blog.dennyroger.com.br

Este artigo é uma idéia fantástica, que tem o nome de Alberto Afonso, um dos primeiros profissionais no Brasil a apresentar publicamente a ação dos bancos contra os Crackers. Atuando há mais de 6 anos na área de auditoria de um grande Banco multinacional, Alberto Afonso respira e vive estratégias de segurança da informação e auditoria.

Saiba como uma poderosa ferramenta de baixo custo pode ajudar a auditoria interna da sua empresa.

Por Alberto Afonso

Introdução / Objetivo

A auditoria continua consiste em uma técnica moderna de auditoria através de testes utilizando bases de dados informatizadas, mediante ferramentas de extração, análise e mineração de dados, baseada na avaliação de riscos e controles internos.

Atualmente este tema desperta grande interesse entre os Auditores Internos, conforme resultados de diversas pesquisas realizadas por grandes firmas e órgãos de classe. Isso ocorre devido ao potencial de atender à demanda atual por maior eficiência e eficácia nas auditorias, ou seja, maior cobertura com menos recursos.

O conceito de auditoria convencional “uma vez ao ano”, isoladamente, já não atende as necessidades das empresas. A velocidade em que os negócios são realizados, milhões de transações criadas e constantes mudanças nos processos, exige das Auditorias a mesma velocidade para realizar sua função, de auxiliar a organização a alcançar seus objetivos executando trabalhos de avaliação baseadas na avaliação de risco e controles.

A Auditoria Continua não invalida ou substituí a auditoria convencional, porém complementa e auxilia na definição do plano de auditoria, aumenta a presença da Auditoria Interna junto aos auditados, melhorando o nível de controles.

Aspectos Gerais

O papel da auditoria continua é realizar uma avaliação mais freqüente e temporal da qualidade dos controles e de gerenciamento de riscos, resultando na identificação de tendências, oportunidades, deficiência de controles e pode ser utilizada como ferramenta de gestão.

Alguns dos maiores benefícios da Auditoria Contínua são:

- Aumento da eficiência da Auditoria (custos)
- Aumento do escopo e cobertura da auditoria
- Detecção e Reporte dos pontos com maior velocidade (pro atividade)
- Aumento das chance de mitigar riscos
- Aumento da assertividade das conclusões de Auditoria
- Aumento na detecção de erros, falhas e fraudes financeiras e operacionais
- Criação de testes de auditoria automáticos
- Suporte à áreas de controles, como Risco Operacional, Controles Internos e Compliance.

Auditoria continua é qualquer método utilizado para realizar auditoria em bases de dados contínuas para avaliações de risco e controle, sendo uma das melhores práticas de análise de dados (população, não apenas amostras) com foco preventivo e de detecção.

Para realização dos testes de Auditoria Continua é necessário obter acesso à ferramentas de tecnologia adequadas e às base de dados objetos da avaliação.

As duas formas de atuação (testes de auditoria) são:

- baseada em controle - Consiste em avaliar se os controles estão funcionando adequadamente.
- baseada em risco - Identifica e avalia os riscos através de Indicadores de Riscos (KRI´s).

O reporte dos pontos de auditoria (“findings”), a partir dos testes de Auditoria Continua, são similares a uma monitoração através de alertas e notificações com os desvios identificados, e devem ser realizados de forma tempestiva. Estes relatórios são direcionados sempre para a gerência responsável pelo processo, ou um nível acima, que pode adotar planos de ação imediatos e evitar perdas financeiras e mitigar outros riscos, sejam eles de fraudes, abusos ou de imagem.

As tendências, riscos e deficiências de controles podem ser notadas a partir da consolidação periódica dos desvios em relação ao universo testado (os resultados dos testes podem ser mantidos em papéis de trabalho eletrônicos), sendo também reportado de forma consolidada através de relatórios de posicionamento.

Premissas

Para utilização desta metodologia algumas premissa devem ser observadas e respeitadas a fim de que que seja tomada a decisão de implementar ou não Auditoria Continua.

- A empresa deve ter seus processos e transações (ou pelo menos àqueles mais críticos ao negócio) suportados por sistemas de tecnologia da informação.

- Deve haver envolvimento direto do CAE (Chief Audit Executive) que será o motivador da implementação e deve buscar o apoio do corpo gerencial / executivo, divulgando os benefícios e importância da Auditoria Continua.

- Ter independência para o acesso às informações do negócio.

- Tecnologia para acesso (leitura), tratamento e análise das informações (bases de dados).

Desenvolvimento

Ao contrário do que possa parecer, a implementação desta metodologia de trabalho de auditoria não pode, nem deve, ser dispendiosa como, por exemplo, o desenvolvimento de um sistema de monitoração ou criação de sistemas de auditoria continua.

Atualmente as Auditorias Internas já mantém prática de acessos à base de dados através de CAATS (Computer Assisted Audit Techniques), sendo possível associar as mesmas práticas para a implementação de Auditoria Contínua.

O fluxograma e os dez passos a seguir resumem os pontos principais da implementação da Auditoria Continua.

Fluxograma da Auditoria Continua

1 – Estabelecer um programa de auditoria, objetivos e prioridades de testes

A Auditoria deve concentrar os esforços nos riscos de maior relevância e nos controles mais sensíveis, principalmente aqueles cujo nível de monitoração pela gerência seja inexistente, fraco ou ineficiente.

Uma matriz de risco deve ser preparada, onde todos os riscos inerentes aos processos / transações que serão testados devem ser mapeados, classificados e documentados no programa de auditoria. Os Controles mitigantes, como por exemplo, controles SOXA, segregação de função, alçadas, monitorações e etc, também devem ser mapeados e documentados em um programa de auditoria continua.

Os testes de auditoria devem ser documentados nos papéis de trabalho do programa da Auditoria Continua e devem conter o escopo e o critério de cada teste. As conclusões dos testes e desvios encontrados devem ser documentados nestes papeis.

O conceito de “Low Hanging Fruit” deve ser aplicado, ou seja, os testes mais fáceis devem ser implementados mais rápido.

2 – Apoio e suporte do nível executivo

A implementação da Auditoria Continua deve ser realizada com o apoio das áreas de negócios que tenham interesse nestes resultados. A metodologia deve ser apresentada para a gerência e parcerias devem ser feitas.

Reuniões com os gerentes de produtos, processos e operações.

3 – Averiguar o grau em que cada área gerencial está exercendo seu papel na monitoração dos controles

Quando há processos de monitoração, estes devem ser considerados na realização dos testes, pois quanto maior a cobertura do processo de monitoração, menor será o esforço despendido da Auditoria Continua, que poderá efetuar testes sobre o processo de monitoração, se necessário.

4 – Selecionar as soluções tecnológicas apropriadas e treinar a equipe

As ferramentas utilizadas na Auditoria Continua devem ser selecionadas de acordo com as tecnologias utilizadas na empresa.

Partindo da premissa que a Auditoria tem acesso às bases de dados, seria necessário obter ferramentas de análise de dados, estatística, “queries”, “miner”, como pro exemplo ACL, SAS, BO, Access, ou similares.

Devem ser identificados os profissionais adequados e estes devem receber o treinamento necessário para operar as ferramentas selecionadas.

5 – Construir Audit Data warehouse (identificação, fonte, aprendizado, acesso e coleta)

As bases de dados que serão testadas devem ser identificadas em conjunto com as áreas de negócio envolvidas, estas bases devem ser compreendidas. Antes de obter a liberação de acesso deve ser garantida a integridade das informações disponibilizadas à Auditoria.

O acesso às bases deve ser restrito somente às pessoas que farão a manipulação dos dados e construção do Data Warehouse.

O Data Warehouse para a AC (AUDITORIA CONTINUA) pode ser um espaço em disco de um servidor, um servidor dedicado ou até um Desktop, desde que tenha capacidade e segurança necessária para a realização do trabalho.

Há casos de bases que podem ser mapeadas a partir do local de origem pelas ferramentas de extração de dados. Nestes casos somente os resultados, logs, leiautes e scripts devem ser armazenados no Data Warehouse.

6 – Testes de auditoria freqüentes

Os testes da AC (AUDITORIA CONTINUA) devem ser realizados com a freqüência adequada à necessidade de cada controle objeto destes testes. Estas freqüências podem ser de diárias a anuais ou pontuais.

Os testes podem ser baseados em controles ou em riscos. Os testes de controle geralmente demonstram se o controle funciona adequadamente ou em conformidade. Para testes baseados em risco, os resultados demonstram a exposição e o apetite de risco do negócio, como por exemplo, despesas ou gastos acima do aceitável, abusos e etc.

É importante o alinhamento junto às áreas de negócio quanto ao “apetite de risco”, pois os critérios dos testes podem ser baseados nesta informação.

Os testes de AC (AUDITORIA CONTINUA) são na maioria dinâmicos e podem ser modificadas de acordo com a evolução do trabalho, alterações nos processos e controles. Uma análise continua sobre a efetividade e resultados dos testes deve ser realizada para adaptação, continuidade ou maior abrangência dos testes.

7 – Relatórios oportunos e temporais

Os relatórios com os desvios devem ser enviados aos responsáveis de acordo com a freqüência dos testes com o objetivo de mitigar perdas, fraudes e outros riscos.

As pessoas chaves, responsáveis em mitigar estes riscos, devem ser identificadas e estas estar informadas sobre os procedimentos e funcionamento da Auditoria Continua. Casos mais relevantes ou que necessitam ações imediatas devem ser formalmente reportados a níveis superiores (ex: Diretoria) identificados e informados. O reporte pode ser feito via correio eletrônico, no momento da identificação do problema.

8 – Consolidações dos resultados e identificação das deficiências de controle

Os desvios, conclusões e resultados devem ser armazenados e, periodicamente, consolidados e analisados.

A partir desta consolidação podem ser identificadas tendências, deficiências de controles, riscos e etc, que devem ser reportados à alta gerência, através de um relatório de posicionamento da AC.

9 – Recomendações de melhorias nos controles

Recomendações sobre melhorias operacionais, deficiências de controles e riscos podem ser direcionadas nestes relatórios e ações da gerência propostas e discutidas.

10 – Acompanhar as ações da gerência

As ações das gerências, para os casos em que os planos de ação não forem executados, devem ser monitoradas pela auditoria até a conclusão.

Conclusão

A Auditoria Continua é uma ferramenta bastante poderosa e de fácil implantação, quando existe o apoio do CAE (Chief Audit Executive) e da alta administração e com resultados imediatos.

Os problemas podem ser rapidamente identificados e as soluções propostas tomadas a seguir.

O fator psicológico sobre os envolvidos no processo também é um componente de controle bastante eficiente e que se destaca rapidamente após o surgimento da Auditoria Continua.

É possível que seja implementado com um custo razoavelmente baixo, aproveitando-se em alguns casos os recursos já disponíveis na empresa e na própria Auditoria Interna.

Alberto Afonso, CIA, CCSA, QA, CPA-20, SAP
Responsável pela implantação de Auditoria Continua em um Grande Banco multinacional, utilizando a metodologia descrita acima e com baixo investimento.

Contato: auditoria_continua@yahoogrupos.com.br
Grupo de discussão: http://br.groups.yahoo.com/group/auditoria_continua

Sem comentários »