Organisational transactions with embedded control

Abstract

The current highly regulated business environment has imposed organisations to increase their effort to monitor and manage their control mechanisms. This awareness has been propelled by the increasing emergence of new regulatory requirements on continuous monitoring and continuous auditing of organisational transactions. Furthermore, the successive well-known scandals in organisations, which have resulted in a very negative impact on their operational performance and also on their corporate image, have shown that the traditional audit process is not sufficient to meet the organisations’ needs. Thus, organisations have been looking for solutions to improve and strengthen their risk control structures so as to provide greater security in the effectiveness of risk management of their activities, namely on controlling, monitoring and auditing of organisational transactions. Then, the concept of Continuous Assurance has emerged because it is the set of services which, making use of technology, uses the information immediately from organisational transactions and produces audit results simultaneously or within a short period of time after the occurrence of relevant events. Hence, this thesis focuses on the implementation of continuous assurance services in information systems in order to determine the degree of reliability with which transactions are carried out, mitigating the organisational risk. Therefore, this thesis aims to contribute to a new vision of organisational auditing focused on assurance services in transactions executed and supported exclusively in a digital format according to an ontological model of organisational transactions. The motivation and objective of this thesis led to some research challenges: Validate a set of characteristics that any information system with continuous assurance services must provide. The literature on this topic is not very explicit upon the metrics which should be taken into consideration during the evaluation of this type of information systems. Thus, the Delphi method was used to validate a set of essential and very important characteristics for information systems with continuous assurance. In addition, this work contributes with a model comprising dimensions and metrics, which allows it to be used as a tool or as a set of guidelines to evaluate information systems with embedded control. Ensure the feasibility of development and the effective use of an information system with full continuous assurance services, having as support an ontological model, and which is considerably flexible and adaptable in order to be applicable to any organisational transactions. Following the Design Science methodology, a proposal of a solution is presented. This proposal includes requirements, a modular architecture and the development of a prototype. All these steps were supported by an ontological model of organisational transactions so that they could be represented in a very detailed, objective and comprehensive way. Furthermore, the solution was implemented in a simulated organisational environment and its results allow to conclude that the presented architecture is an effective solution since it provides continuous assurance to any organisational transactions, having as support an ontological model. Moreover, this work demonstrates that a repository which allows the instantiation of execution patters (risk profiles) for each organisational transaction is an important element in information systems with continuous assurance services, as a source of references to support continuous monitoring, auditing and controlling of the risk associated with the execution of organisational transactions.

O atual contexto organizacional e de negócios está altamente regulado e tem imposto às organizações o aumento dos seus esforços para monitorizar e gerir os seus mecanismos de controlo. A consciência sobre esta realidade tem sido impulsionada pelo crescente aparecimento de novas exigências regulamentares sobre a monitorização e auditoria contínua das transações organizacionais. Além disso, os sucessivos escândalos de algumas organizações, que tão bem são conhecidos, e que resultaram num impacto muito negativo sobre seu desempenho operacional e, também, na sua imagem corporativa, têm demonstrado que o processo de auditoria tradicional não é suficiente para atender às atuais necessidades das organizações. Assim, as organizações têm procurado soluções para melhorar e reforçar as suas estruturas de controlo de risco, de modo a proporcionar maior segurança na eficácia da gestão de risco das suas atividades, ou seja, no controlo, monitorização e auditoria das transações organizacionais. Então, o conceito de Continuous Assurance tem vindo a emergir porque refere-se ao conjunto de serviços que, fazendo uso da tecnologia, utiliza imediatamente a informação proveniente de transações organizacionais e produz resultados da auditoria, simultaneamente, ou, dentro de um curto período de tempo após a ocorrência de eventos relevantes. Deste modo, esta tese centra-se na implementação de serviços de Continuous Assurace em sistemas de informação, a fim de determinar o grau de confiabilidade com que as transações são executadas, mitigando, assim, o risco organizacional. Portanto, esta tese pretende contribuir para uma nova visão de auditoria organizacional focada em serviços de Continuous Assurance em transações realizadas exclusivamente em formato digital, e em concordância com um modelo ontológico de transações organizacionais. A motivação e objetivo desta tese levantou alguns desafios de investigação: A validação de um conjunto de caraterísticas que qualquer sistema de informação com serviços de Continuous Assurance deve fornecer. A literatura sobre o tema não é muito explícita sobre as métricas que devem ser consideradas na avaliação deste tipo de sistemas de informação. Assim, o método Delphi foi utilizado para validar um conjunto de caraterísticas essenciais, e muito importantes, para sistemas de informação com serviços de Continuous Assurance. Além disso, este trabalho contribui com um modelo que inclui dimensões, requisitos e métricas, o que lhe permite ser utilizado como uma ferramenta ou como um conjunto de linhas de orientação para avaliar sistemas de informação com controlo embebido. A verificação da viabilidade de desenvolvimento e uso eficaz de um sistema de informação com serviços completos de Continuous Assurance, tendo como suporte um modelo ontológico, pretendendo ser um sistema bastante flexível e adaptável, a fim de ser aplicável a quaisquer transações organizacionais. Para tal, é apresentada uma proposta de solução seguindo a metodologia Design Science. Esta proposta inclui a apresentação de requisitos, de uma arquitetura modular, e do desenvolvimento de um protótipo. Todos estes passos foram apoiados por um modelo ontológico de transações organizacionais, para que estas possam ser representadas de forma detalhada, objetiva e abrangente. Além disso, a solução foi implementada num ambiente organizacional simulado e os seus resultados permitem concluir que a arquitetura apresentada é uma solução eficaz , uma vez que fornece serviços de Continuous Assurance às transações organizacionais. Além disso, este trabalho demonstra que um repositório que permita a instanciação de padrões de execução (perfis de risco) para cada transação organizacional, é um elemento importante em sistemas de informação com serviços de Continuous Assurance e visto como uma fonte de referências para apoiar a monitorização e auditoria contínua, e o controlo do risco associado à execução das transações organizacionais.