Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz...

18
1 C C ontinuous ontinuous C C ontrol ontrol M M onitoring onitoring Wilson Luiz Gellacic Partner Metodologia de Implementação

Transcript of Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz...

Page 1: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

1

CContinuousontinuousCControlontrol

MMonitoringonitoring

Wilson Luiz Gellacic Partner

Metodologia de Implementação

Page 2: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

2

Agenda

• Revendo os Conceitos sobre Controles

• Por quê Focar em Controles Automáticos

• Oportunidades Existentes

• Como Implementar Monitoramento Contínuo

• Alguns Exemplos

• O Futuro Bate à nossa Porta

Page 3: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

3

Identificar controles que mitiguem riscos

• Controles que forneçam razoável segurança que erros significativos não ocorram;• Controles podem ser automatizados e/ou manuais. • Exemplo: Conta de Estoque:

Existência: produtos finais são registrados quando disponíveisProcesso: processo de remessa do armazémO Que Pode Dar Errado? Carregamento não ser registradoControle: realizar contagem de inventário todo mês

Preparar a Documentação e Avaliar Controles -Abordagem SOX

ContasSignificativas

Assertivas

?Riscos: O que

Poderia dar errado?ControlesProcessos

significativos

Riscos inerentese de negócio

2003FinancialStatements

Demonstraçõesfinanceiras

Testes/Monitoramento

Contas contábeis e sistemas relacionados

Ativi

dade

Proc

esso

Documentação e controles Avaliar/Monitorar

Page 4: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

4

Aplicações de Âmbito Geral na Empresa

Processos

Contas Significativas

Aplicações

Contas aPagar

Contas aReceber

FolhaPagto

Ativo Fixo etc.

Tecnologia da InformaçãoSegurança e Networking de Informações

Gestão de TIDesenvolvimento &

OperaçõesSuporte Técnico &

Gestão DBs

Controles AutomáticosDe Aplicações

Controles gerais de TI x Controles de aplicaçãoA Tecnologia da Informação possui um papel essencial em controles internos pois muitos dados financeiros dependem de sistemas

Controles Geraisde TI

Page 5: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

5

Firewall

Internet

Funcionário em Trânsito

Data Center

Firewall

Departamento

Home OfficeIntranet

EstaçãoLocal

Servidor de Informações Públicas

Parceiro de Negócios

Provedor de

Acesso Remoto

Firewall

O ambiente atual de tecnologia permite explorar novas possibilidades em controles automáticos

Page 6: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

6

Source: IT Control Objectives for Sarbanes-Oxley, 2nd Edition

Por quê usar mais controles automáticos ?

Page 7: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

7

SupplySupplyChainChain

ManagementManagement

EnterpriseEnterpriseResourceResourcePlanningPlanning

CustomerCustomerRelationshipRelationshipManagementManagement

FFOORRNNEECCEEDDOORREESS

Business Strategy + ProcessBusiness Strategy + Process

Knowledge ManagementKnowledge Managemente-Business Servicese-Business Services

Web + IT IntegrationWeb + IT Integration

Business IntelligenceBusiness Intelligence

CCLLIIEENNTTEESS

NegócioNegócio

TecnologiaTecnologia

e-Business Servicese-Business Services

Tecnologia e Negócios estão cada vez mais integrados

Page 8: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

Dentro desse cenário, o que deve mudar no mundo de controles internos ? Como estar preparado ?

• O que podemos fazer de forma

melhor ?

• Como ser mais produtivo ?

• Como as novas tecnologias

podem nos ajudar ?

• Quais as prioridades ?

• Quanto devemos investir ?

• Qual a melhor solução

tecnológica ?

? ? ?

Page 9: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

9

Monitoramento Contínuo de Controles (CCM)

CCM ( Continuos Control Monitoring ) é um conjunto integrado de processos e técnicas, possibilitados pela tecnologia, que pretendem ajudar a organização a:

– Identificar deficiências de controle

– Localizar em que ponto as deficiências de controle são exploradas

– Quantificar o efeito do descumprimento de controles de forma a entender mais claramente os riscos

– Sanar as deficiências de controle pela raiz

– Automatizar o monitoramento contínuo do ambiente de controle

– Aumentar a eficiência e a eficácia dos processos de controle

– Impedir que certos riscos se concretizem

• Um ambiente eficaz de CCM permite que a organização tenha o equilíbrio certo entre controles manuais e automatizados para detectar e impedir falhas nos controles

Page 10: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

10

Motivadores para se falar sobre CCM

Questões• CUSTO DA CONFORMIDADE

– A maioria das organizações gasta tempo e dinheiro significativos para estar em conformidade com os reguladorers e se preocupam com o alto custo envolvido

• CONTROLES MANUAIS– Muitos dos controles que as organizações adotam

são manuais e intensivos em mão-de-obra

• RETORNO QUESTIONÁVEL– Na maioria dos casos, o benefício do investimento

em SOX não é imediatamente visível para a empresa e o custo de manter um ambiente de controles manuais não é sustentável

• ESCOPO & CUSTOS GERAIS DE AUDITORIA– A gestão do escopo e os custos de auditoria são

uma preocupação crescente, tanto da perspectiva de auditoria interna como de auditoria externa

Implicações• NECESSIDADE DE SER MAIS

EFICIENTE– A maioria das organizações acredita que precisam

fazer algo para ser mais eficientes na automação e no monitoramento de controles

• NECESSIDADE DE UMA MELHOR RELAÇÃO CUSTO-BENEFÍCIO

– A maioria das organizações não consegue sustentar os custos mais elevados de conformidade a longo prazo

• FERRAMENTAS & SOLUÇÕES DE SOFTWARE

– Os fornecedores de software estão desenvolvendo e promovendo ativamente novas ferramentas e técnicas para automatizar o monitoramento de controles (i.e., Approva, Applimation, Logical Apps, Virsa, etc.)

CCM pode ajudar as organizações a reduzir os esforços de auditoria e

gestão de riscos

CCM pode ajudar as organizações a reduzir os esforços de auditoria e

gestão de riscos

Page 11: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

11

Exemplos de métricas de CCM

Registros Duplicados

LimitesExcedidos

Dados incorretos

Falta ou Ausência de Dados

Registros Não-autorizados

Acesso a TransaçõesCríticas

Transações Não-autorizadas

Mudanças de Configuração

Segregação de Funções

Fornecedores com Pagamentos Iguais

Identificar Transferências acima de 100 Mil

Bens Recebidos no Mesmo Dia da Ordem de Compra

Aprovações Atípicas Indefinidas

Ajustes Contábeis sem Identificação

Usuários com Acessos irrestritos

Usuários que Liberaram DepósitosBloqueados

Fornecedores com Pagamentos Duplicados

Acesso Para Criar Fornecedores Diferentede Pagadores

ControlesMonitorados

O qu

epod

edar

erra

do? A

lgunsExem

plos

Page 12: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

12

Por quê começar ?Situação Futura Desejada• Ambiente de controles com melhor relação custo-

benefício

• Monitoramento eficiente dos controles

• Economias de custo e eficiências geradas por CCM

• Aumento do número de controles automatizados

• Conscientização contínua sobre risco digital

• Aumento no uso de controles preventivos

• Redução do número de casos de descumprimento

• Abordar riscos operacionais e do negócio

SustentabilidadeSustentabilidade

Situação Atual• Grande quantidade de controles manuais

• Custo elevado de conformidade

• Novas soluções de software

• Exceções de controle durante a auditoria anual

• Excesso de confiança nos controles de detecção

• Número elevado de casos de descumprimento dos controles

• Foco na conformidade vs. riscos operacionais e do negócio

Page 13: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

13

Representação Gráfica de Controles IntegradosRepresentação Gráfica de Controles Integrados

Conciliações Contábeis

Conciliações Contábeis

Documentação SOX

Documentação SOX

Controles Manuais

Controles Manuais

Controles de Dados Cadastrais

Controles de Dados Cadastrais

Controles de Interface

Controles de Interface

Controles de Transações

Controles de Transações

Controles Configuráveis

Controles Configuráveis

Controles Gerais do Ambiente de InformáticaControles Gerais do Ambiente de Informática

Controles de Acesso

Controles de Acesso

Segregação de Funções

Segregação de Funções

Por onde começar ?

Foco: Vulnerabilidades , Quantidade de controles manuais, Nível de Automação do ProcessoFoco: Vulnerabilidades , Quantidade de controles manuais, Nível de Automação do Processo

Page 14: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

14

Priority Project Name Description Sponsor Contact Appx.Size

Appx Start

Resource s Required

Resource Contact

LOU Schedule, Staff ing & Notes

1 IT Asset Landscape

High level study of potential risk areas and development of strea mlined audit and IT r isk remedia tion needs including consideration of control work being documented under various projects.

Sa lluzzo 150 16-Sep Mgr and Sr Mgr

Grossberg ü 80% Complete

2 Privacy Diagnostic

Umbrella review of various regulatory requirements regarding data privac y and security that are most significant to ABC’s global business and an assessment of the processes, procedures and te chnology to ensure complia nce.

Sa lluzzo 500 1-Jan Senior for 8 weeks

Leizerov

Solutions Alignment

Evaluate application portfolio for efficiency and effectiveness in meeting strategic business needs.

Webber

600 Sr Mgr, Mgr & Sr for 6-8 we eks

Grossberg

Controls Optimization

Evaluate SOX documentation for opportunitie s to leverage application controls.

Webber

120/ process

Sr Mgr, Mgr & Sr

Grossberg

End User Computing Control Revie w

For the spreadsheets/ databases [End User Computing (EUC)] that support a significant business proce ss where the importance is assessed as high or critical, identify and recommend policy/procedure to support audit reliance.

Webber

400 Sr Mgr, Mgr & Sr for 4 we eks

Levy

Vendor Manage ment

Determine a roadmap to address risks related to outsourcing IT processes. Provide detailed risk assessment and risk management guidance.

Webber

200 Sr Mgr and Mgr for 4 we eks

Grossberg

Como Começar ?Inventário dos Processos

Workshop

Análise de Controles de Processos do Negócio

Validar Exceções

Aplicação

• Fluxogramas dos Processos do Negócio (Riscos & Controles)

• Emitir Relatório & Aperfeiçoar

• Corrigir

• Identificar Controles Compensatórios

• Entender o Processo

• Validar O que Poderia Dar Errado (WCGWs)

• Avaliar/ Otimizar Controles

• Identificar Falhas nos Controle

• Identificar Controles a Serem Automatizados

Desenvolvimento das Regras

Controles a Serem Automatizados

Relatório de Exceções

ExperiênciasExternas

Índice de Controles Automáticos

Significant Mega Processes Sub Processes Asia Pacific North America EMEA Latin America

APS OneGlobe SAP APSAccPac AccPac

Desk Bank

SM Banking

DBS Web Banking

Hexagon Client

Hexagon Server

Cash Receipts--Lockbox Mellon Telecash NA N/A

AccPac OneGlobe SAP AccPac

Desk Bank JPMC Insight MultiCash

PNC Bank IDDC Direct

AccPac AccPacExcel RM

Cash Disbursements--Imprest NA Excel NA NA

NA OneGlobe NA NA

NA Works NA NA

AP Sub-Contractors AccPac OneGlobe SAP AccPac

Process InventoryApplications by Region

Cash Receipts Cash Receipts--Wire and Checks In Off ice CitiDirect MultiCash

RM

Cash Disbursements / Payables

AP/Cash Disbursements -- Wire & Check

AP/Procurement Card

RM

A/P--Receipt and Recording (invoices)

OneGlobe SAP

Conhecimento do Cliente

Page 15: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

15

Ponto de vista tradicional sobre CCM

Manter Nossa Empresa Longe de ProblemasPromover Conformidade Sustentável com a

Melhor Relação Custo-Benefício

Monitoramento de Controles

Abordagem de Avaliação Baseada em Risco, Top-DownAbordagem de Avaliação Baseada em Risco, Top-Down

Controles a Nível da AdministraçãoControles a Nível da Administração

Racionalização de ControlesRacionalização de Controles

Otimização de ControlesOtimização de Controles

Avaliar

Melhorar

Monitorar

Page 16: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

16

Ponto de vista da Ernst & Young sobre CCM

Conformidade & Monitoramento de

Controles

Conformidade & Monitoramento de

Controles

Monitoramento do Desempenho do

Negócio & Suporte àTomada de Decisões

Monitoramento do Desempenho do

Negócio & Suporte àTomada de Decisões

Manter Nossa Empresa Longe de ProblemasPromover Conformidade Sustentável com a

Melhor Relação Custo-Benefício

Tornar Nossa Empresa MelhorPromover Melhorias dos Processos &

Operacionais

Monitoramento de Controles

Abordagem de Avaliação Baseada em Risco, Top-DownAbordagem de Avaliação Baseada em Risco, Top-Down

Controles a Nível da AdministraçãoControles a Nível da Administração

Racionalização de ControlesRacionalização de Controles

Otimização de ControlesOtimização de Controles

Avaliar

Melhorar

Monitorar

Page 17: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

17

Explorando possibilidadesSom

ente para fins ilustrativosSom

ente para fins ilustrativos

Page 18: Continuous Control Monitoring - raw.rutgers.eduraw.rutgers.edu/docs/wcars/18wcars//wilson luiz gellacic.pdf · Configuração Segregaçãode Funções Fornecedorescom PagamentosIguais

18

Palestrante:

Wilson Luiz Gellacic [email protected]

Sócio

Muito obrigado