gestão de risco e controle interno com coso

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o

Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados

Gestão de Risco e Controle Interno

As melhores práticas para Gestão de Risco e Controle Interno com COSO®

Rildo F [email protected]

twitter: @rildosan

skype: rildo.f.santos

http://rildosan.blogspot.com/

(11) 9123-5358

(11) 9962-4260

www.etcnologia.com.br

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o

Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 2

Sobre o autor: Rildo F. Santos

Coach e Consultor de Gestão de Negócios, Inovação e Tecnologia para a Gestão 2.0, a Gestão Ágil.

A Gestão Ágil ajuda as empresas a responder mais rápido as demandas de negócio e mudanças. A Gestão 2.0,

abrange Planejamento Estratégico, Gestão por Processos Ágeis, Gestão de Projetos Ágeis, Tecnologia da Informação

(Métodos Ágeis), Inovação e Liderança.

Minha Experiência:

Tenho mais de 10.000 horas de experiência em Gestão de Negócios, Gestão de Inovação, Governança e Engenharia de

Software. Formado em Administração de Empresas, Pós-Graduado em Didática do Ensino Superior e Mestre em Engenharia

de Software pela Universidade Mackenzie.

Fui instrutor de Tecnologia de Orientação a Objetos, UML e Linguagem Java na Sun Microsystems e na IBM.

Conheço Métodos Ágeis (SCRUM, Lead, FDD e XP), Arquitetura de Software, SOA (Arquitetura Orientado a Serviço),

RUP/UP - Processo Unificado, Business Intelligence, Gestão de Risco de TI entre outras tecnologias.

Sou professor de curso de MBA da Fiap e fui professor de pós-graduação da Fasp e IBTA.

Possuo fortes conhecimentos de Gestão de Negócio (Inteligência de Negócio, Gestão por Processo, Inovação, Gestão de

Projetos e GRC - Governance, Risk and Compliance), SOX, Basel II e PCI;

E experiência na implementação de Governança de TI e Gerenciamento de Serviços de TI. Conhecimento dos principais

frameworks e padrões: ITIL, Cobit, ISO 27001 e ISO 15999;

Desempenhei diversos papéis como: Estrategista de Negócio, Gerente de Negócio, Gerente de Projeto, Arquiteto de Software,

Projetista de Software e Analista de Sistema em diversos segmentos: Financeiro, Telecomunicações, Seguro, Saúde,

Comunicação, Segurança Pública, Fazenda, Tecnologia, Varejo, Distribuição, Energia e Petróleo e Gás.

Possuo as certificações: CSM - Certified SCRUM Master, CSPO - Certified SCRUM Product Owner , SUN Java Certified

Instrutor, ITIL Foundation e sou Instrutor Oficial de Cobit Foundation e Cobit Games;

Sou membro do IIBA-International Institute of Business Analysis (Canada)

Onde estou:

Twitter: @rildosan

Blog: http://rildosan.blogspot.com/

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Comentário inicial:

O objetivo principal desta apresentação é prover informações sobre a Gestão de

Risco Corporativo e Controle Interno.

A Gestão de Risco deve ser considerada como parte integrante da estratégia de

organização para que os eventos de riscos não causem desvios ou impactos

sobre os objetivos. Sistema de Controle Interno deve ser utilizado para melhorar a

eficiência operacional e atender requisitos legais.

Também será discutido o COSO® 1 que é um guia de referencia (“framework”) de

melhores práticas de Controle Interno e COSO® 2 ERM que é guia de referencia

(“framework”) de melhores práticas para a Gestão de Risco Corporativo.

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Conteúdo:

1-Introdução:

A importância da Gestão de Risco Corporativo

2-Fundamentos

- Definição de Governança Corporativa

- Estudo de Caso: Implantação da Governança Corporativa

- Definição de Governança de TI

- Estudo de Caso: Implantação da Governança de TI

- Definição de Gestão de Risco

- Definições de Risco

- Novo paradigma da Gestão de Risco

- Definição de Controle Interno

3- Framework Coso - Componentes & Objetivos

3.1 - Visão geral do Framework Coso 1 - Controle Interno

- Introdução

- Objetivos

- Componentes

3.2 - COSO 2 - ERM (Enterprise Risk Management):

- Ambiente Interno

- Fixação de Objetivos

- Identificação de Eventos

- Avaliação de Riscos

- Resposta aos Riscos

- Atividades de Controle

- Informação e Comunicação

- Monitoramento

- Funções e Responsabilidades

- Limitações do Gerenciamento de Riscos Corporativos

Estudo de Caso

Melhores Práticas

4 - Controle Interno:

- Definição

- Prevenção, Detecção e Resposta

- Lista de Controle Interno

- Peso dos Controle Interno

- Características de um Controle eficiente

- Benefícios de uma Estrutura de Controles Internos

Consistente

- Novo Papel da Auditoria Interna

- Exemplo: SOX

- Deficiência de Controle Interno

- Estudo de Caso

- Melhores práticas

Apêndice A: Tecnologia da Informação (TI) e Gestão de

Risco Corporativo (ERM)

Apêndice B: Frameworks, Guias, Normas e

Melhores Práticas para Gestão de Risco:

- Cobit

- ITIL

- MOF

- ISO 20000

- PMBok

- ISO 31000

Estudo de Caso

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o



Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Introdução

A origem da palavra risco é controvertida. Alguns autores afirmam que ela deriva de “resecare” (cortar),

empregada para descrever geografias agudas como as dos recifes que tinham o poder de afundar navios.

Como a navegação sempre foi uma atividade importante para o desenvolvimento humano, era

aconselhável evitar o “risco” de perder as embarcações e suas cargas. Outra possível origem é indicada

por Peter Bernstein no livro Desafio aos Deuses. Segundo o autor, “risco” vem do italiano “risicare”, que

significa “ousar”. No sentido de incerteza, é derivada do latim “risicu” e “riscu”.

As primeiras técnicas de gestão de risco foram implantadas pelas seguradoras – justamente com as

apólices para navios. No século 20, entre as décadas de 60 e 80, o setor financeiro se dedicou ao

aperfeiçoamento das ferramentas de controle de risco, entusiasmados pela possibilidade de “prever” o

futuro e evitar perdas previsíveis no presente. Em 1994, o JP Morgan lançou o Value at Risk (VaR), cálculo

amplamente utilizado pelas instituições financeiras para medir o risco probabilístico de um portfólio de

aplicações financeiras. É muito mais complexo, porém, dimensionar e avaliar riscos quando a régua não

pode ser simplesmente numérica, como no caso dos bancos.

Em 2002, depois de escândalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox)

têm obrigado as empresas a investir no controle de riscos. A obrigação estende a todas as empresas

listadas na Bolsa de New York, inclusive as brasileiras, são obrigadas pela SOX a informar anualmente a

quais riscos estão expostas e quais são as ferramentas de controle e gerenciamento utilizadas.

O Acordo de Basiléia II, que também é resultante de escândalos financeiros, no Brasil, a resolução 3380

do Bacen, obriga a implementação da Gestão de Risco Operacional a todos os bancos brasileiros, com

objetivo de atender o acordo.

Por obrigação, ou não, o fato é que o gerenciamento de risco se difunde entre as empresas de todo o

mundo.

Baseado no artigo da Revista Amanhã - http://amanha.terra.com.br/edicoes/229/capa04.asp


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Introdução

Principais motivadores da Gestão de Risco:> Compliance

> Eficiência Operacional

Gestão de Risco

Fraudes Contábeis

e Financeiras

Segurança da Informação

Aumentar Eficiência

OperacionalEstratégia (Parte da estratégia)

Compliance(atender requisitos legais e

regulatórios)

Escândalos

Financeiros

SOX Basel II

1975 – quebra dos bancos Herstatt, da

Alemanha e Franklin National, de Nova

York.

> 1975 - Comitê da Basiléia

1993 – Bank of Credit and Commerce

International faliu em meio a escândalos

de fraude e lavagem de dinheiro

1995 – Barings faliu depois de 233

anos de existência

> 1997 – Comitê Basiléia edita os 25

Princípios – Instituição de Controles

Internos

1995-98 – Askin Capital, Orange County,

Chemical Bank entre outros

> 1998 – Comitê Basiléia edita mais 13

Princípios – Gestão de Riscos

(5 componentes)

> 1998 – Res.Bacen 2.554– Controles

Internos

> 2001 – Novo Acordo da Basiléia

2001 – Enron – 7a. Maior empresa dos

EUA, gigante americana do setor de

energia, pediu concordata em dezembro de

2001, após ter sido alvo de uma série

denúncias de fraudes contábeis e fiscais.

Com uma dívida de US$ 13 bilhões, o

grupo arrastou consigo a Arthur Andersen,

que fazia a sua auditoria.

2001 – WorldCom. A fraude ocorreu

porque a empresa registrou como

investimentos (ativo em seu balanço

patrimonial) o que era despesa

(demonstrativo de resultados), distorcendo

totalmente os dados de suas contas.

Em 30 julho de 2002, George W. Bush

assinou de “O Ato Sarbanes-Oxley”, com

objetivo de garantir a integridade das

informações financeiras (dar proteção aos

investidores)

ISO 17799

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Em 30 julho de 2002, presidente George W. Bush assinou de “O Ato Sarbanes-Oxley”, que muda de

forma radical as leis aplicadas a empresas que tem ações negociadas na bolsa americana.

· Responsabilidade do Presidente (CEO) e do Diretor Financeiro (CFO) na “certificação” das

demonstrações financeiras;

· Transferência para um comitê de auditoria, composto de membros não executivos do Conselho da

Administração, de muitos poderes e responsabilidades que eram anteriormente dos diretores-executivos;

· Maior transparência na divulgação das informações financeiras.

Visão Geral da Lei Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)

Principais Seções (artigos):

Seção 302 e 906 – Tratam de certificações dos relatórios anuais contendo as demonstrações

financeiras (20-F e 40-F) por parte dos administradores (CEO e CFO), sob penalidades de

responsabilidade civil e criminal.

Seção 404, 407, 408 e 409 – Tratam sobre os aspectos de controle interno, fiscalização

da SEC sobre informação pública, código de ética para diretores financeiros e

publicação de alterações operacionais e/ou financeiras. Determina a emissão de

relatório especial, com parecer, entregue à SEC, que ateste a realização anual de

avaliação e de controles e processos internos que são a base de relatórios

financeiros.

Seção 802 - Penalidades criminais pela alteração de documentos.

Empresas brasileiras com ações ou títulos na Bolsa de New York (NYSE)

Neste milênio os investidores perderam 37 bilhões dólares

Objetivo SOX: Garantir a integridade das informações financeiras

Compliance: SOX

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Fonte: http://www.ans.gov.br/portalv4/site/home/default.asp

A privacidade das informações individuais, entre as quais se incluem aquelas referentes ao estado de saúde de cada beneficiário, é

preocupação presente nos mais variados setores da sociedade e se expressa em variados diplomas legais, desde o Código Penal

Brasileiro, de 1942, até as resoluções do Conselho Federal de Medicina, incluindo diplomas da própria Agência Nacional de Saúde

Suplementar.

Por envolver informações que devem ser mantidas sob sigilo, a implantação da Troca de Informações em Saúde Suplementar -TISS -

pressupõe a observância de normas já existentes, originárias de órgãos competentes para tal fim.

Entre os procedimentos de segurança recomendados pela ANS para a implantação do TISS, e que portanto, devem ser

obrigatoriamente seguidos por quaisquer operadoras e prestadores, estão as normas técnicas estabelecidas na Resolução CFM n.º 1639, de 10 de julho de 2002, e nas resoluções da ANS (RN nº 21, de 12 de dezembro de 2002, e na RDC nº 64, de 10 de abril de 2001 ).

Tais medidas proporcionam as garantias administrativas, técnicas e físicas de proteção ao acesso à informação trocada.

Obriga-se, ainda, para o alcance dos objetivos de segurança e privacidade, a observação, ao menos, dos requisitos do Nível

de Garantia de Segurança 1 (NGS-1), descritos no "Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde" (RES), em conformidade com a norma NBR

ISO/IEC 17799 - Código de Prática para a Gestão da Segurança da Informação.

Para as entidades que utilizarem webservices como padrão de comunicação é recomendado a utilização do Nível de

Garantia de Segurança 1 (NGS-1) e o Nível de Garantia de Segurança 2 (NGS-2).

RESOLUÇÃO NORMATIVA – RN n° 114, DE 26 DE OUTUBRO DE 2005.

Estabelece padrão obrigatório para a troca de informações entre operadoras de plano privado de assistência à saúde e prestadores

de serviços de saúde sobre os eventos de saúde, realizados em beneficiários de plano privado de assistência à saúde e dá outras

providências.

Art. 1° A presente Resolução estabelece padrão obrigatório para troca de informações em saúde suplementar (TISS) entre

operadoras de plano privado de assistência à saúde e prestadores de serviços de saúde sobre os eventos de saúde realizados em

beneficiários de plano privado de assistência à saúde, e mecanismos de proteção à informação em saúde suplementar.

Operadoras de Plano de Saúde

Compliance: Segurança da Informação

http://www.ans.gov.br/portalv4/site/home/

http://www.portalmedico.org.br/resolucoes/cfm/2002/1639_2002.htm

http://www.portalmedico.org.br/resolucoes/cfm/2002/1639_2002.htm

http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=390&id_original=0



http://www.sbis.org.br/

http://www.sbis.org.br/

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


CVM (Comissão de Valores Mobiliários)Instrução 391/2003:

Art. 31. O administrador do fundo deverá divulgar a todos os cotistas e à CVM, qualquer ato ou fato relevante atinente ao fundo.

Parágrafo único. Entre as informações referidas acima, não se incluirão informações sigilosas referentes às companhias emissoras

de títulos e valores mobiliários integrantes da carteira do fundo, obtidas pelo administrador sob compromisso de

confidencialidade ou em razão de suas funções regulares enquanto membro ou participante dos órgãos de administração ou

consultivos da companhia.

Instrução 380/2002:

Art. 3º - As corretoras eletrônicas devem fazer constar em suas páginas na rede mundial de computadores, de forma clara, precisa e

em linguagem acessível ao público investidor:

IV - as características do sistema de segurança mantido pela corretora, incluindo uso de senhas e assinaturas eletrônicas;

Art. 4º - As corretoras eletrônicas devem estabelecer, em suas páginas na rede mundial de computadores, uma seção ou um atalho para a

educação dos investidores, contendo, entre outras informações que sua administração julgue relevantes:

IV - os riscos operacionais do uso da rede mundial de computadores e de sistemas eletrônicos de negociação para a compra e venda

de valores mobiliários;

DA SEGURANÇA DOS SISTEMAS

Art. 7º - Compete às corretoras eletrônicas garantir a segurança e o sigilo de toda a informação sobre seus clientes, suas ordens de

compra ou venda de valores mobiliários e sua carteira de valores mobiliários, bem como sua comunicação com os clientes, devendo

utilizar elevados padrões tecnológicos de segurança de rede.

Art. 8º - As corretoras eletrônicas são responsáveis pela operacionalidade de seus sistemas, ainda que os mesmos sejam mantidos

por terceiros.

DA AUDITORIA PERIÓDICA PELA ENTIDADE AUTO-REGULADORA

Art. 14 - As entidades auto-reguladoras que administrem sistemas eletrônicos de negociação com recebimento de ordens por meio da rede

mundial de computadores devem realizar uma auditoria periódica semestral, em todas as corretoras eletrônicas, com a emissão de

relatório correspondente sobre os sistemas utilizados pelas corretoras eletrônicas, verificando se:

estão sendo regularmente prestadas aos clientes as informações previstas no art. 3º desta Instrução;

Corretoras Eletrônicas

Compliance: Segurança da Informação

http://www.bovespa.com.br/

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Susep

Circular 249/04 - Implantar controles internos de

suas atividades

- de seus sistemas de informações

- do cumprimento de normas legais

- “Os controles devem ser efetivos e

consistentes com a natureza, complexidade

e risco das operações”

Característica dos controles internos:

• definição de responsabilidades

• segregação de atividades

• meios de identificação de potenciais áreas de

conflito

• avaliação dos fatores que afetam a

realização dos

objetivos

• canais de comunicação com funcionários

• acompanhamento sistemático das atividades

• testes periódicos de segurança de sistemas

de informação

FL. 2 da CIRCULAR SUSEP No 344, de 21 de

junho de 2007.

....

Parágrafo único. Os estudos deverão abranger

todos os produtos

comercializados pelas pessoas mencionadas

no caput deste artigo e serão validados

anualmente pela auditoria interna.

Art. 5o Com base nos estudos citados no art.

4o desta Circular, no prazo constante do art. 9o

desta Circular, deverá ser desenvolvida e

implementada, na forma da legislação vigente,

estrutura de controles internos específicos,

validada pela auditoria interna, para tratar dos

riscos identificados.

Empresas de Seguros

Compliance: Gestão de Risco Operacional

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Acordo de Basiléia II (Resolução 3380 – Bacen)

Bancos Resolução nº 3.380 do Banco Central. A 3380 reflete o acordo de Basiléia 2, que exige de bancos de todo o mundo o

acompanhamento e controle de riscos operacionais e de mercado. A maior parte dos

investimentos voltados aos projetos para atender a resolução irá para TI.


A Resolução 3.380 do Banco Central do Brasil,

publicada em 29/junho/2006, prevê a implantação

de área de Gerenciamento de Risco Operacional

em todas as Instituições Financeiras.

Em seu Art.5º. § único, determina que os serviços

terceirizados, relevantes para o funcionamento da

instituição, também devem ser monitorados, da

mesma forma prevista para os demais processos

da organização.

Serviços Terceirizados relevantes vão desde a

Compensação de Cheques, processamento do

SPB, Data Centers, Redes de Caixas Eletrônicos,

Processadoras de Cartões de Débito e Crédito e

outros até o desenvolvimento de softwares e

utilização de Aplicativos comercializados por

terceiros.

http://www.bacen.gov.br/

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Acordo de Basiléia II (Resolução 3380 – Bacen)

Bancos Resolução nº 3.380 do Banco Central. A 3380 reflete o acordo de Basiléia 2, que exige de bancos de todo o mundo o

acompanhamento e controle de riscos operacionais e de mercado. A maior parte dos

investimentos voltados aos projetos para atender a resolução irá para TI.


Basiléia II, depois do Risco de Crédito

Risco de Mercado e Risco Operacional

Três Pilares de Basiléia

• Exigência de Patrimônio Líquido MÍNIMO em

função dos Riscos de Crédito, de Mercado e

Operacional

Patrimônio Líquido/Soma dos Ativos Poderados

pelos Riscos >= 8% (Ratio Mc Donough)

• Processo de Supervisão Prudencial (O Banco

deve poder justificar o seu Patrimônio Liquido, sua

Gestão de Riscos).

As autoridades de controle – Banco Central -

devem garantir que o índice de Mc Donough é

respeitado e tomar medidas se ele não o é.

• Disciplina do Mercado (O Banco deve publicar

periodicamente, informações especificas, para

justificar a correlação entre o Patrimônio Liquido e

o seu Perfil de Risco)

http://www.bacen.gov.br/

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Eficiência Operacional:

- Racionalizar e integrar os processos de trabalho

- Reduzir custos operacionais

- Obter ganhos de produtividade das pessoas

- Gerenciar rotinas de trabalho

Governo Federal

Eficiência Operacional

26/03/2009 - PREGÃO

ELETRÔNICO ECONOMIZA R$3,8

BILHÕES PARA OS COFRES

PÚBLICOS EM 2008

O Governo Federal economizou R$

3,8 bilhões com o pregão eletrônico

em 2008. Esse valor corresponde a

uma redução de 24% entre o valor

de referência (o valor máximo que o

Governo está disposto a pagar na

aquisição de um bem ou na

contratação de um serviço) e o que

efetivamente foi pago pelos órgãos

públicos.

No ano passado essa modalidade

respondeu por R$ 12,2 bilhões

(73,7%) do valor de bens e serviços

comuns licitados e por 33.972

processos de compra (79,4%) dos

procedimentos. O pregão é

destinado à contratação de bens e

serviços comuns - aqueles cuja

especificação é facilmente

reconhecida pelo mercado. Em

2008 o Governo Federal licitou ao

todo R$ 16,6 bilhões de bens e

serviços comuns.

http://www.comprasnet.gov.br/

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Motivação:

> Aumentar a eficiência operacional

> Redução de Custos> Mitigação de riscos

operacionais

> Compliance (requisitos legal

e/ou de regulamentação)

Melhor Governança e Compliance:

- Maior transparência (CVM, SEC, TCU..)

- Aderência aos normativos regulatórios,

leis e etc.

Melhor Gestão sobre os recursos:

- Ganhos de eficiência operacionais

- Redução de risco

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Gestão de Risco

Governança

Compliance

A Integração de Governança Corporativa, Gestão de Risco e Compliance (GRC) é melhor prática para a Gestão de Risco Corporativo

GRC (Governança, Risco e Compliance)

Políticas, Diretrizes e Controle

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Governança

Planejamento Estratégico(visão, missão e valores),

Políticas e Diretrizes

Risco ComplianceTomada de Decisão Risco

Tomada de Decisão Risco (Risk tradeoff

decisions)

Compliance com regras de

Governança

Modelo GRC:

Impacto de não atender ao Compliance

Qu

em d

ecid

ee

qu

ais

pro

cess

os

segu

ir

Tole

rân

cia

ao R

isco

Aderência leis, regulamentações, políticas, padrões, contrato, melhores

práticas e frameworks

Gerenciamento de Risco(identificar, analisar

e mitigar risco)

17

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Desafio: Como implantar a Gestão de Risco ?

Mudança Cultura....

Para se obter resultados:

- Trabalhar a expectativa;

- Preparar a mudança (choque do novo);

- Premiar o bom desempenho;

- É necessário recursos, esforços,

comprometimento e dedicação...

101, 102...

Para ter sucesso na implantação:

- Disseminar a cultura do Risco;

- Fazer um bom planejamento;

- Utilizar ferramentas de produtividade;

- Utilizar as melhores práticas;

- Trabalhar a comunicação, motivação

e conscientização;

- Capacitar as pessoas.

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Governança Corporativa, definição:

Governança

CorporativaLeis

Regulamentos

Normas

Controles

Transparência

Equidade

Prestação de Conta

Compliance2

Ética

Notas: 1 - Fonte: Instituto Brasileiro de Governança Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis

Exigências:

“Você pagaria a mais pelas ações de

quem adota práticas de governança ?

- 76% disseram que sim e destas a

maioria afirmou que pagaria 24% a

mais pelas ações.”

Fonte: McKinsey com empresas da América Latina

Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade1.

Benefícios:

Transparência = Credibilidade

Fundamentos:

http://www.ibgc.org.br/

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Governança de Negócio

EspontâneaCompulsória

Governança de Compliance

Gestão de Risco e Controles Internos

N2Basel IISOX N1

Bovespa/CVM

Governança Corporativa

BACENNYSE

Resultado & Desempenho

Planejamento Estratégico (BSC) Agências

Reguladoras

Governança significa o ato de conduzir uma nação, uma empresa, comunidade ou família através de uma liderança

escolhida pelos componentes destas entidades de forma natural ou eletiva.

O objetivo de um conjunto de boas práticas de Governança Corporativa adequada aos interesses dos stakeholders (partes

interessadas) é regulamentar a relação dos administradores com os shareholders (acionistas), sócios, empregados, clientes,

financiadoras, governo e sociedade.

As boas práticas em Governança Corporativa incluem aspectos de publicação de informações simétricas (disclosure)

como parte da prestação de contas inerente ao poder atribuído (accountability), sustentabilidade e equidade de direitos.

No aspecto legal, a Governança Corporativa é um mecanismo que visa garantir aos fornecedores de recursos financeiros,

shareholders, um justo retorno do seu investimento

É formado por conjunto de normas que devem guiar o comportamento dos diretores, administradores e acionistas

controladores, com objetivo de maximizar o valor da empresa e que definem as obrigações e responsabilidades

Fundamentos:

Direcionadores Estratégicos

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Estudo de Caso: Implantação da Governança Corporativa

Foto está publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm

Fonte:

Apresentação: Auditoria Interna da Petrobrás

JOSÉ RICARDO ALMEIDA DA ROSA

Petrbrás - 2004

Fonte:

GESTÃO DE RISCOS E CONTROLES INTERNOS

PEDRO GAUZISKI DE ARAUJO FIGUEREDO

GERÊNCIA GERAL DE CONTROLES INTERNOS

PETROBRAS FONAI, MAIO/2006

Fundamentos:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Estudo de Caso: Implantação da Governança Corporativa na Petrobrás

A - Adequá-lo às modificações da Lei das S.A.

B - Buscar uma aproximação com as práticas de

Governança Corporativa estabelecidas pela Bovespa

C - Aperfeiçoar as práticas de governança corporativa

Em busca da Governança. Principais reformas estatutárias em 2002:

Histórico:

A Petrobras é uma empresa de economia mista, que opera nas áreas de exploração, produção,

refino, comercialização e transporte de petróleo e seus derivados no Brasil e no exterior.

Criada em 1953 pelo governo de Getúlio Vargas, é hoje uma das vinte maiores empresas petrolíferas do

mundo. Em 2005, a Petrobras obteve lucro de 23,7 bilhões de reais e é o maior da história da empresa,

além do maior lucro já registrado por uma companhia da América Latina de capital aberto. O valor

equivale a um crescimento de 40% em relação ao ano anterior. O aumento da produção de petróleo,

maior carga processada de óleo pesado nacional, maior utilização da capacidade de refino e aumento de

preços são alguns dos responsáveis pelo resultado recorde. Seus sucessivos lucros são um dos grandes

pilares na manutenção do superávit primário brasileiro.

Em 2006 a Petrobras entrou para o seleto grupo das empresas que têm um valor de mercado em

bolsa superior a 100 bilhões de dólares.

A Petrobras é referência internacional na exploração de petróleo em águas profundas.

Lei 6.404 de 1976 - Lei das

Sociedades por Ações

Sujeição às Normas da CVM

– Comissão de Valores

Mobiliários (art. 235, § 1º);

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o



Foto está publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm

Modelo Governança Corporativa: Estrutura

Comitês do CA:

• Auditoria

• Meio Ambiente

• Remuneração e Sucessão

Comitês de Gestão:

• Abastecimento

• E&P

• Gás e Energia

• Recursos Humanos

• SMS

• Análise de Organização e

Gestão

• Tecnologia da Informação

• Controles Internos

• Risco

• Tecnologia

• Responsabilidade Social

e Ambiental

Definições estratégicas e

supervisão

Execução da estratégia e

desenvolvimento das operações

Comitê de Negócios

Relatores

Conselho Fiscal

Conselho de Administração

Comitêsdo CA

Comitêsde Gestão

Diretoria Executiva

Presidente

Diretores

Auditorias

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Estudo de Caso: Implantação da Governança Corporativa na Petrobras

Estatuto SocialRegulamenta o objeto, a administração e o funcionamento da Petrobras, bem como o relacionamento entre os acionistas.

Diretrizes de GovernançaEstabelece diretrizes sobre:- Princípios de atuação e funcionamento do CA- Consulta aos preferencialistas em questões relevantes

Código de Boas PráticasTrata de políticas corporativas envolvendo:- Divulgação de informações sobre ato ou fato relevante- Negociação com valores mobiliários- Indicação para cargos de administração de subsidiárias,

coligadas e controladas- Conduta de administradores e funcionários da administração

superior- Relacionamento com investidores

Regimentos InternosRegulamentam as atribuições e a operacionalização das reuniões dos órgãos:- Conselho de Administração- Comitês do Conselho de Administração- Comitê de Negócios- Comitês de Gestão

Código de Ética(Código de Conduta)

Base para a utilização dos mecanismos da boa governançacorporativa. Considera um Código de Conduta para empregadose todos que mantêm relacionamento com a Companhia.

Modelo Governança Corporativa: Instrumentos

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o



Modelo Governança Corporativa: Partes interessadas

ACIONISTAS

FORNECEDORES

GOVERNO

CLIENTES

FORÇA DE TRABALHO

SOCIEDADE

INVESTIDORES

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o



Modelo Governança Corporativa: Lei Sarbanes-Oxley

Formalização dos Controles e Procedimentos de Divulgação de Informação,

documento interno que inclui todos os controles criados para garantir a exatidão das

informações divulgadas nos relatórios e fatos relevantes publicados.

Criação de mecanismo interno visando o envolvimento e responsabilização de todos

os níveis hierárquicos na prestação de informações - Matriz de responsabilidade.

Certificação das informações divulgadas ao mercado pelo Presidente e pelo Diretor

Financeiro (Form 20-F: exercícios fiscais de 2002 e 2003)

Divulgação no Form 20-F sobre a existência de dois especialistas financeiros no

Conselho de Administração.

A Petrobras possui American Depositary Receipts, - ADR‟s nível 3, títulos

negociados na Bolsa de Nova Iorque (NYSE). A Companhia está, portanto, se

adaptando às inúmeras exigências da SOX.

A Petrobras desde de 2002 fez “lição de casa” para atender à SOX e vem

intensificando esforços na análise de seus impactos e na promoção dos ajustes no

modelo de governança da empresa. Todas as exigências em vigor foram

cumpridas.

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Segundo IT Governance Institute (www.itgi.org), a definição da Governança de TI:

“É uma estrutura de relacionamentos e processos para dirigir e controlar a organização para atingir os objetivos corporativos, adicionando valor, ao mesmo tempo que equilibra os riscos em relação ao retorno da TI e seus processos“

Governança

CorporativaLeis

Regulamentos

Normas

Controles

Transparência

Equidade

Prestação de Conta

Compliance

Ética

Exigências

Governança

de TI

Cobit

ITIL

MOF

PMBok

Guias

COBIT - Control Objectives for Information and Related Technology – www.isaca.org

Governança de TI

Guia: COSO

Fundamentos:

http://www.itgi.org/

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Segurança

ISO 27001

OutSourcing

e-SCM/SAS70

Fábrica SW

CMMi/MPS.br

Projetos

PMI/PMBok

COBIT

Serviços de TI

ITIL/ISO 20k

Governança de TI

Melhores Práticas,Padrões, Normas e Área de Conhecimento

Governança de Negócio


EspontâneaCompulsória

Governança de Compliance

Gestão de Risco e Controles Internos

N2Basel IISOX N1

Bovespa/CVM


BACENNYSE

Resultado & Desempenho

Planejamento Estratégico (BSC) Agências

Reguladoras

Fundamentos:


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Objetivos:

- Simplificar/Democratizar as decisões de TI;

- Simplificar as operações e/ou serviços de TI;

- Melhorar o nível de qualidade dos serviços de TI;

- Estabelecer e manter relacionamento com clientes e fornecedores;

- Maximizar uso de recursos;

- Otimizar custos;

- Gestão de Riscos (Identificar, Analisar e Responder);

- Estabelecer e manter a conformidade com as leis e regulamentos;

- Promover a integração entre o Negócio e a TI;

- Gerar valor para empresa.

Governança de TI:

Fundamentos:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Quem já implantou a Governança de TI

Estudo de Casowww.bovespa.com.br

A introdução de mecanismos automatizados na negociação da BOVESPA remonta aos anos 70, quando os boletos

foram substituídos por cartões perfurados e os negócios passaram a ser registrados de forma eletrônica.

Desde então, a BOVESPA vem acompanhando as principais inovações tecnológicas, investindo na melhoria

contínua de sua infraestrutura a fim de garantir alta performance e um ambiente altamente seguro e confiável.

Home Broker

MEGA BOLSA

Governança de TI

InfraEstrutura

Governança de TI

Desde 2004, a BOVESPA/CBLC adota um modelo de Governança de TI: gestão planejada de recursos humanos e materiais,

que propiciam o desenvolvimento de infraestruturas, sistemas e processos alinhados às melhores práticas internacionais e

às necessidades específicas dos negócios.

Desde sua implantação na BOVESPA/CBLC, vários avanços foram feitos, com benefícios para todos os participantes do

mercado.

A Governança de TI permite:

medir e auditar a execução e a qualidade dos serviços;

viabilizar o acompanhamento de contratos internos e externos; e

definir condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade.

Vantagens da Governança de TI:

Alinhamento da estratégia da área de TI com as das áreas de negócio;

Maior capacidade e agilidade para novos modelos de negócios ou ajustes nos modelos atuais;

Manutenção dos riscos do negócio sob controle;

Medição e melhoria contínua da performance de TI;

Maior transparência das atividades de TI.

Esta informações estão publicadas no site da Bovespa (www.bovespa.com.br) que proprietária legitima destas informações

Estudo de Caso. Governança de TI:

http://www.bovespa.com.br/

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Gestão de Riscos

Não Identificação

do Risco

Ocorrência

do evento

Materialização

do Risco

Exposição

ao Risco

Identificação

do Risco

Análise/Avaliação

do Risco

Resposta

ao Risco

Risco

Mitigado

Fundamentos:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Definição de Risco (segundo COSO 2):

A possibilidade de que um evento ocorra e afete desfavoravelmente a

realização dos objetivos.

Evento:

Incidente ou ocorrência, a partir de fontes internas ou externas a um

entidade (uma organização ou empresa), capaz de afetar a realização dos

objetivos.

Oportunidade:

A possibilidade que um evento ocorrerá e afetará de forma favorável

realização dos objetivos

Outras definições:

Definição de Risco (rfs):

Risco é qualquer evento que pode afetar a habilidade de empresa a

alcançar seus objetivos

Abrangendo (agentes de riscos):

Perigo: Coisas ruins que acontecem

Incerteza: Coisas que não ocorrem como esperado

Oportunidade: Coisas boas que acontecem

Definição (segundo ISO/IEC Guide 73):

O risco pode ser definido como a combinação da probabilidade de um

acontecimento e das suas consequências

Fundamentos:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Evento: Riscos e Oportunidades:

Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto

negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente.

Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar

oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar

favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da

organização canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos,

formulando planos que visam ao aproveitamento destes.

Infraestrutura:

Disponibilidade de bens

Capacidade dos bens

Acesso ao capital

Complexidade

Pessoal:

Capacidade dos

empregados

Atividade fraudulenta

Saúde e segurança

Processo:

Capacidade

Design

Execução

Dependências /

fornecedores

Tecnologia:

Integridade de dados

Disponibilidade de

dados

Disponibilidade de

sistemas

Seleção de sistemas

Desenvolvimento

Alocação

Manutenção

Ev

en

tos In

tern

os

Econômicos:

Disponibilidade de

capital

Emissões de crédito,

inadimplência

Concentração

Liquidez

Mercados financeiros

Desemprego

Concorrência

Fusões / aquisições

Meio Ambiente:

Emissões e dejetos

Energia

Desastres naturais

Desenvolvimento

sustentável

Políticos:

Mudanças de governo

Legislação

Política pública

Regulamentos

Sociais:

Características

demográficas

Comportamento do

consumidor

Privacidade

Terrorismo

Tecnológicos:

Interrupções

Comércio eletrônico

Dados externos

Tecnologias emergentes

Even

tos E

xte

rno

s

Categorias dos Eventos:

Fundamentos:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Tipos de Riscos:

Risco de mercado:

O Risco de Mercado é de fácil entendimento pois está relacionado com a variação do valor

dos ativos (bens, serviços, índices, commodities). É o risco de ganhar ou perder quantia

financeiros pela simples mudança dos preços dos ativos no mercado financeiro. Por exemplo:

Considere que uma pessoa (um investidor) que comprou 1000 ações preferenciais da

Petrobras ao preço unitário de R$ 75,00 desembolsando R$ 75.000,00.

Quanto esta carteira valerá ao final do dia de amanhã, decorrente das alterações no valor

desta ação ? Como o valor dos ativos negociados é determinado pelo mercado, a incerteza

em relação ao valor futuro do ativo (cuja oscilação pode representar perdas ou ganhos) é o

que caracteriza então o Risco de Mercado .

Risco de crédito:

Risco de crédito se refere a uma possível incapacidade da instituição financeira, responsável

pela emissão de ativos financeiros usados em investimentos, de honrar seus compromissos

financeiros assumidos com os investidores. Essa situação pode ser causada por problemas

financeiros oriundos de uma má administração ou gestão, dificuldades com planos

econômicos, etc.

Risco Legal/Compliance

Fraquezas à mostra1

Ao cumprir a seção 404 da Lei Sarbanes-Oxley, Telemar e Copel revelam fragilidades nos

controles de seus balanços.Nota:1 Revista Capital Aberto edição 48

Risco de Subscrição:

Este risco representa a possibilidade do montante dos sinistros a serem pagos pela

sociedade seguradora em um período futuro ser maior que o montante de prêmios a ser

recebido

Fundamentos:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Definição de Risco Operacional (segundo Jorion, 1998):

São perdas potenciais resultantes de sistemas inadequados, má administração, controles defeituosos

ou falha humana, a qual inclui o risco de execução, correspondente a situações em que as operações

não são executadas, resultando em atrasos ou penalidades; o risco de execução relaciona-se a

qualquer problema nas operações de back-office, relativas ao registro de transações e reconciliações

de operações.

Também incluem fraude e a necessidade de proteger os sistemas contra acesso não autorizado e

violações.

Exemplos: Falhas de sistemas, prejuízos decorrente de desastre naturais ou acidentes

Definição de Risco Operacional (segundo Chouhy, 1998):

É o risco de eventos externos, ou deficiências de controles internos e sistema de informação,

resultarem em perdas, estando associado ao erro humanos, falhas em sistemas e procedimentos e

controles inadequados.

Risco Operacional (RO):

Risco Operacional é o risco associado à operação de uma empresa.

Exemplo de Risco Operacional (classes ou sub-tipo):

- Risco de reputação;

- Risco de Liquidação;

- Risco Humano;

- Risco de Controle Interno Inadequado ou falto de controle;

- Risco Tecnologia Inadequada ou Insuficiente;

- Risco Sistêmico;

- Risco de Imagem;

- Risco de Fraude.

Fundamentos:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Risco Operacional, um exemplo:

Corretor é acusado de rombo de R$ 13,16 bi em banco francês, na maior fraude da história

PARIS, 24 Jan 2008 (AFP) - O Société Générale, um dos três maiores bancos franceses, revelou nesta quinta-feira ter

perdido € 7 bilhões (R$ 18,43 bilhões). Desse total, cerca de € 5 bilhões (R$ 13,16 bilhões) foram perdidos em

operações ilícitas que teriam sido feitas por um só de seus corretores. É a maior fraude da história financeira mundial.

Em plena tormenta nas Bolsas mundiais, o banco anunciou esta fraude interna de € 4,9 bilhões, aos quais somam-se € 2

bilhões de desvalorizações ligadas à crise dos "subprimes".

O funcionário acusado de ser responsável pela fraude, que operava em Paris e cuja identidade não foi revelada, foi

demitido.

Após terem sido suspensas a pedido do banco, as ações do Société Générale voltaram a ser negociadas e fecharam em

baixa de 4,1% nesta quinta-feira para € 75,81.

De acordo com as explicações do banco, a fraude foi descoberta no dia 19 de janeiro: um corretor, operando em uma

subdivisão de suas atividades de mercado, se aproveitou de "seu conhecimento profundo dos procedimentos de controle

para dissimular suas posições graças a uma montagem elaborada de transações fictícias".

O Société Générale liquidou depois suas posições, mas, levando-se em conta seu tamanho e "as condições do mercado

particularmente desfavoráveis", essa fraude teve um impacto negativo de € 4,9 bilhões sobre seu resultado líquido.

Durante uma entrevista coletiva à imprensa convocada com urgência, o presidente ao Société Générale, Daniel Bouton,

tentou se explicar sobre essa fraude gigantesca e pediu desculpas aos acionistas.

"Apenas um homem construiu uma empresa de fachada no interior do grupo, utilizando os instrumentos do Société

Générale e teve a inteligência de escapar de todos os procedimentos de controle", declarou.

Ele indicou que o corretor agiu ao longo de todo o ano de 2007 e que uma queixa foi apresentada contra ele.

O advogado de dezenas de acionistas do banco afirmou ter apresentado uma queixa por "estelionato, abuso de

confiança, falsidade ideológica, cumplicidade e receptação".

O Banco de França anunciou logo em seguida que uma investigação será iniciada para examinar as condições nas

quais essa fraude ocorreu.

Fundamentos:

Fonte: UOL/(AFP) PARIS, 24 Jan 2008:

http://noticias.uol.com.br/ultnot/afp/

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Risco é determinado pela

intencionalidade

Risco é constante

Oportunidades são perseguidas

impulsivamente

Oportunidades são quantificadas em

termos de risco e retorno

Somente a Auditoria é responsável Alta gestão (CEO) são os principais

responsáveis

Controles precisam focalizar riscos

financeiros e resultados somente

Controles precisam focalizar riscos do

negócio de todo tipo

Foco nas ações corretivas Foco nas ações preventivas

As pessoas são as fontes primárias

de risco

Os processos são a fonte primárias de

riscos.

Novo paradigma na Gestão de Riscos:

DE PARA

Velho Paradigma Novo Paradigma

Fundamentos:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


DE PARA

Monitoramento de Risco é função

dos auditores internos

Monitoramento de risco é atividade

do CEO

Risco é um fator negativo a ser

controlado Risco é uma oportunidade

Os risco são gerenciados

separadamente

O gerenciamento de risco é integrado

e corporativo

Responsabilidade pelo gestão de

risco é delegada a níveis inferioresGestão de risco é responsabilidade de

um gerente de linha sênior

Mensuração do risco é subjetiva Risco é quantificado

Funções de gerenciamento de riscos

são desestruturadas e divergentes

Gestão de riscos é construído

dentro do sistema de gerenciamento

corporativo

Novo paradigma na Gestão de Riscos:

Velho Paradigma Novo Paradigma

Fundamentos:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Definição de Controle Interno (Segundo o COSO 2):

O Controle Interno é parte integrante da Gestão de Risco Corporativo

(ERM).

Segundo o COSO a definição de controle interno:

“Controle interno é um processo, desenvolvido para garantir, com

razoável certeza, que sejam atingidos os objetivos da empresa”, nas

seguinte categorias:

- Eficácia e eficiência de operações;

- Confiabilidade nos registros contábeis e financeiros e

- Conformidade com as leis e regulamentos.


Definição (P.N. Migliavacca):

Controle Interno define-se como o planejamento organizacional e

todos os métodos e procedimentos adotados dentro de uma

empresa, a fim de salvaguardar seus ativos, verificar a adequação e

o suporte dos dados contábeis, promover a eficiência operacional e

encorajar a aderência às políticas definidas pela direção.

Definição (rfs):

Políticas, procedimentos, atividades e mecanismos desenvolvidos

para assegurar que a missão e os objetivos de negócios sejam

alcançados; proteger os ativos; e garantir a eficiência operacional.

O controle interno deve ter o papel preventivo para que os eventos

indesejáveis sejam prevenidos, detectados e corrigidos.

Fundamentos:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Exercício:

Um fabricante e importador de calçados, estabeleceu a missão de tornar-se líder na

indústria de calçados femininos de alta qualidade. Para realizar esse objetivo, começou a

fabricar produtos que aliavam estilo, conforto e durabilidade, usando técnicas mais

avançadas e materiais de fornecedores estrangeiros rigorosamente selecionados.

Empresa analisou o ambiente operacional externo e identificou fatores sociais e seus

respectivos eventos, como a mudança da faixa etária de seu principal mercado consumidor

e as tendências para roupas de trabalho. Os eventos originados por fatores econômicos

incluíam flutuações de moeda estrangeira e oscilações nas taxas de juros. Os fatores

tecnológicos internos indicavam um sistema obsoleto de gestão de distribuição e, os

fatores internos de pessoal, de treinamento inadequado em marketing.

Além de constatados no âmbito da organização, os eventos também devem ser

identificados no nível da atividade. Esse procedimento contribui para orientar o enfoque do

gerenciamento de riscos às principais unidades de negócios ou funções, como vendas,

produção, marketing, tecnologia da informação, distribuição, pesquisa e desenvolvimento.

Quais são as categorias de eventos (risco) que podemos encontrar no texto:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


4- Visão geral do Framework Coso 1 - Controle Interno

- Componentes & Objetivos

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


O processo regulatório referente a controle internos tem um marco importante nos Estados Unidos por

ocasião da lei aprovada pelo Congresso Americano, em dezembro de 1987, chamada de Foreign

Corrupt Practices Act (FCPA). Essa lei restringe-se a sociedades anônimas por ações.

As empresas sob FCPA, são obrigadas a criar e implementar e manter sistemas de controle que

ofereçam garantias de que as transações serão registradas de conformidade com os princípios

contábeis.

Os auditores independentes através do AICPA, em SAS (Declaração Padrão de Auditoria) 55, pregam

que a administração deve estabelecer uma estrutura de controle interna composta por 3 elementos:

Ambiente de controle; Sistema Contábil e Procedimento de Controle.

Um estudo neste sentido foi feito pela Treadway Commission. A recomendação do Treadway

Commission, no sentido de desenvolver-se uma definição comum de controle interno com diretrizes

processuais, criou-se o COSO, Comitê das Organizações Patrocinadoras.

Introdução:

O modelo apresentado pelo COSO em 1992 e atualizado em 1994

(Internal Control – Integrated Framework), conhecido como COSO 1,

definiu o controle interno e elaborou critérios para a avaliação de

sistemas.

O COSO 1 responsabiliza pelo processo de Controle Interno o

Conselho Diretor (Board), a Administração (Directors) e os funcionários

da entidade.

O COSO 1, o framework (conjunto de melhores práticas de

controles internos corporativos). Foi largamente adotado para

atender os requisitos da SOX.

COSO 1 – Framework Integrado de Controle Interno

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o



- confiabilidade dos relatórios financeiros

- cumprimento das leis e regulamentos pertinentes.

O COSO 1 sugere também que a avaliação do

processo de controle interno deva ser pontual ao longo

do tempo (exemplo: semestral, anual...).

O modelo define ainda que um sistema de controle

interno deve ter 5 componentes relacionados:

1 – Ambiente de controle (com foco na estrutura

organizacional e as relações com o ambiente externo);

2 – Avaliação de risco;

3 – Atividade de controle (políticas e procedimentos);

4 – informações e comunicações;

5 – Monitoramento.

Ele estabelece o processo como garantidor para a realização de objetivos das seguintes

categorias:

Objetivos do COSO 1


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


COSO 1 – Componentes:

Ambiente de Controle:

É a base para todos os demais componentes. Diz respeito a fatores

como ética, integridade, formas de conduta, políticas de recursos

humanos, estrutura da organização, forma de atuação e atenção do

Conselho de Administração e da alta administração quanto à cultura de

controle, atribuição adequada de autoridade e responsabilidade e

alocação de recursos

Avaliação de Risco:

Consiste da identificação e análise de risco (interno e externo) que são

significantes ao alcance dos objetivos da empresa. Esta avaliação deve

levar em consideração a severidade do risco, a freqüência com que

estes ocorrem e seu impacto. Definição de como a empresa

administrará tais riscos.

Atividade de Controle:

São as políticas e procedimentos que garantem que os planos e

diretrizes indicados pela administração são atingidos e ocorrem por

toda a empresa, em todos os níveis, incluindo todas as funções,

inclusive a aspecto de segurança física e lógica.


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Informação e Comunicação:

Os sistemas de informação produzem relatórios contendo informações

operacionais, financeiras e de compliance (conformidade) que tornam

possível a condução e controle do negócio.

Tratam de informações geradas tanto interna com externamente e que

serão publicadas internamente e/ou externamente.

Os sistemas de informação devem permitir o fluxo de informações por

toda a organização, dos níveis hierárquicos inferiores para os

superiores e vice-versa e com órgãos externos.

Monitoramento:

É monitoramento continuo sob a realização das operações, atividades

regulares de gerenciamento e supervisão de outras atividades

decorrentes de execução de tarefas pelas pessoas. As deficiências

encontradas ao longo do monitoramento devem ser comunicadas ao

gerente responsável e quando necessário ser comunicadas a alta

administração.

COSO 1 – Componentes:


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Em 2001, o COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management

Framework), conhecida como COSO 2.

Introdução:

COSO 2, o framework (conjunto de melhores práticas de

gerenciamento de risco corporativos). Foi largamente

adotado para atender os requisitos do Basel 2.

O COSO 2, é um estudo complementar ao framework do „COSO‟ chamado Gerenciamento de Riscos

Corporativo (ERM - Enterprise Risk Management), que representa, um próximo passo para aquelas

empresas que estão preocupadas em, além de atender às demandas regulatórias, preservar a geração

de valor de suas empresas.

COSO 2 – Gerenciamento de Riscos Corporativo

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


A premissa inerente a gestão de riscos corporativos é que toda organização

existe para gerar valor às partes interessadas. Todas as organizações

enfrentam incertezas, e o desafio de seus administradores é determinar até

que ponto aceitar essa incerteza, assim como definir como essa incerteza

pode interferir no esforço para gerar valor às partes interessadas. Incertezas

representam riscos e oportunidades, com potencial para destruir ou agregar

valor.

A gestão de riscos corporativos possibilita aos administradores tratar com

eficácia as incertezas, bem como os riscos e as oportunidades a elas

associadas, a fim de melhorar a capacidade de gerar valor.

O valor é maximizado quando a organização estabelece estratégias e

objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de

retorno de investimentos e os riscos a elas associados, e para explorar os

seus recursos com eficácia e eficiência na busca dos objetivos da

organização.

A ERM (Enterprise Risk Management) Gestão de Risco Corporativos é um processo

conduzido em uma organização pelo Conselho de Administração(CA), diretoria e demais

empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em

toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de

modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia

razoável do cumprimento dos seus objetivos.

Componentes


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


O gerenciamento de riscos corporativos tem por finalidade:

Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o apetite a risco da

organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo

mecanismos para gerenciar esses riscos.

Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos possibilita o

rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir,

compartilhar e aceitar os riscos.

Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor capacidade para

identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou

prejuízos associados.

Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização enfrenta uma

gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos

possibilita uma resposta eficaz a impactos inter-relacionados e, também,respostas integradas aos

diversos riscos.

Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a organização

posiciona-se para identificar e aproveitar as oportunidades de forma proativa.

Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possibilita à

administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a

alocação desse capital.


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Os objetivos:

Essa estrutura estabelece quatro categorias

de objetivos para a organização:

Estratégicos – referem-se às metas no nível

mais elevado. Alinham-se e fornecem apoio à

missão.

Operações – têm como meta a utilização

eficaz e eficiente dos recursos.

Comunicação – relacionados à confiabilidade

dos relatórios.

Conformidade – fundamentam-se no

cumprimento das leis e dos regulamentos

pertinentes.

Níveis de Organização:

ERM considera atividades em

todos os níveis da organização:

- Entidade

- Divisão ou Subsidiária

- Unidade de Negócios

- Processo

COSO 2: Os Objetivos & Níveis de Organização:


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


- Ambiente Interno: ambiente no qual a empresa opera

- Estabelecimento de Objetivos: objetivos alinhados à

missão

- Identificação de Evento: eventos que possam afetar

os objetivos

- Avaliação de Risco: como a empresa avalia seus

riscos

- Resposta ao Risco: alinhar os riscos com os

objetivos

- Atividades de Controle: políticas e procedimentos

para assegurar que os objetivos sejam executados

- Informação e Comunicação: ocorre de maneira

ampla, fluindo vertical e horizontalmente

- Monitoramento: é realizado mediante atividades

gerenciais contínuas

COSO 2: Os componentes chaves


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Existe um relacionamento direto entre os objetivos, que

uma organização empenha-se em alcançar, e os

componentes do gerenciamento de riscos corporativos, que

representam aquilo que é necessário para o seu alcance.

Esse relacionamento é apresentado em uma matriz

tridimensional em forma de cubo.

As quatro categorias de objetivos (estratégicos,

operacionais, de comunicação e conformidade) estão

representadas nas colunas verticais.

Os oito componentes nas linhas horizontais

e as unidades de uma organização na terceira dimensão.

Essa representação ilustra a capacidade de manter o

enfoque na totalidade do gerenciamento de riscos de uma

organização, ou na categoria de objetivos, componentes,

unidade da organização ou qualquer um dos subconjuntos.

Cubo Coso

O COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management Framework)

conhecida como COSO 2.


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Componentes do Gerenciamento de Riscos Corporativos

O gerenciamento de riscos corporativos é constituído de 8 componentes inter-

relacionados, pela qual a administração gerência a organização, e estão

integrados com o processo de gestão. Esses componentes são:

Ambiente Interno – o ambiente interno compreende o tom de uma organização e

fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal,

inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os

valores éticos, além do ambiente em que estes estão.

Fixação de Objetivos – os objetivos devem existir antes que a administração possa

identificar os eventos em potencial que poderão afetar a sua realização. O

gerenciamento de riscos corporativos assegura que a administração disponha de um

processo implementado para estabelecer os objetivos que propiciem suporte e estejam

alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos.

Identificação de Eventos – os eventos internos e externos que influenciam o

cumprimento dos objetivos de uma organização devem ser identificados e classificados

entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos

de estabelecimento de estratégias da administração ou de seus objetivos.

Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e

o impacto como base para determinar o modo pelo qual deverão ser administrados.

Esses riscos são avaliados quanto à sua condição de inerentes e residuais.

Fonte: www.coso.org

Componentes


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Componentes do Gerenciamento de Riscos Corporativos (continuação)

Resposta a Risco – a administração escolhe as respostas aos riscos - evitando,

aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para

alinhar os riscos com a tolerância e com o apetite a risco.

Atividades de Controle – políticas e procedimentos são estabelecidos e

implementados para assegurar que as respostas aos riscos sejam executadas com

eficácia.

Informações e Comunicações – as informações relevantes são identificadas,

colhidas e comunicadas de forma e no prazo que permitam que cumpram suas

responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo,

fluindo em todos níveis da organização.

Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são

feitas as modificações necessárias. O monitoramento é realizado através de

atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.

Componentes


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


A abrangência da Gestão de Risco Corporativo:

Segundo o COSO 2, o Controle Interno é parte integrante do

Gerenciamento de Riscos Corporativos.

A estrutura do gerenciamento de riscos corporativos abrange o

controle interno, originando dessa forma uma conceituação e uma

ferramenta de gestão mais eficiente. O controle interno é definido e

descrito sob o título “Controle Interno – Estrutura Integrada”.

Em razão do fato da estrutura ter resistido ao tempo e ser base

das normas, dos regulamentos e das leis existentes, o documento

permanece vigente como fonte de definição e marco para as

estruturas de controles internos. Enquanto que apenas algumas

porções do texto de “Controle Interno – Estrutura Integrada” estão

sendo reproduzidas na presente estrutura, a sua totalidade da

mesma está incorporada como referência.


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Limitações:

O gerenciamento de riscos corporativos pode oferecer

importantes benefícios para a empresa, mas ele está sujeito a

limitações.

As limitações originam-se do fato de que o julgamento

humano, no processo decisório, pode ser falho, as decisões

de respostas a risco e o estabelecimento dos controles

necessitam levar em conta os custos e benefícios relativos.

Podem ocorrer falhas causadas por erro ou

engano humano, os controles podem ser anulados

por conluio entre duas ou mais pessoas, e a

administração tem o poder de recusar-se a aceitar

as decisões de gestão de riscos.

Essas limitações impedem que o Conselho de Administração

e a diretoria executiva tenham absoluta garantia da realização

dos objetivos da organização.


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Funções e Responsabilidades:

Todos são responsáveis:

Para que o Gerenciamento de Risco Corporativo tenha resultados eficazes, todos os colaboradores de uma

empresa devem ter consciência da importância da gestão de risco e assumir uma parcela de

responsabilidade no gerenciamento.

O Principal responsável:

O presidente-executivo é o principal responsável e deve assumir a responsabilidade da iniciativa.

Cabe aos outros diretores executivos apoiar a filosofia de administração de riscos da empresa, incentivar a

observação a exposição ao risco e administrar os riscos dentro de suas esferas de responsabilidade,

conforme as tolerâncias a risco.

Responsáveis pelo suporte:

Geralmente, cabe ao diretor de riscos, CRO, diretor-financeiro, auditor interno e outros,

responsabilidades fundamentais de suporte.

Os outros membros da organização são responsáveis pela execução do gerenciamento de riscos em

cumprimento das diretrizes e dos protocolos estabelecidos.

O Supervisor:

O Conselho de Administração executa importante atividade de supervisão do gerenciamento de riscos da

organização, estando ciente e de acordo com o grau de exposição da empresa.

Os participantes:

Os clientes, revendedores, parceiros de negócios ou comerciais, auditores externos, agentes

normativos e analistas financeiros freqüentemente fornecem informações úteis para a condução do

gerenciamento de riscos,porém não são responsáveis pela sua eficácia e nem fazem parte do

gerenciamento de riscos da empresa.


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Resumindo:O Controle Interno é parte integrante da Gestão de Risco Corporativo

(ERM).

Segundo o COSO a definição de controle interno: “Controle interno é um processo, desenvolvido

para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa”, nas seguinte

categorias:




Controle

Interno


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Identificação

Avaliação/Análise

Riscos

Contramedidas(Countermeasures) Resposta ao Risco

Monitoramento

Comunicação

Valor dos Ativos

(Assets)

Ameaças

(Threats)

Vulnerabilidades

(Vulnerabilities)

Gestão de Risco é um processo sistemático que tem como objetivo identificação,

avaliação / analise, resposta (ação), comunicação e monitoramento de riscos.


G:/Gestão de Risco/Segurança.ppt

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


A implantação do Escritório de Gestão de Risco tem como

objetivo ajudar e facilitar o gerenciamento de risco

corporativo.

CRO (Chefe do Escritório de Risco) é uma nova função que

foi criado para atender a demanda por Gestão de Risco e

Compliance, como as leis e regulamentações, o Acordo de

Basiléia, Sarbanes-Oxley e etc

Uma das prioridades do CRO é assegurar-se de que a

organização esteja completamente em conformidade com os

regulamentos e leis.

Gestor de Risco (CRO – Chief Risk Officer).

Risk Officer:

The Chief Risk Officer (CRO) or

Chief Risk Management Officer (CRMO)

Melhores Práticas

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Interno

O Que os Executivos Deveriam Questionar?

• Quais as melhores práticas de controle e gestão de riscos? Existem sistemas de controle e gestão que indiquem eventuais falhas de controle (exemplos: fraudes, irregularidades, má-conduta...)?

• Nossos processos e controles para divulgação nos asseguram que todas as informações relevantes foram identificadas, quantificadas e reportadas?

• Nossa estrutura de Governança Corporativa está compatível às necessidades?

– Código de Ética (Código de Conduta);

– Conselho de Administração;

– Comitê de Auditoria;

– Comitê Fiscal; e

– Parâmetros de razoabilidade para bônus e lucros.

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Definição de Controle Interno (Segundo o COSO 2):

O Controle Interno é parte integrante da Gestão de Risco Corporativo

(ERM).

Segundo o COSO a definição de controle interno:

“Controle interno é um processo, desenvolvido para garantir, com

razoável certeza, que sejam atingidos os objetivos da empresa”, nas

seguinte categorias:





Definição (P.N. Migliavacca):

Controle Interno define-se como o planejamento organizacional e todos os

métodos e procedimentos adotados dentro de uma empresa, a fim de

salvaguardar seus ativos, verificar a adequação e o suporte dos dados

contábeis, promover a eficiência operacional e encorajar a aderência às

políticas definidas pela direção.

Definição (rfs):

Políticas, procedimentos, atividades e mecanismos desenvolvidos para

assegurar que a missão e os objetivos de negócios sejam alcançados;

proteger os ativos; e garantir a eficiência operacional. O controle interno deve

ter o papel preventivo para que os eventos indesejáveis sejam prevenidos,

detectados e corrigidos.

Controle Interno

Revisão:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controles: PREVENTIVO - Previnem o acontecimento de erros, fraudes, má-conduta ou irregularidades e

minimizam os riscos na fonte. (Pró-ativo). (Maior eficácia)

DETECTIVO - Detectam erros, fraudes, má-conduta e irregularidades quando eles ocorrem, geralmente são difíceis de definir ou prever. (Reativo).

RESPOSTA - Controles elaborados para tomar ação corretiva e remediar os danos causados por erros, fraudes, má-conduta e irregularidades. (Reativo)

Tipos de Controles: AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de

julgamentos pessoais. Para garantir sua consistência, precisão e tempestividade, é precisoter um sistema seguro e confiável. (Maior eficácia)

MANUAL - Controles manuais executados por pessoas.

Periodicidade: Deve ser atrelado a ocorrência do evento, a cada evento, diário, semanal, quinzenal, mensal,

trimestral, semestral, anual. A periodicidade do controle deve ser compatível com a freqüência do incidência dos eventos de risco cobertos pelo controle).

Prevenção, Detecção e Resposta

Uma abordagem efetiva, direcionada à fraude em negócios e gerenciamento de

risco e má-conduta, é uma abordagem que é focada em três objetivos: Prevenção,

Detecção e Reposta

Controle Interno

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Interno.

Lista de Controle Interno:

Alçadas:

Delimitação de atuação ou influência de gestor

Conciliação:

Comparação de informações de origens distintas, o foco identificar inconsistências

Normatização interna:

Estabelecimento formal de normas internas

Segregação de funções:

Separação de funções conflitantes ou funções que possam ter conflito de interesses

Validação:

Exame de procedimentos relacionados a algumas atividades com objetivo de validar as

informações

Controle de Acesso:

Controle na entrada e saída de pessoas, equipamentos e produtos

Autorização:

Autorização formal para execução de uma operação ou uma atividade

Monitoramento:

Acompanhamento de processo, operação ou atividade de modo avaliar sua correta

adequação com os objetivos

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Interno

Riscos

Ausência de Controles

Controles

+ Tolerância

à Riscos

Exposição a

Riscos Inaceitáveis

Riscos

Controles +

Tolerância

à Riscos

Controles em Excesso

Exposição a

Custos Excessivos

Riscos

Controles +

Tolerância

à Riscos

Controles Adequados

Controles Internos

Eficientes

O peso dos controles:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Interno

Características de um Controle eficiente:

Controle eficiente:

O controle devem responder as seguintes

questões: - Quem, quando, como e por que

Evidencia (documentos probatórios)

Quem fez

o lançamento ?

Em que data

foi feito o

lançamento ?

Existem

documentos

(evidências) ?

O por que

do lançamento ?

Como foi feito

lançamento ?

G:/Gestão de Risco/Processo_Documentos.ppt

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Interno

Benefícios de uma Estrutura de Controles Internos Consistente:

Controle Interno Consistente:

Reduz potencial para fraudes

Conquista (ou reconquista) a

confiança dos investidores

Observa leis e regulamentações

Reduz o risco de perda de

recursos

Otimiza decisões de negócio com

maior qualidade

Identifica operações ineficientes

Minimiza denúncias

Controle Interno Inconsistente:

Aumenta a exposição a fraudes

Informações financeiras imprecisas

Publicidade desfavorável

Impacto negativo nos valores das ações

Sanções de órgãos de controle

Processos ou outras ações legais

Perda de ativos

Decisões de negócio sub-otimizadas

São descobertas através de Controles Internos (42%) ou, em menor escala,

através de denúncias (28%) identificadas (de funcionários) ou de auditoria

interna (21%)

Perfil das fraudes Em geral, as fraudes descobertas1:

Nota 1- Fonte: Relatório Enfoque 2005, elaborado pela Ernest & Young

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Interno

O Novo Papel da Auditoria Interna:

O papel da auditoria interna é um elemento chave em atividades de controle,

suportando a abordagem da administração para prevenir, detectar e responder

à fraude, erros, irregularidades e má-conduta.

Um das funções da Auditoria Interna é o de examinar a efetividade dos

controles (realização de testes substantivos), Gestão de Risco, Sistemas,

Salvaguarda de Ativos, Contabilidade e Governança.

No geral, a auditoria interna deve ser responsável por:

- Planejar e conduzir a testes que avaliam efetividade dos controles;

- Ajudar a organização na avaliação das fraquezas dos controle e auxiliar a encontrar conclusões quanto

a estratégias apropriadas para mitigar estes riscos;

- Comunicar o comitê de auditoria sobre a avaliação dos controles internos e das auditorias,

investigações e atividades relacionadas.

Enfoque Tradicional

• Foco nos controles. • Foco nos riscos.

• Testes com base em programa de trabalho

padrão.• Testes de todos os controles.

• Testes com base no levantamento das

informações.• Testes focalizados, somente dos controles

que minimizam os riscos relevantes.

Enfoque com Foco em Riscos

• Riscos avaliados com base na experiência

do auditor.

• Padronização do processo de avaliação de

riscos.• Maior parte do tempo gasto em revisão e

consolidação.

• Maior parte do tempo gasto em

levantamento e análise de informações.

Comparação:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Exemplo: A SOX, tem duas seções sobre certificação: 302 e 906.

A seção 302 determina um conjunto de procedimentos internos desenhados para garantir a

evidenciação financeira.

A seção 906 exige uma certificação pelo Presidente (CEO) e Diretor Financeiro (CFO) acompanhe cada

relatório periódico que inclui as demonstrações financeiras

> A SEC adotou a regra exigindo que a certificação seja fornecida como parte de cada relatório anual e

trimestral as correspondentes alterações.

> O Presidente e Diretor Financeiro deverão certificar que avaliaram a eficácia dos controles internos e

dos procedimentos de divulgação da empresa dentro de 90 dias da data do relatório.

> As regras exigem que a certificação seja incluída em relatórios anuis nos formulários: 10-K, 10-KSB,

20-F e 40-F, relatórios trimestrais nos formulários: 10-Q e 10-QSB e alterações em quaisquer dos

relatórios acima mencionados.

Controle Interno

A seção 404, exige que administração da empresa produza o Internal Control Report Financial

(ICRF) como parte do informe anual.

O informe deve afirmar a responsabilidade da administração em estabelecer e manter procedimentos

e uma estrutura adequada de controle interno para o informe financeiro.

O informe ainda precisa conter uma avaliação, na data do final do ano fiscal mais recente da empresa,

da efetividade dos procedimentos e da estrutura de controle interno do emitente do informe

financeiro

A firma de auditoria (externa), precisa atestar a avaliação de controle interno da administração.

A recomendação da SEC, é utilizar o COSO como guia para implementar o Sistema de Controle Interno

(SCI)

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Interno

Administração É responsável pelos controles internos e pela

preparação das demonstrações financeiras

Auditoria Interna É responsável por testar e monitorar os controles

internos

Auditoria ExternaÉ responsável por certificar a apresentação das

demonstrações financeiras e a avaliação efetuada

pela Administração para suportar a certificação da

eficácia dos controles internos

Supervisionar os processos e os participantesComitê de Auditoria

SOX: Papéis e Responsabilidades:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Interno:

SOX: Lições Aprendidas:

Questão:

Para quais dos itens abaixo há o

maior risco de serem reportadas é

esperado o maior volume de

fraquezas materiais

nos controles internos?

a) Tecnologia da Informação

b) Reconhecimento de receita

c) Gerenciamento do Imobilizado

d) Compras e contas a pagar

e) Impostos

f) Recursos Humanos

g) Tesouraria

h) Encerramento e apresentação das

demonstrações financeiras

i) Outros

Fraquezas Materiais nos Controles Internos

65; 65%4; 4%

7; 7%

4; 4%

2; 2%

7; 7%

4; 4%

7; 7%0; 0%

a) Tecnologia da

Informação

b) Reconhecimento de

receita

c) Gerenciamento do

Imobilizado

d) Compras e contas a

pagar

e) Impostos

f) Recursos Humanos

g) Tesouraria

h) Encerramento e

apresentação das

demonstrações

financeiras

i) Outros

Fonte: Síntese e Resultado da 9ª mesa de debates - Sox Update e Avaliação do Ambiente de Controle (COSO) KPMG – 2006/2007

Nota:

Para 65%, há uma percepção de que a tecnologia da informação é a que poderá gerar um maior

volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A título de

comparação, pesquisa similar realizada em 2005 teve como resultado uma votação de 57% para TI, o

que indica que esta preocupação não é recente e se manteve no mesmo patamar.

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Deficiência Significante (Significant deficiency): Deficiência ou uma combinação de deficiências que

resulte em mais que uma remota possibilidade de erro ou omissão nas demonstrações financeiras

anuais ou interinas e que não possa ser identificada preventivamente ou detectada.

Fraqueza Material (Material weakness): Deficiência ou uma combinação de deficiências que resulte em

mais que uma remota possibilidade de erro ou omissão com efeito material nas demonstrações

financeiras anuais ou interinas e que não possa ser identificada preventivamente ou detectada

Controle Interno

Deficiência de Controle Interno:

A gravidade de uma deficiência de controle interno pode ser avaliada como um material

weakness ou significant deficiency, fundamentada no potencial de erros ou fraudes nas

demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que

esses erros ou fraudes tenham efetivamente ocorrido.

Exemplos de Fraqueza Material (SOX):

- Em razão de erros decorrentes do uso de planilhas eletrônicas para a elaboração das Demonstrações

Financeiras.

-Nos controles relativos a reconciliações em US GAAP, que originaram erros (republicações) nas

Demonstrações Financeiras de 2004 e 2005.

Exemplos de Deficiência Significante (SOX):

- Nos controles internos em razão do não registro de um contrato segundo regras do SFAS 133.

- Relacionada à republicações das Demonstrações Financeiras de 2004 e 2005 devido a erros de

Classificação.

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Interno

Deficiência de Controle Interno:

A gravidade de uma deficiência de controle interno pode ser avaliada como uma Fraqueza

Material (material weakness) , Deficiência de Controle (control deficiency) e Deficiência

Significante (significant deficiency), fundamentada no potencial de erros ou fraudes nas

demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que

esses erros ou fraudes tenham efetivamente ocorrido.

Exemplos de Fraqueza Material (SOX):

- Em razão de erros decorrentes do uso de planilhas eletrônicas para a elaboração das Demonstrações

Financeiras.

-Nos controles relativos a reconciliações em US GAAP, que originaram erros (republicações) nas

Demonstrações Financeiras de 2004 e 2005.

Exemplos de Deficiência Significante (SOX):

- Nos controles internos em razão do não registro de um contrato segundo regras do SFAS 133.

- Relacionada à republicações das Demonstrações Financeiras de 2004 e 2005 devido a erros de

classificação.

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Tipos de Controle:

1. CONTROLE DO ESTADO – Constituição Federal

Controle Externo – Tribunal da Contas da União (TCU)

Controle Interno – Controladoria-Geral da União da Presidência da

República (CGU-PR)

2. CONTROLE INTERNO DA PRÓPRIA ORGANIZAÇÃO

Auditoria Interna

3. CONTROLE DOS ACIONISTAS - Lei de S.A.

Assembleia Geral, Auditoria Independente e Conselho Fiscal

Estudo de Caso: Controle

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


PRESIDÊNCIA DA

REPÚBLICA

MINISTÉRIO

PETROBRAS

CONGRESSO

NACIONAL

CGU

PODER

EXECUTIVO

TCU

PODER

LEGISLATIVO

Tipos de Controle: Estado

CONTROLE INTERNO CONTROLE EXTERNO

BR


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Externo (TCU)

Congresso

Nacional

BR

MME

DEST

Presidência da

República

ANP

CNPE

MF

MPOG

MJ

CADE

Controle Interno

(CGU)

MMA



Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Efetividade


Quanto aos Objetivos:

Político-Legal

Programático

Administrativo

Legitimidade

Legalidade

Economicidade

Eficiência

Eficácia

Quanto ao Momento:

Prestação de Contas

e Avaliação

Prévio

A Posteriori

Concomitante

Orçamento

Acompanhamento


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Auditoria Interna

Atribuições:

“Planejar, executar e avaliar as atividades de auditoria interna e atender às solicitações da

alta administração e de órgãos externos de controle.”

Tipos de Controle: Interno (Auditoria Interna)

Perspectiva de Mercado:

Zelar pela excelência dos controles das atividades da Petrobras, atendendo às

expectativas dos clientes.

• Conhecimento da Petrobras

• Presteza no atendimento

• Visão integrada dos Negócios

• Confidencialidade

• Diversidade de formação

• Agregar valor à Unidade auditada


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Auditoria Interna

Estrutura:

Tipos de Controle: Interno (Auditoria Interna)

GERENCIAMENTO DE

RECURSOS

Auditoria

Internacional

Auditoria

Interna

Auditoria

Corporativa e

de Serviços

Auditoria de

Gás e Energia

Auditoria de

Finanças

Auditoria de

Abastecimento

Auditoria de

E&P

Aspectos legais:

Art. 14. As entidades da Administração Pública Federal indireta deverão organizar a

respectiva unidade de auditoria interna, com o suporte necessário de recursos humanos

e materiais, com o objetivo de fortalecer a gestão e racionalizar as ações de controle.

Decreto nº 3.591, de 6/SET/00 – Dispõe sobre o Sistema de Controle Interno do Poder

Executivo Federal e dá outras providências


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


ASSEMBLÉIA GERAL (Artigos 121 e 122, III

da Lei 6.404 de 1976)

CONTROLE FINAL

ADMINISTRAÇÃO

Conselho de Administração

Diretoria

CONSELHO FISCAL (Artigos 161 a 165

da Lei 6.404 de 1976)

CONTROLE INTERNO

AUDITORES INDEPENDENTES

(Artigo 177, § 3º da Lei 6.404 de

1976)

CONTROLE EXTERNO

Tipos de Controle: Acionistas


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Controle Interno:

Melhores Práticas na implantação de Sistema de Controle Interno:

Evite os controles manuais. Opte por controles automatizados;

Implemente os controles do tipo preventivo;

Defina a quantidade de controle adequado;

Evite o controle do controle;

Faça uma revisão de toda vez que o custo de um controle for maior que o benefício

que ele traz;

As melhores práticas recomendam a adoção da Gestão de Risco;

Adote os melhores guias, frameworks, padrões e normas;

Implemente o ciclo de melhoria continua, PDCA, nos controles;

[SOX] Foco nos controles internos de TI (Seção 404)

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Tecnologia da Informação (TI) e Gestão de Risco

Corporativo (ERM)

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Modelo de Governança de TI

Governança de TI

Arquitetura de TI

Recursos

Processos

PMBok/PMI

Cobit

BPM

ISO9001 /

Seis Sigma

Governança do

Negócios

Governança de Conformidade

(Controle Interno e Risco)


BSC COSOO

pera

cio

nal e T

áti

co

Estr

até

gic

o

Projetos

Qualidade

To

p D

ow

n

Planejamento Estratégico de TI

Se

rviç

os

de

TI

ITIL /

ISO20000

Fo

rneced

ore

s

SAS70 /

e-SCM

Seg

ura

nça d

a

Info

rmação

ISO17799/

ISO27001

Fáb

rica d

e

de S

oft

ware

CMMi/

Mps.br

86

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Gestão da Segurança

da InformaçãoControle Internos

Confidencialidade

Integridade

Disponibilidade

Gestão de Risco de TI

Processos

Evidências

Guia de Auditoria

Gestão de Risco Corporativo (ERM)

ISO 17799 /

ISO 27001 Cobit, ITIL, ISO 17799...

COSO

COBIT

Mudança de Visão

Ontem: Gestão de Segurança da Informação

Hoje: Gestão de Risco (Segurança da Informação + Controle Interno)

Governança

Corporativa

Governança

de TI

Governança de TI & COSO 2


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


As melhores práticas:

Seguir as recomendações, utilizar as melhores

práticas, padrões e frameworks.

No caso de compliance SOX. A SEC (entidade que

regula o mercado americano) recomenda utilizar: COSO

(como padrão de referência para os controles internos) e

o COBIT (como padrão de referência para sistemas de

informação) e como Framework para implantação da

Governança de TI.

Para o Gerenciamento de Serviços de TI recomenda-

se o modelo ITIL e/ou ISO 20000

Para a Gestão da Segurança da Informação é recomendado

a ISO 17799 ou ISO 27001.

Para Maturidade do Processo de Desenvolvimento de Software é recomendado

CMMi e Mps.br

Para a Gestão de Projetos é recomendado as práticas do PMBok (PMI),

lembre-se que a Gestão de Projetos abrange todas áreas da empresa.

Para a Gestão de Relacionamento com Fornecedores de TI recomenda-se o padrão

e-SCM. No caso de SOX o SAS70.


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Para TI:

-Cobit

- ISO 17799 – Segurança da Informação

- ITIL

- ISO 20.000

- MOF

Para empresa:

- PMBok (para projetos)

- ISO 31000

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Evolução: A Governança

Modelo de Governança

Principais características do Cobit:

- Orientado ao Negócio

- Orientado a Processos

- Baseado em Controles

- Guiado por mensurações

Governança

Gestão

Controle

Auditoria

Cobit 1 Cobit 2 Cobit 3 Cobit 4

1996 1998 2000 2005

Cobit

Cobit é um framework que tem um conjunto de

componentes que representam as melhores praticas para

Governança de TI, Controle de TI, Auditoria de TI e

Conformidade com leis e regulamentações.

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Modelo de Governança de TI:

Alinhamento Estratégico

Entrega de Valor

Gerenciamento de Recursos

Gerenciamento de RiscoMedição de Desempenho

Garantia da ligação entre o negócio e planos de TI,

manutenção e validação da proposição de valor da

TI, alinhada com as operações da empresa

Execução da proposição de valor através do

tempo, assegurando que TI entregue os

benefícios prometidos de acordo com estratégia,

concentrando-se em otimizar custos e em

comprovar o valor intrínseco de TI

Conhecimento dos riscos,

entendimento claro dos

requisitos de compliance e das

tendências da empresa para

os riscos, transparência

acerca dos riscos significantes

para empresa e incorporação

de responsabilidade para o

gerenciamento dos riscos

Otimização do investimentos e da gestão adequada de

recursos (aplicações, pessoas, informações e infra-estrutura),

essenciais para prover os subsídios de que a empresa

necessita para cumprir os seus objetivos

Acompanhamento e

monitoramento da

implantação da estratégia,

do andamento dos projetos,

da utilização de recursos, do

desempenho dos processos,

da entrega dos serviços,

utilizando medições e

indicadores de desempenho.

Governança de TI segundo ITGI (Cobit)

Cobit

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


OBJETIVOS DE NEGÓCIOS E OBJETIVOS DE GOVERNANÇA

Eficiência

AplicaçõesInformação

Infra-estruturaPessoas

ENTREGAR E SUPORTAR

MONITORAR E AVALIAR

ADQUIRIR E IMPLEMENTAR

INFORMAÇÃO

RECURSOS DE TI

E S T R U T U R A

D O C O B I T

EficáciaConfidencialidade

Integridade

Disponibilidade

Conformidade

DS1 Definir e Gerenciar Níveis de Serviços.

DS2 Gerencia Serviços Terceirizados.

DS3 Manage performance and capacity.

DS4 Gerenciar o Desempenho e a Capacidade.

DS5 Garantir segurança dos sistemas.

DS6 Identificar e Alocar Custos.DS7 Educar e Treinar os

Usuários.DS8 Gerenciar a Central de

Serviço e Incidentes.DS9 Gerenciar a configuração.DS10 Gerenciar os problemas.DS11 Gerenciar os dados.DS12 Gerenciar o Ambiente Físico.DS13 Gerenciar as Operações.

ME1 Monitorar e Avaliar o Desempenho de TI.

ME2 Monitorar e Avaliar os Controles Internos.

ME3 Assegurar a Conformidade Regulatória.

ME4 Fornecer Governança de TI.

PO1 Definir um Plano Estratégico de TI.

PO2 Definir a Arquitetura da Informação.

PO3 Determinar o Direcionamento Tecnológico.

PO4 Definir os Processos, a Organização e os Relacionamentos de TI.

PO5 Gerenciar o Investimento de TI.

PO6 Comunicar os Objetivos e Direcionamento da Diretoria.

PO7 Gerenciar os Recursos Humanos de TI.

PO8 Gerenciar a Qualidade.PO9 Avaliar e Gerenciar Risco de

TI .PO10 Gerenciar Projetos.

AI1 Identificar as Soluções Automatizadas.

AI2 Adquirir e Manter Software Aplicativo.

AI3 Adquirir e Manter Infra-estrutura de Tecnologia.

AI4 Permitir Operação e Uso.AI5 Adquirir Recursos de TI.AI6 Gerenciar Mudanças.AI7 Instalar e Validar Soluções

e Mudanças.

PLANEJARE ORGANIZAR

Confiabilidade

Estrutura do COBIT

92

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


ITIL v3 :: Serviços, Processos e Funções

Adaptado do original de David Pultorak

ITIL v3

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


O MOF é um guia de melhores práticas para Ciclo de Serviços de TI.

MOF – Microsoft Operations Framework

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Processos de Entrega de Serviços

Processos deResolução

Processos de

LiberaçãoProcessos de

Relacionamento

Gestão de

Capacidade

Continuidade

de Serviços

e Gestão de

Disponibilidade

Gestão de

Nível de Serviço

Apresentação dos

Resultados dos serviços(Service Reporting)

Gestão da Segurança

da Informação

Orçamento e

Contabilidade dos

Serviços

Gestão de

Liberação Gestão de Incidentes

Gestão de Problemas

Gestão de Relacionamento

com o Negócio

Gestão de Fornecedores

Processos de ControleGestão de Configuração

Gestão de Mudança

ISO 20000

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Principais Componentes:

Disponibilidade – Acesso contínuo e ininterrupto. A

informação deve estar disponível para a pessoa certa e

no momento em que ela precisar.

Integridade – Proteger a informação contra qualquer

tipo de alteração sem a autorização explícita do autor da

mesma

Confidencialidade – Visa manter o sigilo, o segredo ou

a privacidade das informações, evitando que pessoas,

entidades ou programas não autorizados tenham acesso

às mesmas.

Autenticidade (não repudio) - Garante ao receptor da

informação a origem informada. Assegura que o acesso

à informação não possa ser realizado por terceiros em

nome do receptor ou que se utilizem do nome do

originador para enviar informações.

Objetivos:

• Reduzir a probabilidade de ocorrência de incidentes de

segurança.

• Minimizar os danos / perdas causados à Organização.

• Recuperação em caso de incidente.

ISO 17799 (Segurança da Informação)

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Modelo de Implementação:

Definir

escopo

Revisão

Documentação

Gap

Analyses

Inventário

de Ativos

Avaliação de

Risco

Gestão de

RiscoObjetivo de

Controle

Desenvolver

Política

Desenvolver

Procedimento

Treinamento

Monitorar

Compliance

Compliance e

Certificação

Implantação da

ISO 17799


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


• 1. Objetivo da norma

• 2. Termos e definições

• 3. Política de segurança

• 4. Segurança organizacional

• 5. Classificação e controle dos ativos de informação

• 6. Segurança de pessoas

• 7. Segurança física e do ambiente

• 8. Gerenciamento de operações e comunicações

• 9. Controle de acesso

• 10. Desenvolvimento de sistemas.

• 11. Gestão de continuidade de negócios

• 12. Conformidade

Infra estrutura de segurança: indica que uma estrutura organizacional deve

ser criada para iniciar e implementar as medidas de segurança.

Segurança no acesso de prestadores de serviço: garantir a segurança dos

ativos acessados por prestadores de serviços.

Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos

de terceirização de serviços computacionais cláusulas para segurança

ISO 17799 – Segurança Organizacional

Componentes do ISO 17799


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


PMBok ®. Gerenciamento de Risco

Processos do Gerenciamento dos Riscos:

Inclui os processos para maximizar a probabilidade e as conseqüências dos eventos positivos e

minimizar a probabilidade e as conseqüências dos eventos adversos aos objetivos do projeto.

Definição de Risco1:

“Um evento ou condição incerta que, se ocorrer, tem um efeito positivo ou negativo nos objetivos

de um projeto”.1 - Segundo o PMBok (Glossário)

PMBok versão 3

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


ISO 31000 – Gerenciamento de Risco

Processo de Gestão de Riscos

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Comentário final:

Está preparado para implementar a Gestão de Risco e suas melhores práticas ?

Se quiser ajuda, fale comigo:


twitter: @rildosan



(11) 9123-5358

(11) 9962-4260


Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Nossos Treinamentos

Treinamentos:

- Implementação da Controle Interno com as práticas da COSO®

- Workshop de Gestão de Risco com COSO®

- Fundamentos da Gestão de Risco e Controle e Interno com COSO

- Workshop de Gestão de Risco para TI

102

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Quer Mais ?

http://etecnologia.ning.com/

Gostou quer mais, gostaria de receber outros materiais sobre o mesmo tema e novas versões deste

material...

Envie um e-mail para com subject: “Quero entrar na comunidade” para [email protected]

que te enviaremos um convite para participar da nossa comunidade

103

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Notas:

Marcas Registradas:

Todos os termos mencionados e reconhecidos como Marca Registrada e/ou comercial são de

responsabilidade de seus proprietários. O autor informa não estar associada a nenhum produto e/ou

fornecedor apresentado neste material. No decorrer deste, imagens, nomes de produtos e fabricantes

podem ter sido utilizados, e desde já o autor informa que o uso é apenas ilustrativo e/ou educativo, não

visando ao lucro, favorecimento ou desmerecimento do produto/fabricante.

Melhoria e Revisão:

Este material esta em processo constante de revisão e melhoria, se você encontrou algum problema

ou erro envie um e-mail nós.

Criticas e Sugestões:

Nós estamos abertos para receber criticas e sugestões que possam melhorar o material, por favor

envie um e-mail para nós.

Rildo F dos Santos ([email protected])

Imagens:

Google, Flickr e Banco de Imagem.

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Licença:

Ge

stã

o d

e R

isc

o e

Co

ntr

ole

In

tern

o


Gestão de Risco e Controle Interno

As melhores práticas para Gestão de Risco e Controle Interno com COSO®


twitter: @rildosan



(11) 9123-5358

(11) 9962-4260


gestão de risco e controle interno com coso

Documents