Continuous Controls Monitoring (CCM)Novembro, 2005
Juan I GiulianelliConsulting ManagerTech Supply – São Paulo
Controles e Compliance 101…
É muito Simples…
Ex-WorldCom CEO Bernard Ebbers é sentenciado a 25 anos de prisão por não cumprir essas Artigo de Chernoff
reports. (July 13)
O que são Controles Internos?
Um processo desenhado para assegurar os objetivos:Eficiência e Efetividade das Operações; Relatórios Financeiros Reais;Compliance com os Regulamentos Internos e Externos;
Status dos Controles Internos
O que é Compliance?
O processo de Monitoramento de Aderência ao Compliance e identificação de Exceções
provêem resultados na performance do Negócio
Regulamentos Externos
Políticas Corporativas, Procedimentos & Melhores
Práticas
•CFO
Quarterly & Annual signoff on
corporate financial statements
•Internal Control Frameworks needed
•On compliance monitoring
•Effective external Auditor interaction
Quem é responsável pelo Compliance?
Gerenciamento: A Gerência Revisor dos planos: Auditor
Responsabilidade de Auditoria
Assegurar o Gerenciamento
Responsabilidades Gerenciais
Implementar e manter controles efetivos
Monitoramento ContínuoGerenciamento Contínuo da
infraestrutura
Infra-Estrutura de Controles
CIO
Responsible for delivering the
financial application services &
infrastructure availability
•CFO & CEO need CIO assurances for IT
Control sign-off
CEO
Legal exposure and consequences of non-
compliance
Financial market consequences of non-
compliance or presence of material weaknesses
Compliance & Auditing internal & external cost
Business
Unit
Managers
Business
Unit
Managers
Business
Unit
Managers
Business
Unit
Managers
Chief Compliance Officer
Desafios do Compliance
Compliance Externo é uma Lei, Compliance Interno é uma normativa que deve ser cumpridaNão é uma opção e não será eterno;Não é uma atividade típica das OrganizaçõesContratação de pessoal para cobrir as atividades
Não - Compliance ocasiona sérias consequências:15-20% das companhias tem ou terão sérias
deficiências 5-10% das companhias tem ou terão perdas (Research
2004)
Level of Controls
$
Optimal Balance
of Controls
Cost to Company
Resulting from Poor Controls
Costs of Implementing
and Maintaining
Controls
Fin
an
cia
l Im
pact
Benefícios no uso de Monitoramento Continuo
Recuperação de PerdasRecuperação de Perdas
Recuperação de FraudesRecuperação de Fraudes
Poupar DinheiroPoupar Dinheiro
Desafios do Compliance
Mundialmente o investimento é alto
AMR Research estima que as companhias ainda irão investir $5.8 billion em SOX compliance entre 2005 e 2006.
A Média para o 1o ano de custo é estimada em $3-3.2 milhões por $1 billion em vendas (A.R.C. Morgan Research)
Em média as companhias gastam $2 milhões em recursos externos para a seção 404 da SOX
Esse Paradigma não e Sustentável
Fraudes e Perdas
Fraude no Brasil 69 % das organizações sofrem
Fraudes Controles Internos Efetivos são aprincipal forma de detecção 48% da Diretoria tem mínimo ounenhum conhecimento sobre Fraudes 58% das Fraudes tem como origemos próprios funcionários da Organização
Formas de Constatação de Fraudes
Mais da metade das empresas descobriu fraudes por meio de seus Controles Internos
Como a Fraude e DescobertaComo a Fraude e Descoberta Como a Fraude e mitigadaComo a Fraude e mitigada
Os Clientes querem Saber
Os clientes consultam sob o Compliance Externo:
Como tornar efetivos os custos e os esforços com controles?
Como saber se existem pontos fracos de controle?Como quantificar esses pontos?Como posso melhorar meus controles?Como obter resultados sobre a eficiência dos controles?
“Onde e o que fazer para melhorar meus controles ?”
O mercado para ACL – Tech Supply
Auditoria
Compliance Auditores Externos
Big 4Pequenas - Medias empresas de Auditoria
GovernoAuditores Internos, Controllers
Finance, Compliance & Organizacoes de Auditoria
Maturidade,Mercado bem definido
Mercado emergente,Pesquisa de estrutura
Dois mercados, grande superposição
Ambiente de Compliance – Leis e RegulamentosSarbanes-Oxley Basiléia 2 HIPAA Gramm-Leach-Bliley FISM EU Data
Protection Directive
O Ambiente do Compliance
Diferentes Tecnologias, Foco em diferentes partes do Negócio, Testes complexos, Verificar e Destacar exceções das normativas
& melhores práticas de Compliance
• Segurança e Acesso
• Permissões dos usuários
• Gerência de Mudanças
• Segregação de Tarefas
• Registro & Documentação
• Processo de Negócio / workflow
• Monitoramento Contínuo
• Garantia de Análise de Negócios
Segurança e infra-estrutura de Controles
Processos e Documentação de Controles
Monitoramento de Transações
Ferramentas de Auditoria
• Acessos aos Dados & Navegação
• Logs de Auditoria• Análises
Moderado,Limitada qualificação do ROI
Significativo,ROI quantificável
Segurança & Infra Estrutura de Controles
Processos & Documentação de Controles
Monitoramento de Transações
Ferramentas de Auditoria
IT IT Finance Finance
Foco Organizacional
Rapidez & resultado no ROI
O Ambiente do Compliance
Compliance no Sistema Organizacional
ERPCRM
SFASCM E-BusinessAplicações
de Negócios
Dados
Legacy / Other
Firewalls Anti-virus Network Monitoring Access User Rights
Web e-mail Network Back-up/Recovery Middleware
Tools Enterprise Reporting CPM Dashboards Scorecards
Seguança & Infra-Estrutura de Controles
Processos & Documentação de Controles
Segurança &
Infra Estrutura
Compliance
Business Intelligenc
e
Monitoramento de Transações
Ferramentas de
Auditoria
Aplicações estabelecidas de negócio
Aplicações Emergentes de Negócios
Compliance Management
ACL Tecnologia para ComplianceCCM
Garantir o compliance.Tecnologia automatizada para determinar a presença e eficiência dos controlesFoco em processos financeiros críticos: Contas a Pagar, Ordem de Pedidos, Folha de Pagamento, Entretenimento e Viagens, Cartões de Credito, Contabilidade Geral, Inventario, Tesouraria, Ativos fixosCOSO, SOX compliance
Proposta de Valor
Permite a rápida detecção e entendimento dos controles, para assegurar o compliance e prevenir perdas
CCM Contas a Pagar
Quem são os Usuários?Profissionais de Compliance (CCO, Diretores, VP e Gerentes de
Controles), Gerentes Financeiros (CFOs, CEOs, Controller, VP
Finance, VP Risk Management), Gerentes de Negocio, C.A.O. (Chief Audit Executives/Management)
Quais são os benefícios?CCM reduz o custo do compliance testando os controles
através de uma análise independente das transações de negócio;
CCM gera confiança nos controles, eficácia e provê a auditoria de provas documentais dos indícios.
Visibilidade no retorno do investimento em compliance pela eficiência operacional, detecção de indícios de fraudes e não permitir pagamentos duplicados.
CCM objetivos
Os principais objetivos do CCM são:
Monitoramento independente de transações e contínua validação dos parâmetros de controles e regras de negócio para identificar problemas de controle.
Rápida identificação e controle da exposição aos riscos de áreas fundamentais e com exigências regulatórias
Permite a nossos clientes desenvolver processos de Negócio de uma maneira oportuna
SOX compliance através de validações independentes de eficiência de controles usando COSO - framework
CCM & COSO Framework
CCM & COSO Framework
A C L C C M S O L U T I O N S
General Ledger
AccountsPayable
InventoryManagemen
t
Payroll Other
Enterprise Business Processes
AccountsReceivable
Contas a Pagar
Payments
Sub Processes
RequisitionsRequisitions PurchasingPurchasing Receiving
Receiving
PayablesPayables Payments
Payments
Enterprise Business Processes
General Ledger
AccountsPayable
InventoryManagement Payroll OtherAccounts
ReceivableAccounts
ReceivableAccountsPayable
AccountsPayable
Control Objectives
CompletenessCompleteness ValidityValidityAccuracyAccuracyAuthorization
Authorization
Segregation of Duties
Segregation of Duties
RegulatoryRegulatoryEfficiency & EffectivenessEfficiency &
Effectiveness
PaymentsSub Processes Payment
sRequisitions Purchasing Payables PaymentsPayments
Payments
Control Objectives
AccuracyAuthorization
Segregation
of Duties
RegulatoryAuthorizationAuthorization ValidityValidity
Analytics
Analytics Examples
Phantom Vendors
Phantom Vendors
Duplicate PaymentsDuplicate Payments
ApprovalLimits
ApprovalLimits
Split Payments
Split Payments
CCM nas Organizações
Desafios em Compliance
Resultados rápidos e com boa freqüênciaResultados rápidos e com boa freqüência Requerimentos de Compliance (SOX 404) Requerimentos de Compliance (SOX 404) Demandas de Negócio por Informação OportunaDemandas de Negócio por Informação Oportuna Pressão para relatórios eficazes Pressão para relatórios eficazes
Desafios Desafios ParâmetroParâmetro
Redução de TempoRedução de Tempo
Responsabilidade da Gerência sobre os ControlesResponsabilidade da Gerência sobre os Controles Gerência é responsável por estabelecer e monitorar os controlesGerência é responsável por estabelecer e monitorar os controles Aplicação inteligente da tecnologia - cumprimento de ControlesAplicação inteligente da tecnologia - cumprimento de Controles Compliance sustentável e necessárioCompliance sustentável e necessário
EficiênciaEficiência
Processos complexos de múltiplos sistemasProcessos complexos de múltiplos sistemas Complexas operações de NegóciosComplexas operações de Negócios Aplicações dispersas & IT systems (múltiplos ERPs, Sistemas Aplicações dispersas & IT systems (múltiplos ERPs, Sistemas Legados)Legados) Dificuldade para supervisar transações de diferentes sistemasDificuldade para supervisar transações de diferentes sistemas
VisibilidadeVisibilidade
Grande volume de dados a serem analisadosGrande volume de dados a serem analisados Incompleta visão dos erros, controle de Incompleta visão dos erros, controle de diferençasdiferenças
VolumeVolume
Qualidade & Abrangência devem ser asseguradosQualidade & Abrangência devem ser assegurados Integridade, duplicação, integração e conversão dos dados devem ser Integridade, duplicação, integração e conversão dos dados devem ser asseguradasasseguradas Monitoramento IndependenteMonitoramento Independente
ExatidãoExatidão
Requerimentos de Tecnologia
Acesso direito aos dadosAcesso direito aos dados Teste automático de controlesTeste automático de controles Relatório de Status dos controlesRelatório de Status dos controles
Requerimentos de TecnologiaRequerimentos de TecnologiaParâmetroParâmetro
Redução de TempoRedução de Tempo
Acessa e analisa os dados independentemente da origem dos Acessa e analisa os dados independentemente da origem dos mesmosmesmos
Resultados salvos para evidência de complianceResultados salvos para evidência de compliance Relatórios sobre os processos de negócio com múltiplas Relatórios sobre os processos de negócio com múltiplas
aplicaçõesaplicações
VisibilidadeVisibilidade
Desenvolvido para monitoramento das OperaçõesDesenvolvido para monitoramento das Operações Programa e monitora testesPrograma e monitora testes Relatórios sobre as áreas não-ComplianceRelatórios sobre as áreas não-Compliance
EficiênciaEficiência
VolumeVolume Não tem limite de dados para análiseNão tem limite de dados para análise 100% cobertura 100% cobertura
ExatidãoExatidão Independência dos sistemas Independência dos sistemas Permissão de só leitura nos dados originais Permissão de só leitura nos dados originais
ACL CCM Benéficos
EficiênciaEficiência
ParâmetroParâmetro
Redução de TempoRedução de Tempo
ExatidãoExatidão
VolumeVolumeMaior possibilidade de compreensão dos dadosMaior possibilidade de compreensão dos dados
Confiança em 100% das transações analisadasConfiança em 100% das transações analisadas
Identifica erros, fraudes e ineficiênciasIdentifica erros, fraudes e ineficiências
Cobre as principais áreas de NegócioCobre as principais áreas de Negócio
Analisa dados de múltiplas aplicações e sistemasAnalisa dados de múltiplas aplicações e sistemas
Controles automáticos das áreas de negócioControles automáticos das áreas de negócio
Drill down em transações especificas e de Drill down em transações especificas e de exceçãoexceção
Identifica problemas antes dos prejuízosIdentifica problemas antes dos prejuízos
Identificação dos problemas de ControlesIdentificação dos problemas de Controles
Resumo das áreas Não - Compliance Resumo das áreas Não - Compliance
Quantificação de exposição ao riscoQuantificação de exposição ao risco
Benefícos da Solução ACLBenefícos da Solução ACL
Ferramenta independente de revisão de TransaçõesFerramenta independente de revisão de Transações
Segurança dos controles do 100% das transações Segurança dos controles do 100% das transações
VisibilidadeVisibilidade
Demonstração da Solução
Perguntas ?