Arquitetura de TI para Auditoria Contínua

Global Business Services

© 2007 IBM Corporation

Arquitetura de TI para Auditoria Contínua

04 de Junho de 2009

© Copyright IBM Corporation 2007

Recentemente, a IBM publicou o seu CEO Study. Nele, mapeamos as principais forças que impactam as instituições financeiras

A crise financeira internacional confirma a percepção dos CEOs que as forças de mercado continuam a ser um fator crítico de impacto para os bancos

Regulamentações e complience continuam a crescer em sofisticação e complexidade levando a pressão de adaptabilidade dos sistemas de gestão

Atrair os recursos corretos continua a ser um fator crítico de sucesso

A tecnologia ainda é um fator importante de diferenciação

As preocupações com aspectos regulatórios continuam na pauta dos CEO de grandes empresas

As forças que impactam as instituições financeiras constituem um grande leque de oportunidades de otimização de recursos e expansão de mercado,

porém alguns obstáculos ainda permanecem.

7%

5%

6%

14%

26%

30%

42%

45%

48%

53%

0% 20% 40% 60% 80% 100%

Other

Environmental Issues

Geopolitical Factors

Socio-Economic Factors

Macro-Economic Factors

Globalization

Technological Factors

Regulatory Concerns

People Skills

Market Factors

Source: IBM Global CEO Study 2008; n (Banking) = 128MarketSight Category Name / Analysis Name: Hungry for Change / Q1 Frequency; 2008 Global CEO Study


Recently IBM published the CEO Study 2008 showing the main external forces impacting financial institutions

Recent issues in the sub-prime mortgage sector confirm CEO perceptions that market forces remain a critical factor impacting banks

Regulation and compliance continues to increase in sophistication and complexity, putting pressure on banks to adapt and expand management systems

Attracting and retaining specialized skills remains a key issue for many banks

Technology continues to evolve as both a key competitive differentiator or a key constraint

Many of the most important innovations in banking over recent years have been driven by flexible technologies

However many banks experience limited ability to innovate due to inflexible legacy systems

Many banks continue to be constrained in their ability to leverage change to drive growth and shareholder value

The forces of change impacting banks constitute a huge potential opportunity to expand markets and optimize resources, although constraints remain

7%

5%

6%

14%

26%

30%

42%

45%

48%

53%

0% 20% 40% 60% 80% 100%

Other

Environmental Issues

Geopolitical Factors

Socio-Economic Factors

Macro-Economic Factors

Globalization

Technological Factors

Regulatory Concerns

People Skills

Market Factors

Source: IBM Global CEO Study 2008; n (Banking) = 128MarketSight Category Name / Analysis Name: Hungry for Change / Q1 Frequency; 2008 Global CEO Study


Conseqüentemente, a mesma evolução de desafios é vista nos aspectos regulatórios. A sociedade e os acionistas pedem mais velocidade

Seção 302

Seção 404

Seção 409

Voltando ao “básico”…foco em controles, integridade de informações, relatórios certificados e accountability. Nenhum requerimento de melhoras operacionais significativas.

Indo além do “Básico”…melhora controlada, repetida e sustentável de performance. Melhora na capacidade de obter ganhos operacionais, construindo valores de negócio e alinhando-os com drivers da operação financeira. Sistemas integrados, relatórios on demand, fechamento rápido…etc

Movendo-se para um novo patamar…otimizando a performance para vantagem competitiva. A velocidade de comunicação com os acionistas é cada vez mais urgente. Melhoria na visibilidade, previsibilidade e novos insights

Básica Média Evoluída

Maturidade

Que pressupõe a existência de solução tecnológica adequada como suporte


A Auditoria Contínua, quando alavancada tecnologicamente, torna-se uma ferramenta essencial para que as empresas sigam a revolução dos modelos de negócio, com o controle necessário ao sucesso esperado

Formulação

Monitoramento

Identificação de Riscos

Indicadores, regras de negócio,

dimensões de análise

Algorítimos de controle (parâmetros de extração)

Implementaçãoda Arquitetura

BI

Str

ateg

y an

d P

lan

nin

g

Review Client Business & IT Environment

Identify Solution Areas

Define Business Solution Strategy

Define Technical Solution Strategy

Outline Architecture

Model

Assess Infrastructure

Impact

Confirm BI Strategy and

Planning

So

luti

on

Ou

tlin

e

Define Infrastructure Requirements

Define Architecture

Model

Define Organization

Review Client Environment

Outline Solution

Requirements

Outline Application

Model

Assess Business Impact

Outline Solution Strategy

Solution Prototype (Optional)

Mac

ro D

esig

n

Design Logical Data Repositories

CreateLogical Data

Integration Design

Create Logical

Anaytics Design

Design Architecture

Model

Design Solution Plans

Design Test Specifications

Build Development Environment

Create Logical Access Design

Mic

ro D

esig

n

Design Physical Data Repositories

CreatePhysical Data

Integration Design

Create Physical Anaytics Design

Refine Architecture

Model

Define Training and User Support

Plan Development

Create Physical Access Design

Perform Static Testing

Bu

ild

Cyc

le

Develop Support

Materials

Prepare for Testing

Perform Data Repositories

Build

Build Data Integration

Code

Build/Extend Analytics

Components

Build/Extend Access

Components

Perform Development

Testing

Perform System Testing

Plan Deployment

Dep

loym

ent

Perform Acceptance

Testing

Setup Production

Environment

Deploy Client Support

Cutover to Production

Implementation Checkpoint

A formulação do modelo de Auditoria Contínua, sua definição de escopo e abordagem de monitoramento de riscos é um processo cíclico


Nosso objetivo é trabalhar uma arquitetura de TI que possa alavancar a Formulação realizada

BI

Str

ateg

y an

d P

lan

nin

g





Outline Architecture Model

Assess Infrastructure Impact

Confirm BI Strategy and Planning

So

luti

on

Ou

tlin

e


Define Architecture Model

Define Organization


Outline Solution Requirements

Outline Application Model




Mac

ro D

esig

n


CreateLogical Data Integration Design

Create Logical Anaytics Design

Design Architecture Model





Mic

ro D

esig

n


CreatePhysical Data Integration Design


Refine Architecture Model


Plan Development



Bu

ild

Cyc

le

Develop Support Materials

Prepare for Testing

Perform Data Repositories Build

Build Data Integration Code

Build/Extend Analytics Components

Build/Extend Access Components

Perform Development Testing


Plan Deployment

Dep

loym

ent

Perform Acceptance Testing

Setup Production Environment




Requerimentos Gerais

Formulação

Monitoramento


Indicadores, regras de negócio, dimensões de análise Algorítimos de controle (parâmetros de extração)

Implementação

BI S

trat

egy

and

Pla

nn

ing





Outline Architecture Model

Assess Infrastructure Impact

Confirm BI Strategy and Planning

So

luti

on

Ou

tlin

e


Define Architecture Model

Define Organization


Outline Solution Requirements

Outline Application Model




Mac

ro D

esig

n


CreateLogical Data Integration Design

Create Logical Anaytics Design

Design Architecture Model





Mic

ro D

esig

n


CreatePhysical Data Integration Design


Refine Architecture Model


Plan Development



Bu

ild C

ycle

Develop Support Materials

Prepare for Testing

Perform Data Repositories Build

Build Data Integration Code

Build/Extend Analytics Components

Build/Extend Access Components

Perform Development Testing


Plan Deployment

Dep

loym

ent

Perform Acceptance Testing

Setup Production Environment




Diferenciação entre tipos de demandas:

Estruturadas (Acesso a informações de forma

estruturada e com periodicidade fixa )e Ad hoc Escalabilidade Disponibilidade Integridade / Confiabilidade Agilidade para demandas incrementais Utilização de ferramentas corporativas

Método

Respeitando requerimentos relevantes ao processo e com procedimentos estruturados de implementação


Adicionamos também, outras características na definição da arquitetura de TI que já começam a delinear a solução de arquitetura adequada ...

Segurança (ambientes de dados) Independência na obtenção dos dados Reutilização de Dados (resultado da

rotina) Agilidade na obtenção dos dados Ferramentas com domínio de ambientes

heterogêneos e estruturas diversas de

arquivos Capacidade de parametrização de novos

critérios de filtros sobre a base gerada

(flexibilidade)

Habilidade para cálculo de indicadores

complexos Funcionalidades de análise Produção relatórios e publicações com

qualidade (Painéis de Controle) Integração do Follow-UP/Workflow com

sistema de e-mail do Banco Flexibilidade na

disponibilização/publicação dos

resultados Habilidade de visão dos indicadores em

diversas dimensões

O desafio do modelo de TI é maximizar e equilibrar o atendimento desses requerimentos e características, conjugados à viabilidade financeira da solução


Seleção de campos e aplicação de filtros simples para redução do volume de dados a ser tratado

Aplicação das regras de negócio de crítica, limpeza, conversão, integração, consolidação de dados e cálculo de indicadores

Análise de indicadores por meio do cruzamento de suas diversas dimensões / visões

Ação e Follow-up sobre os desvios identificados

Monitoramento dos principais indicadores

ETL gerando código em

Plataforma Alta

Ferramenta ETL em

Plataforma Baixa

Data Marts /

Aplicações Analíticas

Aplicação Follow-Up /

WorkflowPainel de Controle

EXTRAÇÃO

INTEGRAÇÃOE

TRANSFORMAÇÃOANÁLISE CONTROLE PUBLICAÇÃO

Quando resumimos as camadas contempladas por uma solução de Business Intelligence (BI) e seus papéis principais, temos o seguinte quadro

Que detalhamos a seguir...


E

X

T

R

A

Ç

Ã

O

Alta Plataforma Baixa Plataforma

VSAMVSAMVSAM

Arq. indexados

Arquivos TXT

Resultado Ad Hoc

Staging Area

DW Corporativo

Extração AD Hoc

- Desvios

- Informações detalhadas para composição dos indicadores

Relatórios Web, Gráficos e Painel de Controle

Sistema FUP/ Workflow

Aplicações de Negócio

Usuários de

Negócios

Usuários de

Negócios

Usuários Auditados (Ex.

Agências, Diretorias, etc)

TXT

TXT

TXT

Base

Relacional

Escopo Ambiente Auditoria

TXT

Arquivos Sequenciais

Data MART

T

R

A

N

S

F

O

R

M

A

Ç

Ã

O

C

A

R

G

A

E

X

T

R

A

Ç

Ã

O

Outras fontes distribuído

DB2DB2

DB

Bases de dados Relacionais

Bancos de dados hierárquicos

Fonte de Dados

Primários

Extração para indicadores

agrupados AC

Extração (desvios) para FUP/ Workflow

Fontes de dados primários para alimentação da bases são os sistemas transacionais

Considera-se a utilização de ferramenta de ETL (extraction / transformation and load) para implementação da camada de extração pela geração de código

A camada de extração via de regra deve ser executada em plataforma alta

ANÁLISE CONTROLE PUBLICAÇÃO

Data Marts / Aplicações Analíticas Aplicação Follow-Up / Workflow Painel de Controle

INTEGRAÇÃO ETRANSFORMAÇÃO

Ferramenta ETL em Plataforma Baixa

EXTRAÇÃO

ETL gerando código em Plataforma Alta


E

X

T

R

A

Ç

Ã

O


VSAMVSAMVSAM

Arq. indexados

Arquivos TXT

Resultado Ad Hoc

Staging Area

DW Corporativo

Extração AD Hoc

- Desvios





Usuários de

Negócios

Usuários de

Negócios



TXT

TXT

TXT

Base

Relacional


TXT


Data MART

T

R

A

N

S

F

O

R

M

A

Ç

Ã

O

C

A

R

G

A

E

X

T

R

A

Ç

Ã

O


DB2DB2

DB



Fonte de Dados

Primários


agrupados AC


A camada de extração de dados gera um conjunto de arquivos-texto com dados selecionados para processamento a partir das fontes de dados primários

No momento da extração não é aplicada nenhuma regra de negócio; trata-se apenas de seleção de campos e aplicação de filtros simples para enxugar os volumes de dados a serem trabalhados pelas etapas seguintes do processo

EXTRAÇÃO







E

X

T

R

A

Ç

Ã

O


VSAMVSAMVSAM

Arq. indexados

Arquivos TXT

Resultado Ad Hoc

Staging Area

DW Corporativo

Extração AD Hoc

- Desvios





Usuários de

Negócios

Usuários de

Negócios



TXT

TXT

TXT

Base

Relacional


TXT


Data MART

T

R

A

N

S

F

O

R

M

A

Ç

Ã

O

C

A

R

G

A

E

X

T

R

A

Ç

Ã

O


DB2DB2

DB



Fonte de Dados

Primários


agrupados AC


As camadas de integração e transformação são geradas por meio do “engine transformation” da ferramenta ETL

As camadas de integração e transformação de dados são desenvolvidas com base nas regras de negócio



EXTRAÇÃO





E

X

T

R

A

Ç

Ã

O


VSAMVSAMVSAM

Arq. indexados

Arquivos TXT

Resultado Ad Hoc

Staging Area

DW Corporativo

Extração AD Hoc

- Desvios





Usuários de

Negócios

Usuários de

Negócios



TXT

TXT

TXT

Base

Relacional


TXT


Data MART

T

R

A

N

S

F

O

R

M

A

Ç

Ã

O

C

A

R

G

A

E

X

T

R

A

Ç

Ã

O


DB2DB2

DB



Fonte de Dados

Primários


agrupados AC


Considera a criação de uma base de dados multidimensional (Data Mart) com a visão quantitativa de indicadores e desvios para suportar as análises exploratórias

Solução de metadados permite que o usuário final da informação saiba qual o conceito, regra e atualizações que a sustenta

Criação de um repositório de dados com os desvios identificados no processo. Base de dados relacional que armazena as informações resultantes das regras aplicadas para cada rotina de auditoria

EXTRAÇÃO


ANÁLISE

Data Marts / Aplicações nalíticas

CONTROLE PUBLICAÇÃO

Aplicação Follow-Up / Workflow Painel de Controle




E

X

T

R

A

Ç

Ã

O


VSAMVSAMVSAM

Arq. indexados

Arquivos TXT

Resultado Ad Hoc

Staging Area

DW Corporativo

Extração AD Hoc

- Desvios





Usuários de

Negócios

Usuários de

Negócios



TXT

TXT

TXT

Base

Relacional


TXT


Data MART

T

R

A

N

S

F

O

R

M

A

Ç

Ã

O

C

A

R

G

A

E

X

T

R

A

Ç

Ã

O


DB2DB2

DB



Fonte de Dados

Primários


agrupados AC


Considera a criação de um ambiente de análise para suportar análises exploratórias (cruzamentos de indicadores e dimensões).

Este ambiente de análise corresponde à criação da camada semântica (mapeamento de indicadores / métricas e dimensões / hierarquias) a partir do Data Mart Quantitativo (base multidimensional)

Relatórios dinâmicos com possibilidade de cruzamentos por diversas dimensões (visões), e por meio da de cubo

A ferramenta de follow-up acelera o processo de análise e resposta dos pontos que devem ser acompanhados pelos envolvidos (Auditado, Gestor de Negócio e Auditoria)

EXTRAÇÃO


ANÁLISE

Data Marts / Aplicações nalíticas



CONTROLE

Aplicação Follow-

Up / Workflow

PUBLICAÇÃO

Painel de

Controle


E

X

T

R

A

Ç

Ã

O

O crescente nível de requerimentos da Auditoria torna mandatória a adoção de uma plataforma de TI robusta


VSAMVSAMVSAM

Arquivos indexados

Arquivos TXT

Resultado Ad Hoc

Staging Area

DW Corporativo

Extração AD Hoc

- Desvios





Usuários de

Negócios

Usuários de

Negócios



TXT

TXT

TXT

Base

Relacional


TXT


Data MART

T

R

A

N

S

F

O

R

M

A

Ç

Ã

O

C

A

R

G

A

E

X

T

R

A

Ç

Ã

O


DB2DB2

DB



Fonte de Dados

Primários


agrupados AC



Podemos exemplificar a aplicabilidade da arquitetura de BI para Auditoria Contínua

Resgates de seguro indevidos após adulteração de cadastro

Indicador Dimensão Parâmetro

Número de solicitações de resgates precedidas de alterações cadastrais

Por CNPJ/CPF Por corretor Por mês Por Produto

Alterações cadastrais até 90 dias antes dos resgates

Formulação

Monitoramento

Ambiente atual de TI Melhores práticas

Requerimentos de negócio e prioridades

1. Diagnóstico2. Definição do Modelo Futuro

3. Estratégia de Implementação

Re

qu

eri

me

nto

s e

p

rio

rid

ad

es

pa

ra o

Mo

de

lo

Fu

turo

Tendências de mercado e benchmarks

Est

raté

gia

co

rpo

rativ

a,

de

TI

1.1. Mapear

Expectativas

1.2. Avaliar

Arquitetura Atual

1.3

. A

valia

r P

roce

sso

s d

e N

eg

óci

o

Org

an

iza

ção

e a

rqu

itetu

ra

de

TI

pa

ra o

ce

nári

o

sele

cio

na

do

2.1. Elaborar

Arquitetura

Fin

aliz

açã

o d

o p

lan

o d

e

imp

lem

en

taçã

o

3.1. Elaborar

Estratégia de

Implementação

3.2. Analisar os

investimentos 3.3

. E

lab

ora

r p

lan

o d

e

imp

lem

en

taçã

o

2.2. Elaborar o

Modelo

Organizacional 2.3

. D

efin

ir p

erf

is e

tr

ein

am

en

to




Algorítimos de controle

(parâmetros de extração)

Implementação




Algorítimos de controle (parâmetros de extração)

Monitorar solicitações de resgates precedidas de alterações cadastrais


Baixa Plataforma

Arquivos TXT

Resultado Ad Hoc

Usuários de

Negócios





- Desvios


Base

Relacional

Data MART



Usuários de

Negócios

E

X

T

R

A

Ç

Ã

O

Alta Plataforma

VSAMVSAMVSAM

Arq. indexados

Staging Area

DW Corporativo

Extração AD Hoc

TXT

TXT

TXT

TXT


T

R

A

N

S

F

O

R

M

A

Ç

Ã

O

C

A

R

G

A

E

X

T

R

A

Ç

Ã

O


DB2DB2

DB



Fonte de Dados

Primários


agrupados AC


Staging Area


T

R

A

N

S

F

O

R

M

A

Ç

Ã

O

C

A

R

G

A

E

X

T

R

A

Ç

Ã

O



SistemasProduto

(Transacionais)

Resgastes efetuados

AlteraçõesCadastrais

Desvios(resgates

com alteração cadastral até 90 dias)

# Resgates por:

CNPJ/CPFcorretor

mêsproduto


agrupados AC


Usuários de

Negócios

Critérios de Risco aceitável = # de desvios

por dimensãoA B C D

CNPJ

A B C DProduto

A B C DCorretor

Usuários Auditados

AuditoriaContínua

Agências

Follow-UPWorkflow

Notificação

Altera Status

Relatórios

Consulta Desvios

Altera

Justificativas

AuditoriaContínuaAuditoriaContínua

AgênciasAgências

Follow-UPWorkflow

Notificação

Altera Status

Relatórios

Consulta Desvios

Altera

Justificativas

E

X

T

R

A

Ç

Ã

O


Fonte de Dados

Primários

Podemos exemplificar a aplicabilidade da arquitetura de BI para Auditoria Contínua


Abaixo algumas perguntas que devem ser respondidas de forma a maximizar a implementação da solução de Auditoria Contínua

Estrutura

Pap

éis e

Resp

on

sabi-

lidad

es

Tecn

oolg

ia

Processos

Gestão de

Desempenho

Mec

anis

mo

s d

e In

teg

raçã

o

Governança

• Quem é o responsável pelo resultado da Auditoria ?

• Quem é o “dono” das informações ?

• Quem decide o quê ? Quem deve ser envolvido ?

• Qual a arquitetura de TI adequada?• Quais as tecnologias / ferramentas que

suportarão o novo modelo de comunicação/follow-up?

• Quais as interfaces com as outras áreas?

• Como assegurar a coordenação e a gestão das atividades inter-departamentais?

• Que grupos de trabalho deverão existir, alem do organograma?

• Qual o agrupamento lógico das atividades?• Qual a estrutura para a nova organização?• Quais as hierarquias diretas e indiretas das unidades

organizacionais incluindo outras áreas da Auditoria?• Qual o dimensionamento desta estrutura?

• As métricas da Auditoria Contínua estão alinhadas com os processos?

• Quais são as indicadores de desempenho?

- Qualitativo x Quantitativo

- Por estrutura organizacional

• Como são definidas e acompanhadas as metas de desempenho (parâmetros aceitáveis de risco) das estruturas organizacionais?

• Qual é a missão da área ?• Quais suas principais responsabilidades ?

• Que atividades precisam ser executadas? Em que ordem ? Com que freqüência ?• Quem é o responsável pela execução de cada atividade ?• Quais os produtos que deverão se gerar?

TITLECecília Ebide Rezera

[email protected]: 11 7153-9824

Arquitetura de TI para Auditoria Contínua

Documents

Transcript of Arquitetura de TI para Auditoria Contínua