. Benefícios
• Independência
• Eficiência e eficácia
• Menos dependência da gestão
• Podem ser integrados nas operações
• Solução de TI compreensiva
• Colaboração
38. Desafios
• Mesmo com denominações diversas, o monitoramento
contínuo controles está surgindo como um conjunto de
recursos que proporciona retorno tangível e rápido.
• Condições macroeconômicas irão acelerar a adoção de
soluções de Auditoria Contínua e Monitoramento
Contínuo, com o aumento da regulação, orçamentos mais
apertados, e staff reduzido, priorizando um foco sobre a
eficiência.
39. Desafios
• Os gestores estão amadurecendo e permitindo que o
negócio gerencie os controles com a supervisão da
auditoria.
• Controles manuais ainda são um problema, mas são
gerenciáveis se olharmos a partir da perspectiva dos
processos de negócios.
• Cada vez mais, as empresas querem descobrir a origem
dos controles manuais e automatizá-las.
These is largely based on an article written in ISACA by Kevin Handscombe. Follow this link for more information - http://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/Continuous-Auditing-From-a-Practical-Perspective1.aspx . When presented it is a good idea to refer to it as yo-yo controls (assuming that a yo-yo is understood in your market).
CFOs are always under pressure when an annual audit approaches. What are they doing? Getting things in order. Making sure the controls appear effective. And therefore just before and immediately following the audit, control effectiveness increases. However, once that initial period ends the human tendency is to revert to “normal”. The result is a steady decline in control effectiveness.
The slide then talks about the expectations of management; they think that controls are operating at the maximum but in truth it is averaging somewhere between the high and low points. Substantially lower than expected.
This slide then introduces a new concept. Since the high point in control effectiveness is associated with a review of the control, why not review it continuously? If you could continuously review and maintain the control effectiveness then clearly this is a better approach. The slide then demonstrates that not only is this achieving a higher level of control effectiveness it is significantly better than managements’ expectations.
No es un software o herramienta tecnológica pero sí un proceso que incluye:
Planificación, Evaluación de Riesgos y de Controles, Respuesta a los riesgos e Comunicación de Resultados
No es un software o herramienta tecnológica pero sí un proceso que incluye:
Planificación, Evaluación de Riesgos y de Controles, Respuesta a los riesgos e Comunicación de Resultados
COSO is introduced to bring a widely accepted control framework into the picture and associate it with what we are proposing; to establish even greater credibility. The diagram explodes the monitoring section of the framework to demonstrate its importance. This is what we refer to as closing the governance loop. Talk about how many COSO projects fail because they cannot get an accurate or timely opinion of the state of controls. CaseWare Monitor goes a long way to assist management in achieving this insight by continuously monitoring and providing feedback on the state of the control environment.
Ponto Chave no processo:
O processo de monitoramento contínuo deve ser de propriedade e ser realizado pela Administração, como
parte de sua responsabilidade por implementar e manter um efetivo sistema de controles internos.
O gestor é o dono do controle.
Pode ser executado diariamente, semanalmente ou mensalmente, dependendo da natureza do controle
Incluir o processo em outras iniciativas de controles da empresa, por exemplo COSO, automação SOX, etc
Ponto Chave no processo:
O processo de monitoramento contínuo deve ser de propriedade e ser realizado pela Administração, como
parte de sua responsabilidade por implementar e manter um efetivo sistema de controles internos.
O gestor é o dono do controle.
Pode ser executado diariamente, semanalmente ou mensalmente, dependendo da natureza do controle
Ponto Chave no processo:
O processo de monitoramento contínuo deve ser de propriedade e ser realizado pela Administração, como
parte de sua responsabilidade por implementar e manter um efetivo sistema de controles internos.
O gestor é o dono do controle.
Pode ser executado diariamente, semanalmente ou mensalmente, dependendo da natureza do controle