gestão de risco e controle interno com coso
DESCRIPTION
Apresentação sobre a Gestão de Risco e Controle Interno com as melhores práticas do COSO.TRANSCRIPT
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados
Gestão de Risco e Controle Interno
As melhores práticas para Gestão de Risco e Controle Interno com COSO®
Rildo F [email protected]
twitter: @rildosan
skype: rildo.f.santos
http://rildosan.blogspot.com/
(11) 9123-5358
(11) 9962-4260
www.etcnologia.com.br
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 2
Sobre o autor: Rildo F. Santos
Coach e Consultor de Gestão de Negócios, Inovação e Tecnologia para a Gestão 2.0, a Gestão Ágil.
A Gestão Ágil ajuda as empresas a responder mais rápido as demandas de negócio e mudanças. A Gestão 2.0,
abrange Planejamento Estratégico, Gestão por Processos Ágeis, Gestão de Projetos Ágeis, Tecnologia da Informação
(Métodos Ágeis), Inovação e Liderança.
Minha Experiência:
Tenho mais de 10.000 horas de experiência em Gestão de Negócios, Gestão de Inovação, Governança e Engenharia de
Software. Formado em Administração de Empresas, Pós-Graduado em Didática do Ensino Superior e Mestre em Engenharia
de Software pela Universidade Mackenzie.
Fui instrutor de Tecnologia de Orientação a Objetos, UML e Linguagem Java na Sun Microsystems e na IBM.
Conheço Métodos Ágeis (SCRUM, Lead, FDD e XP), Arquitetura de Software, SOA (Arquitetura Orientado a Serviço),
RUP/UP - Processo Unificado, Business Intelligence, Gestão de Risco de TI entre outras tecnologias.
Sou professor de curso de MBA da Fiap e fui professor de pós-graduação da Fasp e IBTA.
Possuo fortes conhecimentos de Gestão de Negócio (Inteligência de Negócio, Gestão por Processo, Inovação, Gestão de
Projetos e GRC - Governance, Risk and Compliance), SOX, Basel II e PCI;
E experiência na implementação de Governança de TI e Gerenciamento de Serviços de TI. Conhecimento dos principais
frameworks e padrões: ITIL, Cobit, ISO 27001 e ISO 15999;
Desempenhei diversos papéis como: Estrategista de Negócio, Gerente de Negócio, Gerente de Projeto, Arquiteto de Software,
Projetista de Software e Analista de Sistema em diversos segmentos: Financeiro, Telecomunicações, Seguro, Saúde,
Comunicação, Segurança Pública, Fazenda, Tecnologia, Varejo, Distribuição, Energia e Petróleo e Gás.
Possuo as certificações: CSM - Certified SCRUM Master, CSPO - Certified SCRUM Product Owner , SUN Java Certified
Instrutor, ITIL Foundation e sou Instrutor Oficial de Cobit Foundation e Cobit Games;
Sou membro do IIBA-International Institute of Business Analysis (Canada)
Onde estou:
Twitter: @rildosan
Blog: http://rildosan.blogspot.com/
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 3
Comentário inicial:
O objetivo principal desta apresentação é prover informações sobre a Gestão de
Risco Corporativo e Controle Interno.
A Gestão de Risco deve ser considerada como parte integrante da estratégia de
organização para que os eventos de riscos não causem desvios ou impactos
sobre os objetivos. Sistema de Controle Interno deve ser utilizado para melhorar a
eficiência operacional e atender requisitos legais.
Também será discutido o COSO® 1 que é um guia de referencia (“framework”) de
melhores práticas de Controle Interno e COSO® 2 ERM que é guia de referencia
(“framework”) de melhores práticas para a Gestão de Risco Corporativo.
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 4
Conteúdo:
1-Introdução:
A importância da Gestão de Risco Corporativo
2-Fundamentos
- Definição de Governança Corporativa
- Estudo de Caso: Implantação da Governança Corporativa
- Definição de Governança de TI
- Estudo de Caso: Implantação da Governança de TI
- Definição de Gestão de Risco
- Definições de Risco
- Novo paradigma da Gestão de Risco
- Definição de Controle Interno
3- Framework Coso - Componentes & Objetivos
3.1 - Visão geral do Framework Coso 1 - Controle Interno
- Introdução
- Objetivos
- Componentes
3.2 - COSO 2 - ERM (Enterprise Risk Management):
- Ambiente Interno
- Fixação de Objetivos
- Identificação de Eventos
- Avaliação de Riscos
- Resposta aos Riscos
- Atividades de Controle
- Informação e Comunicação
- Monitoramento
- Funções e Responsabilidades
- Limitações do Gerenciamento de Riscos Corporativos
Estudo de Caso
Melhores Práticas
4 - Controle Interno:
- Definição
- Prevenção, Detecção e Resposta
- Lista de Controle Interno
- Peso dos Controle Interno
- Características de um Controle eficiente
- Benefícios de uma Estrutura de Controles Internos
Consistente
- Novo Papel da Auditoria Interna
- Exemplo: SOX
- Deficiência de Controle Interno
- Estudo de Caso
- Melhores práticas
Apêndice A: Tecnologia da Informação (TI) e Gestão de
Risco Corporativo (ERM)
Apêndice B: Frameworks, Guias, Normas e
Melhores Práticas para Gestão de Risco:
- Cobit
- ITIL
- MOF
- ISO 20000
- PMBok
- ISO 31000
Estudo de Caso
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 5
A importância da Gestão de Risco Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 6
Introdução
A origem da palavra risco é controvertida. Alguns autores afirmam que ela deriva de “resecare” (cortar),
empregada para descrever geografias agudas como as dos recifes que tinham o poder de afundar navios.
Como a navegação sempre foi uma atividade importante para o desenvolvimento humano, era
aconselhável evitar o “risco” de perder as embarcações e suas cargas. Outra possível origem é indicada
por Peter Bernstein no livro Desafio aos Deuses. Segundo o autor, “risco” vem do italiano “risicare”, que
significa “ousar”. No sentido de incerteza, é derivada do latim “risicu” e “riscu”.
As primeiras técnicas de gestão de risco foram implantadas pelas seguradoras – justamente com as
apólices para navios. No século 20, entre as décadas de 60 e 80, o setor financeiro se dedicou ao
aperfeiçoamento das ferramentas de controle de risco, entusiasmados pela possibilidade de “prever” o
futuro e evitar perdas previsíveis no presente. Em 1994, o JP Morgan lançou o Value at Risk (VaR), cálculo
amplamente utilizado pelas instituições financeiras para medir o risco probabilístico de um portfólio de
aplicações financeiras. É muito mais complexo, porém, dimensionar e avaliar riscos quando a régua não
pode ser simplesmente numérica, como no caso dos bancos.
Em 2002, depois de escândalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox)
têm obrigado as empresas a investir no controle de riscos. A obrigação estende a todas as empresas
listadas na Bolsa de New York, inclusive as brasileiras, são obrigadas pela SOX a informar anualmente a
quais riscos estão expostas e quais são as ferramentas de controle e gerenciamento utilizadas.
O Acordo de Basiléia II, que também é resultante de escândalos financeiros, no Brasil, a resolução 3380
do Bacen, obriga a implementação da Gestão de Risco Operacional a todos os bancos brasileiros, com
objetivo de atender o acordo.
Por obrigação, ou não, o fato é que o gerenciamento de risco se difunde entre as empresas de todo o
mundo.
Baseado no artigo da Revista Amanhã - http://amanha.terra.com.br/edicoes/229/capa04.asp
A importância da Gestão de Risco Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 7
Introdução
Principais motivadores da Gestão de Risco:> Compliance
> Eficiência Operacional
Gestão de Risco
Fraudes Contábeis
e Financeiras
Segurança da Informação
Aumentar Eficiência
OperacionalEstratégia (Parte da estratégia)
Compliance(atender requisitos legais e
regulatórios)
Escândalos
Financeiros
SOX Basel II
1975 – quebra dos bancos Herstatt, da
Alemanha e Franklin National, de Nova
York.
> 1975 - Comitê da Basiléia
1993 – Bank of Credit and Commerce
International faliu em meio a escândalos
de fraude e lavagem de dinheiro
1995 – Barings faliu depois de 233
anos de existência
> 1997 – Comitê Basiléia edita os 25
Princípios – Instituição de Controles
Internos
1995-98 – Askin Capital, Orange County,
Chemical Bank entre outros
> 1998 – Comitê Basiléia edita mais 13
Princípios – Gestão de Riscos
(5 componentes)
> 1998 – Res.Bacen 2.554– Controles
Internos
> 2001 – Novo Acordo da Basiléia
2001 – Enron – 7a. Maior empresa dos
EUA, gigante americana do setor de
energia, pediu concordata em dezembro de
2001, após ter sido alvo de uma série
denúncias de fraudes contábeis e fiscais.
Com uma dívida de US$ 13 bilhões, o
grupo arrastou consigo a Arthur Andersen,
que fazia a sua auditoria.
2001 – WorldCom. A fraude ocorreu
porque a empresa registrou como
investimentos (ativo em seu balanço
patrimonial) o que era despesa
(demonstrativo de resultados), distorcendo
totalmente os dados de suas contas.
Em 30 julho de 2002, George W. Bush
assinou de “O Ato Sarbanes-Oxley”, com
objetivo de garantir a integridade das
informações financeiras (dar proteção aos
investidores)
ISO 17799
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 8
Em 30 julho de 2002, presidente George W. Bush assinou de “O Ato Sarbanes-Oxley”, que muda de
forma radical as leis aplicadas a empresas que tem ações negociadas na bolsa americana.
· Responsabilidade do Presidente (CEO) e do Diretor Financeiro (CFO) na “certificação” das
demonstrações financeiras;
· Transferência para um comitê de auditoria, composto de membros não executivos do Conselho da
Administração, de muitos poderes e responsabilidades que eram anteriormente dos diretores-executivos;
· Maior transparência na divulgação das informações financeiras.
Visão Geral da Lei Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Principais Seções (artigos):
Seção 302 e 906 – Tratam de certificações dos relatórios anuais contendo as demonstrações
financeiras (20-F e 40-F) por parte dos administradores (CEO e CFO), sob penalidades de
responsabilidade civil e criminal.
Seção 404, 407, 408 e 409 – Tratam sobre os aspectos de controle interno, fiscalização
da SEC sobre informação pública, código de ética para diretores financeiros e
publicação de alterações operacionais e/ou financeiras. Determina a emissão de
relatório especial, com parecer, entregue à SEC, que ateste a realização anual de
avaliação e de controles e processos internos que são a base de relatórios
financeiros.
Seção 802 - Penalidades criminais pela alteração de documentos.
Empresas brasileiras com ações ou títulos na Bolsa de New York (NYSE)
Neste milênio os investidores perderam 37 bilhões dólares
Objetivo SOX: Garantir a integridade das informações financeiras
Compliance: SOX
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 9
Fonte: http://www.ans.gov.br/portalv4/site/home/default.asp
A privacidade das informações individuais, entre as quais se incluem aquelas referentes ao estado de saúde de cada beneficiário, é
preocupação presente nos mais variados setores da sociedade e se expressa em variados diplomas legais, desde o Código Penal
Brasileiro, de 1942, até as resoluções do Conselho Federal de Medicina, incluindo diplomas da própria Agência Nacional de Saúde
Suplementar.
Por envolver informações que devem ser mantidas sob sigilo, a implantação da Troca de Informações em Saúde Suplementar -TISS -
pressupõe a observância de normas já existentes, originárias de órgãos competentes para tal fim.
Entre os procedimentos de segurança recomendados pela ANS para a implantação do TISS, e que portanto, devem ser
obrigatoriamente seguidos por quaisquer operadoras e prestadores, estão as normas técnicas estabelecidas na Resolução CFM n.º 1639, de 10 de julho de 2002, e nas resoluções da ANS (RN nº 21, de 12 de dezembro de 2002, e na RDC nº 64, de 10 de abril de 2001 ).
Tais medidas proporcionam as garantias administrativas, técnicas e físicas de proteção ao acesso à informação trocada.
Obriga-se, ainda, para o alcance dos objetivos de segurança e privacidade, a observação, ao menos, dos requisitos do Nível
de Garantia de Segurança 1 (NGS-1), descritos no "Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde" (RES), em conformidade com a norma NBR
ISO/IEC 17799 - Código de Prática para a Gestão da Segurança da Informação.
Para as entidades que utilizarem webservices como padrão de comunicação é recomendado a utilização do Nível de
Garantia de Segurança 1 (NGS-1) e o Nível de Garantia de Segurança 2 (NGS-2).
RESOLUÇÃO NORMATIVA – RN n° 114, DE 26 DE OUTUBRO DE 2005.
Estabelece padrão obrigatório para a troca de informações entre operadoras de plano privado de assistência à saúde e prestadores
de serviços de saúde sobre os eventos de saúde, realizados em beneficiários de plano privado de assistência à saúde e dá outras
providências.
Art. 1° A presente Resolução estabelece padrão obrigatório para troca de informações em saúde suplementar (TISS) entre
operadoras de plano privado de assistência à saúde e prestadores de serviços de saúde sobre os eventos de saúde realizados em
beneficiários de plano privado de assistência à saúde, e mecanismos de proteção à informação em saúde suplementar.
Operadoras de Plano de Saúde
Compliance: Segurança da Informação
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 10
CVM (Comissão de Valores Mobiliários)Instrução 391/2003:
Art. 31. O administrador do fundo deverá divulgar a todos os cotistas e à CVM, qualquer ato ou fato relevante atinente ao fundo.
Parágrafo único. Entre as informações referidas acima, não se incluirão informações sigilosas referentes às companhias emissoras
de títulos e valores mobiliários integrantes da carteira do fundo, obtidas pelo administrador sob compromisso de
confidencialidade ou em razão de suas funções regulares enquanto membro ou participante dos órgãos de administração ou
consultivos da companhia.
Instrução 380/2002:
Art. 3º - As corretoras eletrônicas devem fazer constar em suas páginas na rede mundial de computadores, de forma clara, precisa e
em linguagem acessível ao público investidor:
IV - as características do sistema de segurança mantido pela corretora, incluindo uso de senhas e assinaturas eletrônicas;
Art. 4º - As corretoras eletrônicas devem estabelecer, em suas páginas na rede mundial de computadores, uma seção ou um atalho para a
educação dos investidores, contendo, entre outras informações que sua administração julgue relevantes:
IV - os riscos operacionais do uso da rede mundial de computadores e de sistemas eletrônicos de negociação para a compra e venda
de valores mobiliários;
DA SEGURANÇA DOS SISTEMAS
Art. 7º - Compete às corretoras eletrônicas garantir a segurança e o sigilo de toda a informação sobre seus clientes, suas ordens de
compra ou venda de valores mobiliários e sua carteira de valores mobiliários, bem como sua comunicação com os clientes, devendo
utilizar elevados padrões tecnológicos de segurança de rede.
Art. 8º - As corretoras eletrônicas são responsáveis pela operacionalidade de seus sistemas, ainda que os mesmos sejam mantidos
por terceiros.
DA AUDITORIA PERIÓDICA PELA ENTIDADE AUTO-REGULADORA
Art. 14 - As entidades auto-reguladoras que administrem sistemas eletrônicos de negociação com recebimento de ordens por meio da rede
mundial de computadores devem realizar uma auditoria periódica semestral, em todas as corretoras eletrônicas, com a emissão de
relatório correspondente sobre os sistemas utilizados pelas corretoras eletrônicas, verificando se:
estão sendo regularmente prestadas aos clientes as informações previstas no art. 3º desta Instrução;
Corretoras Eletrônicas
Compliance: Segurança da Informação
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 11
Susep
Circular 249/04 - Implantar controles internos de
suas atividades
- de seus sistemas de informações
- do cumprimento de normas legais
- “Os controles devem ser efetivos e
consistentes com a natureza, complexidade
e risco das operações”
Característica dos controles internos:
• definição de responsabilidades
• segregação de atividades
• meios de identificação de potenciais áreas de
conflito
• avaliação dos fatores que afetam a
realização dos
objetivos
• canais de comunicação com funcionários
• acompanhamento sistemático das atividades
• testes periódicos de segurança de sistemas
de informação
FL. 2 da CIRCULAR SUSEP No 344, de 21 de
junho de 2007.
....
Parágrafo único. Os estudos deverão abranger
todos os produtos
comercializados pelas pessoas mencionadas
no caput deste artigo e serão validados
anualmente pela auditoria interna.
Art. 5o Com base nos estudos citados no art.
4o desta Circular, no prazo constante do art. 9o
desta Circular, deverá ser desenvolvida e
implementada, na forma da legislação vigente,
estrutura de controles internos específicos,
validada pela auditoria interna, para tratar dos
riscos identificados.
Empresas de Seguros
Compliance: Gestão de Risco Operacional
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 12
Acordo de Basiléia II (Resolução 3380 – Bacen)
Bancos Resolução nº 3.380 do Banco Central. A 3380 reflete o acordo de Basiléia 2, que exige de bancos de todo o mundo o
acompanhamento e controle de riscos operacionais e de mercado. A maior parte dos
investimentos voltados aos projetos para atender a resolução irá para TI.
Compliance: Gestão de Risco Operacional
A Resolução 3.380 do Banco Central do Brasil,
publicada em 29/junho/2006, prevê a implantação
de área de Gerenciamento de Risco Operacional
em todas as Instituições Financeiras.
Em seu Art.5º. § único, determina que os serviços
terceirizados, relevantes para o funcionamento da
instituição, também devem ser monitorados, da
mesma forma prevista para os demais processos
da organização.
Serviços Terceirizados relevantes vão desde a
Compensação de Cheques, processamento do
SPB, Data Centers, Redes de Caixas Eletrônicos,
Processadoras de Cartões de Débito e Crédito e
outros até o desenvolvimento de softwares e
utilização de Aplicativos comercializados por
terceiros.
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 13
Acordo de Basiléia II (Resolução 3380 – Bacen)
Bancos Resolução nº 3.380 do Banco Central. A 3380 reflete o acordo de Basiléia 2, que exige de bancos de todo o mundo o
acompanhamento e controle de riscos operacionais e de mercado. A maior parte dos
investimentos voltados aos projetos para atender a resolução irá para TI.
Compliance: Gestão de Risco Operacional
Basiléia II, depois do Risco de Crédito
Risco de Mercado e Risco Operacional
Três Pilares de Basiléia
• Exigência de Patrimônio Líquido MÍNIMO em
função dos Riscos de Crédito, de Mercado e
Operacional
Patrimônio Líquido/Soma dos Ativos Poderados
pelos Riscos >= 8% (Ratio Mc Donough)
• Processo de Supervisão Prudencial (O Banco
deve poder justificar o seu Patrimônio Liquido, sua
Gestão de Riscos).
As autoridades de controle – Banco Central -
devem garantir que o índice de Mc Donough é
respeitado e tomar medidas se ele não o é.
• Disciplina do Mercado (O Banco deve publicar
periodicamente, informações especificas, para
justificar a correlação entre o Patrimônio Liquido e
o seu Perfil de Risco)
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 14
Eficiência Operacional:
- Racionalizar e integrar os processos de trabalho
- Reduzir custos operacionais
- Obter ganhos de produtividade das pessoas
- Gerenciar rotinas de trabalho
Governo Federal
Eficiência Operacional
26/03/2009 - PREGÃO
ELETRÔNICO ECONOMIZA R$3,8
BILHÕES PARA OS COFRES
PÚBLICOS EM 2008
O Governo Federal economizou R$
3,8 bilhões com o pregão eletrônico
em 2008. Esse valor corresponde a
uma redução de 24% entre o valor
de referência (o valor máximo que o
Governo está disposto a pagar na
aquisição de um bem ou na
contratação de um serviço) e o que
efetivamente foi pago pelos órgãos
públicos.
No ano passado essa modalidade
respondeu por R$ 12,2 bilhões
(73,7%) do valor de bens e serviços
comuns licitados e por 33.972
processos de compra (79,4%) dos
procedimentos. O pregão é
destinado à contratação de bens e
serviços comuns - aqueles cuja
especificação é facilmente
reconhecida pelo mercado. Em
2008 o Governo Federal licitou ao
todo R$ 16,6 bilhões de bens e
serviços comuns.
http://www.comprasnet.gov.br/
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 15
Motivação:
> Aumentar a eficiência operacional
> Redução de Custos> Mitigação de riscos
operacionais
> Compliance (requisitos legal
e/ou de regulamentação)
Melhor Governança e Compliance:
- Maior transparência (CVM, SEC, TCU..)
- Aderência aos normativos regulatórios,
leis e etc.
Melhor Gestão sobre os recursos:
- Ganhos de eficiência operacionais
- Redução de risco
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 16
Gestão de Risco
Governança
Compliance
A Integração de Governança Corporativa, Gestão de Risco e Compliance (GRC) é melhor prática para a Gestão de Risco Corporativo
GRC (Governança, Risco e Compliance)
Políticas, Diretrizes e Controle
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados
Governança
Planejamento Estratégico(visão, missão e valores),
Políticas e Diretrizes
Risco ComplianceTomada de Decisão Risco
Tomada de Decisão Risco (Risk tradeoff
decisions)
Compliance com regras de
Governança
Modelo GRC:
Impacto de não atender ao Compliance
Qu
em d
ecid
ee
qu
ais
pro
cess
os
segu
ir
Tole
rân
cia
ao R
isco
Aderência leis, regulamentações, políticas, padrões, contrato, melhores
práticas e frameworks
Gerenciamento de Risco(identificar, analisar
e mitigar risco)
17
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 18
Desafio: Como implantar a Gestão de Risco ?
Mudança Cultura....
Para se obter resultados:
- Trabalhar a expectativa;
- Preparar a mudança (choque do novo);
- Premiar o bom desempenho;
- É necessário recursos, esforços,
comprometimento e dedicação...
101, 102...
Para ter sucesso na implantação:
- Disseminar a cultura do Risco;
- Fazer um bom planejamento;
- Utilizar ferramentas de produtividade;
- Utilizar as melhores práticas;
- Trabalhar a comunicação, motivação
e conscientização;
- Capacitar as pessoas.
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 19
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 20
Governança Corporativa, definição:
Governança
CorporativaLeis
Regulamentos
Normas
Controles
Transparência
Equidade
Prestação de Conta
Compliance2
Ética
Notas: 1 - Fonte: Instituto Brasileiro de Governança Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis
Exigências:
“Você pagaria a mais pelas ações de
quem adota práticas de governança ?
- 76% disseram que sim e destas a
maioria afirmou que pagaria 24% a
mais pelas ações.”
Fonte: McKinsey com empresas da América Latina
Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade1.
Benefícios:
Transparência = Credibilidade
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 21
Governança de Negócio
EspontâneaCompulsória
Governança de Compliance
Gestão de Risco e Controles Internos
N2Basel IISOX N1
Bovespa/CVM
Governança Corporativa
BACENNYSE
Resultado & Desempenho
Planejamento Estratégico (BSC) Agências
Reguladoras
Governança significa o ato de conduzir uma nação, uma empresa, comunidade ou família através de uma liderança
escolhida pelos componentes destas entidades de forma natural ou eletiva.
O objetivo de um conjunto de boas práticas de Governança Corporativa adequada aos interesses dos stakeholders (partes
interessadas) é regulamentar a relação dos administradores com os shareholders (acionistas), sócios, empregados, clientes,
financiadoras, governo e sociedade.
As boas práticas em Governança Corporativa incluem aspectos de publicação de informações simétricas (disclosure)
como parte da prestação de contas inerente ao poder atribuído (accountability), sustentabilidade e equidade de direitos.
No aspecto legal, a Governança Corporativa é um mecanismo que visa garantir aos fornecedores de recursos financeiros,
shareholders, um justo retorno do seu investimento
É formado por conjunto de normas que devem guiar o comportamento dos diretores, administradores e acionistas
controladores, com objetivo de maximizar o valor da empresa e que definem as obrigações e responsabilidades
Fundamentos:
Direcionadores Estratégicos
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 22
Estudo de Caso: Implantação da Governança Corporativa
Foto está publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm
Fonte:
Apresentação: Auditoria Interna da Petrobrás
JOSÉ RICARDO ALMEIDA DA ROSA
Petrbrás - 2004
Fonte:
GESTÃO DE RISCOS E CONTROLES INTERNOS
PEDRO GAUZISKI DE ARAUJO FIGUEREDO
GERÊNCIA GERAL DE CONTROLES INTERNOS
PETROBRAS FONAI, MAIO/2006
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 23
Estudo de Caso: Implantação da Governança Corporativa na Petrobrás
A - Adequá-lo às modificações da Lei das S.A.
B - Buscar uma aproximação com as práticas de
Governança Corporativa estabelecidas pela Bovespa
C - Aperfeiçoar as práticas de governança corporativa
Em busca da Governança. Principais reformas estatutárias em 2002:
Histórico:
A Petrobras é uma empresa de economia mista, que opera nas áreas de exploração, produção,
refino, comercialização e transporte de petróleo e seus derivados no Brasil e no exterior.
Criada em 1953 pelo governo de Getúlio Vargas, é hoje uma das vinte maiores empresas petrolíferas do
mundo. Em 2005, a Petrobras obteve lucro de 23,7 bilhões de reais e é o maior da história da empresa,
além do maior lucro já registrado por uma companhia da América Latina de capital aberto. O valor
equivale a um crescimento de 40% em relação ao ano anterior. O aumento da produção de petróleo,
maior carga processada de óleo pesado nacional, maior utilização da capacidade de refino e aumento de
preços são alguns dos responsáveis pelo resultado recorde. Seus sucessivos lucros são um dos grandes
pilares na manutenção do superávit primário brasileiro.
Em 2006 a Petrobras entrou para o seleto grupo das empresas que têm um valor de mercado em
bolsa superior a 100 bilhões de dólares.
A Petrobras é referência internacional na exploração de petróleo em águas profundas.
Lei 6.404 de 1976 - Lei das
Sociedades por Ações
Sujeição às Normas da CVM
– Comissão de Valores
Mobiliários (art. 235, § 1º);
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 24
Estudo de Caso: Implantação da Governança Corporativa na Petrobrás
Foto está publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm
Modelo Governança Corporativa: Estrutura
Comitês do CA:
• Auditoria
• Meio Ambiente
• Remuneração e Sucessão
Comitês de Gestão:
• Abastecimento
• E&P
• Gás e Energia
• Recursos Humanos
• SMS
• Análise de Organização e
Gestão
• Tecnologia da Informação
• Controles Internos
• Risco
• Tecnologia
• Responsabilidade Social
e Ambiental
Definições estratégicas e
supervisão
Execução da estratégia e
desenvolvimento das operações
Comitê de Negócios
Relatores
Conselho Fiscal
Conselho de Administração
Comitêsdo CA
Comitêsde Gestão
Diretoria Executiva
Presidente
Diretores
Auditorias
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 25
Estudo de Caso: Implantação da Governança Corporativa na Petrobras
Estatuto SocialRegulamenta o objeto, a administração e o funcionamento da Petrobras, bem como o relacionamento entre os acionistas.
Diretrizes de GovernançaEstabelece diretrizes sobre:- Princípios de atuação e funcionamento do CA- Consulta aos preferencialistas em questões relevantes
Código de Boas PráticasTrata de políticas corporativas envolvendo:- Divulgação de informações sobre ato ou fato relevante- Negociação com valores mobiliários- Indicação para cargos de administração de subsidiárias,
coligadas e controladas- Conduta de administradores e funcionários da administração
superior- Relacionamento com investidores
Regimentos InternosRegulamentam as atribuições e a operacionalização das reuniões dos órgãos:- Conselho de Administração- Comitês do Conselho de Administração- Comitê de Negócios- Comitês de Gestão
Código de Ética(Código de Conduta)
Base para a utilização dos mecanismos da boa governançacorporativa. Considera um Código de Conduta para empregadose todos que mantêm relacionamento com a Companhia.
Modelo Governança Corporativa: Instrumentos
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 26
Estudo de Caso: Implantação da Governança Corporativa na Petrobrás
Modelo Governança Corporativa: Partes interessadas
ACIONISTAS
FORNECEDORES
GOVERNO
CLIENTES
FORÇA DE TRABALHO
SOCIEDADE
INVESTIDORES
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 27
Estudo de Caso: Implantação da Governança Corporativa na Petrobrás
Modelo Governança Corporativa: Lei Sarbanes-Oxley
Formalização dos Controles e Procedimentos de Divulgação de Informação,
documento interno que inclui todos os controles criados para garantir a exatidão das
informações divulgadas nos relatórios e fatos relevantes publicados.
Criação de mecanismo interno visando o envolvimento e responsabilização de todos
os níveis hierárquicos na prestação de informações - Matriz de responsabilidade.
Certificação das informações divulgadas ao mercado pelo Presidente e pelo Diretor
Financeiro (Form 20-F: exercícios fiscais de 2002 e 2003)
Divulgação no Form 20-F sobre a existência de dois especialistas financeiros no
Conselho de Administração.
A Petrobras possui American Depositary Receipts, - ADR‟s nível 3, títulos
negociados na Bolsa de Nova Iorque (NYSE). A Companhia está, portanto, se
adaptando às inúmeras exigências da SOX.
A Petrobras desde de 2002 fez “lição de casa” para atender à SOX e vem
intensificando esforços na análise de seus impactos e na promoção dos ajustes no
modelo de governança da empresa. Todas as exigências em vigor foram
cumpridas.
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 28
Segundo IT Governance Institute (www.itgi.org), a definição da Governança de TI:
“É uma estrutura de relacionamentos e processos para dirigir e controlar a organização para atingir os objetivos corporativos, adicionando valor, ao mesmo tempo que equilibra os riscos em relação ao retorno da TI e seus processos“
Governança
CorporativaLeis
Regulamentos
Normas
Controles
Transparência
Equidade
Prestação de Conta
Compliance
Ética
Exigências
Governança
de TI
Cobit
ITIL
MOF
PMBok
Guias
COBIT - Control Objectives for Information and Related Technology – www.isaca.org
Governança de TI
Guia: COSO
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 29
Segurança
ISO 27001
OutSourcing
e-SCM/SAS70
Fábrica SW
CMMi/MPS.br
Projetos
PMI/PMBok
COBIT
Serviços de TI
ITIL/ISO 20k
Governança de TI
Melhores Práticas,Padrões, Normas e Área de Conhecimento
Governança de Negócio
Direcionadores Estratégicos
EspontâneaCompulsória
Governança de Compliance
Gestão de Risco e Controles Internos
N2Basel IISOX N1
Bovespa/CVM
Governança Corporativa
BACENNYSE
Resultado & Desempenho
Planejamento Estratégico (BSC) Agências
Reguladoras
Fundamentos:
Direcionadores Estratégicos
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 30
Objetivos:
- Simplificar/Democratizar as decisões de TI;
- Simplificar as operações e/ou serviços de TI;
- Melhorar o nível de qualidade dos serviços de TI;
- Estabelecer e manter relacionamento com clientes e fornecedores;
- Maximizar uso de recursos;
- Otimizar custos;
- Gestão de Riscos (Identificar, Analisar e Responder);
- Estabelecer e manter a conformidade com as leis e regulamentos;
- Promover a integração entre o Negócio e a TI;
- Gerar valor para empresa.
Governança de TI:
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 31
Quem já implantou a Governança de TI
Estudo de Casowww.bovespa.com.br
A introdução de mecanismos automatizados na negociação da BOVESPA remonta aos anos 70, quando os boletos
foram substituídos por cartões perfurados e os negócios passaram a ser registrados de forma eletrônica.
Desde então, a BOVESPA vem acompanhando as principais inovações tecnológicas, investindo na melhoria
contínua de sua infraestrutura a fim de garantir alta performance e um ambiente altamente seguro e confiável.
Home Broker
MEGA BOLSA
Governança de TI
InfraEstrutura
Governança de TI
Desde 2004, a BOVESPA/CBLC adota um modelo de Governança de TI: gestão planejada de recursos humanos e materiais,
que propiciam o desenvolvimento de infraestruturas, sistemas e processos alinhados às melhores práticas internacionais e
às necessidades específicas dos negócios.
Desde sua implantação na BOVESPA/CBLC, vários avanços foram feitos, com benefícios para todos os participantes do
mercado.
A Governança de TI permite:
medir e auditar a execução e a qualidade dos serviços;
viabilizar o acompanhamento de contratos internos e externos; e
definir condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade.
Vantagens da Governança de TI:
Alinhamento da estratégia da área de TI com as das áreas de negócio;
Maior capacidade e agilidade para novos modelos de negócios ou ajustes nos modelos atuais;
Manutenção dos riscos do negócio sob controle;
Medição e melhoria contínua da performance de TI;
Maior transparência das atividades de TI.
Esta informações estão publicadas no site da Bovespa (www.bovespa.com.br) que proprietária legitima destas informações
Estudo de Caso. Governança de TI:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 32
Gestão de Riscos
Não Identificação
do Risco
Ocorrência
do evento
Materialização
do Risco
Exposição
ao Risco
Identificação
do Risco
Análise/Avaliação
do Risco
Resposta
ao Risco
Risco
Mitigado
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 33
Definição de Risco (segundo COSO 2):
A possibilidade de que um evento ocorra e afete desfavoravelmente a
realização dos objetivos.
Evento:
Incidente ou ocorrência, a partir de fontes internas ou externas a um
entidade (uma organização ou empresa), capaz de afetar a realização dos
objetivos.
Oportunidade:
A possibilidade que um evento ocorrerá e afetará de forma favorável
realização dos objetivos
Outras definições:
Definição de Risco (rfs):
Risco é qualquer evento que pode afetar a habilidade de empresa a
alcançar seus objetivos
Abrangendo (agentes de riscos):
Perigo: Coisas ruins que acontecem
Incerteza: Coisas que não ocorrem como esperado
Oportunidade: Coisas boas que acontecem
Definição (segundo ISO/IEC Guide 73):
O risco pode ser definido como a combinação da probabilidade de um
acontecimento e das suas consequências
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 34
Evento: Riscos e Oportunidades:
Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto
negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente.
Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar
oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar
favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da
organização canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos,
formulando planos que visam ao aproveitamento destes.
Infraestrutura:
Disponibilidade de bens
Capacidade dos bens
Acesso ao capital
Complexidade
Pessoal:
Capacidade dos
empregados
Atividade fraudulenta
Saúde e segurança
Processo:
Capacidade
Design
Execução
Dependências /
fornecedores
Tecnologia:
Integridade de dados
Disponibilidade de
dados
Disponibilidade de
sistemas
Seleção de sistemas
Desenvolvimento
Alocação
Manutenção
Ev
en
tos In
tern
os
Econômicos:
Disponibilidade de
capital
Emissões de crédito,
inadimplência
Concentração
Liquidez
Mercados financeiros
Desemprego
Concorrência
Fusões / aquisições
Meio Ambiente:
Emissões e dejetos
Energia
Desastres naturais
Desenvolvimento
sustentável
Políticos:
Mudanças de governo
Legislação
Política pública
Regulamentos
Sociais:
Características
demográficas
Comportamento do
consumidor
Privacidade
Terrorismo
Tecnológicos:
Interrupções
Comércio eletrônico
Dados externos
Tecnologias emergentes
Even
tos E
xte
rno
s
Categorias dos Eventos:
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 35
Tipos de Riscos:
Risco de mercado:
O Risco de Mercado é de fácil entendimento pois está relacionado com a variação do valor
dos ativos (bens, serviços, índices, commodities). É o risco de ganhar ou perder quantia
financeiros pela simples mudança dos preços dos ativos no mercado financeiro. Por exemplo:
Considere que uma pessoa (um investidor) que comprou 1000 ações preferenciais da
Petrobras ao preço unitário de R$ 75,00 desembolsando R$ 75.000,00.
Quanto esta carteira valerá ao final do dia de amanhã, decorrente das alterações no valor
desta ação ? Como o valor dos ativos negociados é determinado pelo mercado, a incerteza
em relação ao valor futuro do ativo (cuja oscilação pode representar perdas ou ganhos) é o
que caracteriza então o Risco de Mercado .
Risco de crédito:
Risco de crédito se refere a uma possível incapacidade da instituição financeira, responsável
pela emissão de ativos financeiros usados em investimentos, de honrar seus compromissos
financeiros assumidos com os investidores. Essa situação pode ser causada por problemas
financeiros oriundos de uma má administração ou gestão, dificuldades com planos
econômicos, etc.
Risco Legal/Compliance
Fraquezas à mostra1
Ao cumprir a seção 404 da Lei Sarbanes-Oxley, Telemar e Copel revelam fragilidades nos
controles de seus balanços.Nota:1 Revista Capital Aberto edição 48
Risco de Subscrição:
Este risco representa a possibilidade do montante dos sinistros a serem pagos pela
sociedade seguradora em um período futuro ser maior que o montante de prêmios a ser
recebido
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 36
Definição de Risco Operacional (segundo Jorion, 1998):
São perdas potenciais resultantes de sistemas inadequados, má administração, controles defeituosos
ou falha humana, a qual inclui o risco de execução, correspondente a situações em que as operações
não são executadas, resultando em atrasos ou penalidades; o risco de execução relaciona-se a
qualquer problema nas operações de back-office, relativas ao registro de transações e reconciliações
de operações.
Também incluem fraude e a necessidade de proteger os sistemas contra acesso não autorizado e
violações.
Exemplos: Falhas de sistemas, prejuízos decorrente de desastre naturais ou acidentes
Definição de Risco Operacional (segundo Chouhy, 1998):
É o risco de eventos externos, ou deficiências de controles internos e sistema de informação,
resultarem em perdas, estando associado ao erro humanos, falhas em sistemas e procedimentos e
controles inadequados.
Risco Operacional (RO):
Risco Operacional é o risco associado à operação de uma empresa.
Exemplo de Risco Operacional (classes ou sub-tipo):
- Risco de reputação;
- Risco de Liquidação;
- Risco Humano;
- Risco de Controle Interno Inadequado ou falto de controle;
- Risco Tecnologia Inadequada ou Insuficiente;
- Risco Sistêmico;
- Risco de Imagem;
- Risco de Fraude.
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 37
Risco Operacional, um exemplo:
Corretor é acusado de rombo de R$ 13,16 bi em banco francês, na maior fraude da história
PARIS, 24 Jan 2008 (AFP) - O Société Générale, um dos três maiores bancos franceses, revelou nesta quinta-feira ter
perdido € 7 bilhões (R$ 18,43 bilhões). Desse total, cerca de € 5 bilhões (R$ 13,16 bilhões) foram perdidos em
operações ilícitas que teriam sido feitas por um só de seus corretores. É a maior fraude da história financeira mundial.
Em plena tormenta nas Bolsas mundiais, o banco anunciou esta fraude interna de € 4,9 bilhões, aos quais somam-se € 2
bilhões de desvalorizações ligadas à crise dos "subprimes".
O funcionário acusado de ser responsável pela fraude, que operava em Paris e cuja identidade não foi revelada, foi
demitido.
Após terem sido suspensas a pedido do banco, as ações do Société Générale voltaram a ser negociadas e fecharam em
baixa de 4,1% nesta quinta-feira para € 75,81.
De acordo com as explicações do banco, a fraude foi descoberta no dia 19 de janeiro: um corretor, operando em uma
subdivisão de suas atividades de mercado, se aproveitou de "seu conhecimento profundo dos procedimentos de controle
para dissimular suas posições graças a uma montagem elaborada de transações fictícias".
O Société Générale liquidou depois suas posições, mas, levando-se em conta seu tamanho e "as condições do mercado
particularmente desfavoráveis", essa fraude teve um impacto negativo de € 4,9 bilhões sobre seu resultado líquido.
Durante uma entrevista coletiva à imprensa convocada com urgência, o presidente ao Société Générale, Daniel Bouton,
tentou se explicar sobre essa fraude gigantesca e pediu desculpas aos acionistas.
"Apenas um homem construiu uma empresa de fachada no interior do grupo, utilizando os instrumentos do Société
Générale e teve a inteligência de escapar de todos os procedimentos de controle", declarou.
Ele indicou que o corretor agiu ao longo de todo o ano de 2007 e que uma queixa foi apresentada contra ele.
O advogado de dezenas de acionistas do banco afirmou ter apresentado uma queixa por "estelionato, abuso de
confiança, falsidade ideológica, cumplicidade e receptação".
O Banco de França anunciou logo em seguida que uma investigação será iniciada para examinar as condições nas
quais essa fraude ocorreu.
Fundamentos:
Fonte: UOL/(AFP) PARIS, 24 Jan 2008:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 38
Risco é determinado pela
intencionalidade
Risco é constante
Oportunidades são perseguidas
impulsivamente
Oportunidades são quantificadas em
termos de risco e retorno
Somente a Auditoria é responsável Alta gestão (CEO) são os principais
responsáveis
Controles precisam focalizar riscos
financeiros e resultados somente
Controles precisam focalizar riscos do
negócio de todo tipo
Foco nas ações corretivas Foco nas ações preventivas
As pessoas são as fontes primárias
de risco
Os processos são a fonte primárias de
riscos.
Novo paradigma na Gestão de Riscos:
DE PARA
Velho Paradigma Novo Paradigma
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 39
DE PARA
Monitoramento de Risco é função
dos auditores internos
Monitoramento de risco é atividade
do CEO
Risco é um fator negativo a ser
controlado Risco é uma oportunidade
Os risco são gerenciados
separadamente
O gerenciamento de risco é integrado
e corporativo
Responsabilidade pelo gestão de
risco é delegada a níveis inferioresGestão de risco é responsabilidade de
um gerente de linha sênior
Mensuração do risco é subjetiva Risco é quantificado
Funções de gerenciamento de riscos
são desestruturadas e divergentes
Gestão de riscos é construído
dentro do sistema de gerenciamento
corporativo
Novo paradigma na Gestão de Riscos:
Velho Paradigma Novo Paradigma
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 40
Definição de Controle Interno (Segundo o COSO 2):
O Controle Interno é parte integrante da Gestão de Risco Corporativo
(ERM).
Segundo o COSO a definição de controle interno:
“Controle interno é um processo, desenvolvido para garantir, com
razoável certeza, que sejam atingidos os objetivos da empresa”, nas
seguinte categorias:
- Eficácia e eficiência de operações;
- Confiabilidade nos registros contábeis e financeiros e
- Conformidade com as leis e regulamentos.
Outras definições:
Definição (P.N. Migliavacca):
Controle Interno define-se como o planejamento organizacional e
todos os métodos e procedimentos adotados dentro de uma
empresa, a fim de salvaguardar seus ativos, verificar a adequação e
o suporte dos dados contábeis, promover a eficiência operacional e
encorajar a aderência às políticas definidas pela direção.
Definição (rfs):
Políticas, procedimentos, atividades e mecanismos desenvolvidos
para assegurar que a missão e os objetivos de negócios sejam
alcançados; proteger os ativos; e garantir a eficiência operacional.
O controle interno deve ter o papel preventivo para que os eventos
indesejáveis sejam prevenidos, detectados e corrigidos.
Fundamentos:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 41
Exercício:
Um fabricante e importador de calçados, estabeleceu a missão de tornar-se líder na
indústria de calçados femininos de alta qualidade. Para realizar esse objetivo, começou a
fabricar produtos que aliavam estilo, conforto e durabilidade, usando técnicas mais
avançadas e materiais de fornecedores estrangeiros rigorosamente selecionados.
Empresa analisou o ambiente operacional externo e identificou fatores sociais e seus
respectivos eventos, como a mudança da faixa etária de seu principal mercado consumidor
e as tendências para roupas de trabalho. Os eventos originados por fatores econômicos
incluíam flutuações de moeda estrangeira e oscilações nas taxas de juros. Os fatores
tecnológicos internos indicavam um sistema obsoleto de gestão de distribuição e, os
fatores internos de pessoal, de treinamento inadequado em marketing.
Além de constatados no âmbito da organização, os eventos também devem ser
identificados no nível da atividade. Esse procedimento contribui para orientar o enfoque do
gerenciamento de riscos às principais unidades de negócios ou funções, como vendas,
produção, marketing, tecnologia da informação, distribuição, pesquisa e desenvolvimento.
Quais são as categorias de eventos (risco) que podemos encontrar no texto:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 42
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 43
4- Visão geral do Framework Coso 1 - Controle Interno
- Componentes & Objetivos
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 44
O processo regulatório referente a controle internos tem um marco importante nos Estados Unidos por
ocasião da lei aprovada pelo Congresso Americano, em dezembro de 1987, chamada de Foreign
Corrupt Practices Act (FCPA). Essa lei restringe-se a sociedades anônimas por ações.
As empresas sob FCPA, são obrigadas a criar e implementar e manter sistemas de controle que
ofereçam garantias de que as transações serão registradas de conformidade com os princípios
contábeis.
Os auditores independentes através do AICPA, em SAS (Declaração Padrão de Auditoria) 55, pregam
que a administração deve estabelecer uma estrutura de controle interna composta por 3 elementos:
Ambiente de controle; Sistema Contábil e Procedimento de Controle.
Um estudo neste sentido foi feito pela Treadway Commission. A recomendação do Treadway
Commission, no sentido de desenvolver-se uma definição comum de controle interno com diretrizes
processuais, criou-se o COSO, Comitê das Organizações Patrocinadoras.
Introdução:
O modelo apresentado pelo COSO em 1992 e atualizado em 1994
(Internal Control – Integrated Framework), conhecido como COSO 1,
definiu o controle interno e elaborou critérios para a avaliação de
sistemas.
O COSO 1 responsabiliza pelo processo de Controle Interno o
Conselho Diretor (Board), a Administração (Directors) e os funcionários
da entidade.
O COSO 1, o framework (conjunto de melhores práticas de
controles internos corporativos). Foi largamente adotado para
atender os requisitos da SOX.
COSO 1 – Framework Integrado de Controle Interno
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 45
- Eficácia e eficiência de operações;
- confiabilidade dos relatórios financeiros
- cumprimento das leis e regulamentos pertinentes.
O COSO 1 sugere também que a avaliação do
processo de controle interno deva ser pontual ao longo
do tempo (exemplo: semestral, anual...).
O modelo define ainda que um sistema de controle
interno deve ter 5 componentes relacionados:
1 – Ambiente de controle (com foco na estrutura
organizacional e as relações com o ambiente externo);
2 – Avaliação de risco;
3 – Atividade de controle (políticas e procedimentos);
4 – informações e comunicações;
5 – Monitoramento.
Ele estabelece o processo como garantidor para a realização de objetivos das seguintes
categorias:
Objetivos do COSO 1
COSO 1 – Framework Integrado de Controle Interno
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 46
COSO 1 – Componentes:
Ambiente de Controle:
É a base para todos os demais componentes. Diz respeito a fatores
como ética, integridade, formas de conduta, políticas de recursos
humanos, estrutura da organização, forma de atuação e atenção do
Conselho de Administração e da alta administração quanto à cultura de
controle, atribuição adequada de autoridade e responsabilidade e
alocação de recursos
Avaliação de Risco:
Consiste da identificação e análise de risco (interno e externo) que são
significantes ao alcance dos objetivos da empresa. Esta avaliação deve
levar em consideração a severidade do risco, a freqüência com que
estes ocorrem e seu impacto. Definição de como a empresa
administrará tais riscos.
Atividade de Controle:
São as políticas e procedimentos que garantem que os planos e
diretrizes indicados pela administração são atingidos e ocorrem por
toda a empresa, em todos os níveis, incluindo todas as funções,
inclusive a aspecto de segurança física e lógica.
COSO 1 – Framework Integrado de Controle Interno
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 47
Informação e Comunicação:
Os sistemas de informação produzem relatórios contendo informações
operacionais, financeiras e de compliance (conformidade) que tornam
possível a condução e controle do negócio.
Tratam de informações geradas tanto interna com externamente e que
serão publicadas internamente e/ou externamente.
Os sistemas de informação devem permitir o fluxo de informações por
toda a organização, dos níveis hierárquicos inferiores para os
superiores e vice-versa e com órgãos externos.
Monitoramento:
É monitoramento continuo sob a realização das operações, atividades
regulares de gerenciamento e supervisão de outras atividades
decorrentes de execução de tarefas pelas pessoas. As deficiências
encontradas ao longo do monitoramento devem ser comunicadas ao
gerente responsável e quando necessário ser comunicadas a alta
administração.
COSO 1 – Componentes:
COSO 1 – Framework Integrado de Controle Interno
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 48
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 49
Em 2001, o COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management
Framework), conhecida como COSO 2.
Introdução:
COSO 2, o framework (conjunto de melhores práticas de
gerenciamento de risco corporativos). Foi largamente
adotado para atender os requisitos do Basel 2.
O COSO 2, é um estudo complementar ao framework do „COSO‟ chamado Gerenciamento de Riscos
Corporativo (ERM - Enterprise Risk Management), que representa, um próximo passo para aquelas
empresas que estão preocupadas em, além de atender às demandas regulatórias, preservar a geração
de valor de suas empresas.
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 50
A premissa inerente a gestão de riscos corporativos é que toda organização
existe para gerar valor às partes interessadas. Todas as organizações
enfrentam incertezas, e o desafio de seus administradores é determinar até
que ponto aceitar essa incerteza, assim como definir como essa incerteza
pode interferir no esforço para gerar valor às partes interessadas. Incertezas
representam riscos e oportunidades, com potencial para destruir ou agregar
valor.
A gestão de riscos corporativos possibilita aos administradores tratar com
eficácia as incertezas, bem como os riscos e as oportunidades a elas
associadas, a fim de melhorar a capacidade de gerar valor.
O valor é maximizado quando a organização estabelece estratégias e
objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de
retorno de investimentos e os riscos a elas associados, e para explorar os
seus recursos com eficácia e eficiência na busca dos objetivos da
organização.
A ERM (Enterprise Risk Management) Gestão de Risco Corporativos é um processo
conduzido em uma organização pelo Conselho de Administração(CA), diretoria e demais
empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em
toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de
modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia
razoável do cumprimento dos seus objetivos.
Componentes
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 51
O gerenciamento de riscos corporativos tem por finalidade:
Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o apetite a risco da
organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo
mecanismos para gerenciar esses riscos.
Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos possibilita o
rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir,
compartilhar e aceitar os riscos.
Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor capacidade para
identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou
prejuízos associados.
Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização enfrenta uma
gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos
possibilita uma resposta eficaz a impactos inter-relacionados e, também,respostas integradas aos
diversos riscos.
Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a organização
posiciona-se para identificar e aproveitar as oportunidades de forma proativa.
Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possibilita à
administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a
alocação desse capital.
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 52
Os objetivos:
Essa estrutura estabelece quatro categorias
de objetivos para a organização:
Estratégicos – referem-se às metas no nível
mais elevado. Alinham-se e fornecem apoio à
missão.
Operações – têm como meta a utilização
eficaz e eficiente dos recursos.
Comunicação – relacionados à confiabilidade
dos relatórios.
Conformidade – fundamentam-se no
cumprimento das leis e dos regulamentos
pertinentes.
Níveis de Organização:
ERM considera atividades em
todos os níveis da organização:
- Entidade
- Divisão ou Subsidiária
- Unidade de Negócios
- Processo
COSO 2: Os Objetivos & Níveis de Organização:
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 53
- Ambiente Interno: ambiente no qual a empresa opera
- Estabelecimento de Objetivos: objetivos alinhados à
missão
- Identificação de Evento: eventos que possam afetar
os objetivos
- Avaliação de Risco: como a empresa avalia seus
riscos
- Resposta ao Risco: alinhar os riscos com os
objetivos
- Atividades de Controle: políticas e procedimentos
para assegurar que os objetivos sejam executados
- Informação e Comunicação: ocorre de maneira
ampla, fluindo vertical e horizontalmente
- Monitoramento: é realizado mediante atividades
gerenciais contínuas
COSO 2: Os componentes chaves
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 54
Existe um relacionamento direto entre os objetivos, que
uma organização empenha-se em alcançar, e os
componentes do gerenciamento de riscos corporativos, que
representam aquilo que é necessário para o seu alcance.
Esse relacionamento é apresentado em uma matriz
tridimensional em forma de cubo.
As quatro categorias de objetivos (estratégicos,
operacionais, de comunicação e conformidade) estão
representadas nas colunas verticais.
Os oito componentes nas linhas horizontais
e as unidades de uma organização na terceira dimensão.
Essa representação ilustra a capacidade de manter o
enfoque na totalidade do gerenciamento de riscos de uma
organização, ou na categoria de objetivos, componentes,
unidade da organização ou qualquer um dos subconjuntos.
Cubo Coso
O COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management Framework)
conhecida como COSO 2.
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 55
Componentes do Gerenciamento de Riscos Corporativos
O gerenciamento de riscos corporativos é constituído de 8 componentes inter-
relacionados, pela qual a administração gerência a organização, e estão
integrados com o processo de gestão. Esses componentes são:
Ambiente Interno – o ambiente interno compreende o tom de uma organização e
fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal,
inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os
valores éticos, além do ambiente em que estes estão.
Fixação de Objetivos – os objetivos devem existir antes que a administração possa
identificar os eventos em potencial que poderão afetar a sua realização. O
gerenciamento de riscos corporativos assegura que a administração disponha de um
processo implementado para estabelecer os objetivos que propiciem suporte e estejam
alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos.
Identificação de Eventos – os eventos internos e externos que influenciam o
cumprimento dos objetivos de uma organização devem ser identificados e classificados
entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos
de estabelecimento de estratégias da administração ou de seus objetivos.
Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e
o impacto como base para determinar o modo pelo qual deverão ser administrados.
Esses riscos são avaliados quanto à sua condição de inerentes e residuais.
Fonte: www.coso.org
Componentes
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 56
Componentes do Gerenciamento de Riscos Corporativos (continuação)
Resposta a Risco – a administração escolhe as respostas aos riscos - evitando,
aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para
alinhar os riscos com a tolerância e com o apetite a risco.
Atividades de Controle – políticas e procedimentos são estabelecidos e
implementados para assegurar que as respostas aos riscos sejam executadas com
eficácia.
Informações e Comunicações – as informações relevantes são identificadas,
colhidas e comunicadas de forma e no prazo que permitam que cumpram suas
responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo,
fluindo em todos níveis da organização.
Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são
feitas as modificações necessárias. O monitoramento é realizado através de
atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.
Componentes
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 57
A abrangência da Gestão de Risco Corporativo:
Segundo o COSO 2, o Controle Interno é parte integrante do
Gerenciamento de Riscos Corporativos.
A estrutura do gerenciamento de riscos corporativos abrange o
controle interno, originando dessa forma uma conceituação e uma
ferramenta de gestão mais eficiente. O controle interno é definido e
descrito sob o título “Controle Interno – Estrutura Integrada”.
Em razão do fato da estrutura ter resistido ao tempo e ser base
das normas, dos regulamentos e das leis existentes, o documento
permanece vigente como fonte de definição e marco para as
estruturas de controles internos. Enquanto que apenas algumas
porções do texto de “Controle Interno – Estrutura Integrada” estão
sendo reproduzidas na presente estrutura, a sua totalidade da
mesma está incorporada como referência.
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 58
Limitações:
O gerenciamento de riscos corporativos pode oferecer
importantes benefícios para a empresa, mas ele está sujeito a
limitações.
As limitações originam-se do fato de que o julgamento
humano, no processo decisório, pode ser falho, as decisões
de respostas a risco e o estabelecimento dos controles
necessitam levar em conta os custos e benefícios relativos.
Podem ocorrer falhas causadas por erro ou
engano humano, os controles podem ser anulados
por conluio entre duas ou mais pessoas, e a
administração tem o poder de recusar-se a aceitar
as decisões de gestão de riscos.
Essas limitações impedem que o Conselho de Administração
e a diretoria executiva tenham absoluta garantia da realização
dos objetivos da organização.
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 59
Funções e Responsabilidades:
Todos são responsáveis:
Para que o Gerenciamento de Risco Corporativo tenha resultados eficazes, todos os colaboradores de uma
empresa devem ter consciência da importância da gestão de risco e assumir uma parcela de
responsabilidade no gerenciamento.
O Principal responsável:
O presidente-executivo é o principal responsável e deve assumir a responsabilidade da iniciativa.
Cabe aos outros diretores executivos apoiar a filosofia de administração de riscos da empresa, incentivar a
observação a exposição ao risco e administrar os riscos dentro de suas esferas de responsabilidade,
conforme as tolerâncias a risco.
Responsáveis pelo suporte:
Geralmente, cabe ao diretor de riscos, CRO, diretor-financeiro, auditor interno e outros,
responsabilidades fundamentais de suporte.
Os outros membros da organização são responsáveis pela execução do gerenciamento de riscos em
cumprimento das diretrizes e dos protocolos estabelecidos.
O Supervisor:
O Conselho de Administração executa importante atividade de supervisão do gerenciamento de riscos da
organização, estando ciente e de acordo com o grau de exposição da empresa.
Os participantes:
Os clientes, revendedores, parceiros de negócios ou comerciais, auditores externos, agentes
normativos e analistas financeiros freqüentemente fornecem informações úteis para a condução do
gerenciamento de riscos,porém não são responsáveis pela sua eficácia e nem fazem parte do
gerenciamento de riscos da empresa.
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 60
Resumindo:O Controle Interno é parte integrante da Gestão de Risco Corporativo
(ERM).
Segundo o COSO a definição de controle interno: “Controle interno é um processo, desenvolvido
para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa”, nas seguinte
categorias:
- Eficácia e eficiência de operações;
- Confiabilidade nos registros contábeis e financeiros e
- Conformidade com as leis e regulamentos.
Controle
Interno
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 61
Identificação
Avaliação/Análise
Riscos
Contramedidas(Countermeasures) Resposta ao Risco
Monitoramento
Comunicação
Valor dos Ativos
(Assets)
Ameaças
(Threats)
Vulnerabilidades
(Vulnerabilities)
Gestão de Risco é um processo sistemático que tem como objetivo identificação,
avaliação / analise, resposta (ação), comunicação e monitoramento de riscos.
COSO 2 – Gerenciamento de Riscos Corporativo
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 62
A implantação do Escritório de Gestão de Risco tem como
objetivo ajudar e facilitar o gerenciamento de risco
corporativo.
CRO (Chefe do Escritório de Risco) é uma nova função que
foi criado para atender a demanda por Gestão de Risco e
Compliance, como as leis e regulamentações, o Acordo de
Basiléia, Sarbanes-Oxley e etc
Uma das prioridades do CRO é assegurar-se de que a
organização esteja completamente em conformidade com os
regulamentos e leis.
Gestor de Risco (CRO – Chief Risk Officer).
Risk Officer:
The Chief Risk Officer (CRO) or
Chief Risk Management Officer (CRMO)
Melhores Práticas
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 63
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 64
Controle Interno
O Que os Executivos Deveriam Questionar?
• Quais as melhores práticas de controle e gestão de riscos? Existem sistemas de controle e gestão que indiquem eventuais falhas de controle (exemplos: fraudes, irregularidades, má-conduta...)?
• Nossos processos e controles para divulgação nos asseguram que todas as informações relevantes foram identificadas, quantificadas e reportadas?
• Nossa estrutura de Governança Corporativa está compatível às necessidades?
– Código de Ética (Código de Conduta);
– Conselho de Administração;
– Comitê de Auditoria;
– Comitê Fiscal; e
– Parâmetros de razoabilidade para bônus e lucros.
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 65
Definição de Controle Interno (Segundo o COSO 2):
O Controle Interno é parte integrante da Gestão de Risco Corporativo
(ERM).
Segundo o COSO a definição de controle interno:
“Controle interno é um processo, desenvolvido para garantir, com
razoável certeza, que sejam atingidos os objetivos da empresa”, nas
seguinte categorias:
- Eficácia e eficiência de operações;
- Confiabilidade nos registros contábeis e financeiros e
- Conformidade com as leis e regulamentos.
Outras definições:
Definição (P.N. Migliavacca):
Controle Interno define-se como o planejamento organizacional e todos os
métodos e procedimentos adotados dentro de uma empresa, a fim de
salvaguardar seus ativos, verificar a adequação e o suporte dos dados
contábeis, promover a eficiência operacional e encorajar a aderência às
políticas definidas pela direção.
Definição (rfs):
Políticas, procedimentos, atividades e mecanismos desenvolvidos para
assegurar que a missão e os objetivos de negócios sejam alcançados;
proteger os ativos; e garantir a eficiência operacional. O controle interno deve
ter o papel preventivo para que os eventos indesejáveis sejam prevenidos,
detectados e corrigidos.
Controle Interno
Revisão:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 66
Controles: PREVENTIVO - Previnem o acontecimento de erros, fraudes, má-conduta ou irregularidades e
minimizam os riscos na fonte. (Pró-ativo). (Maior eficácia)
DETECTIVO - Detectam erros, fraudes, má-conduta e irregularidades quando eles ocorrem, geralmente são difíceis de definir ou prever. (Reativo).
RESPOSTA - Controles elaborados para tomar ação corretiva e remediar os danos causados por erros, fraudes, má-conduta e irregularidades. (Reativo)
Tipos de Controles: AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de
julgamentos pessoais. Para garantir sua consistência, precisão e tempestividade, é precisoter um sistema seguro e confiável. (Maior eficácia)
MANUAL - Controles manuais executados por pessoas.
Periodicidade: Deve ser atrelado a ocorrência do evento, a cada evento, diário, semanal, quinzenal, mensal,
trimestral, semestral, anual. A periodicidade do controle deve ser compatível com a freqüência do incidência dos eventos de risco cobertos pelo controle).
Prevenção, Detecção e Resposta
Uma abordagem efetiva, direcionada à fraude em negócios e gerenciamento de
risco e má-conduta, é uma abordagem que é focada em três objetivos: Prevenção,
Detecção e Reposta
Controle Interno
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 67
Controle Interno.
Lista de Controle Interno:
Alçadas:
Delimitação de atuação ou influência de gestor
Conciliação:
Comparação de informações de origens distintas, o foco identificar inconsistências
Normatização interna:
Estabelecimento formal de normas internas
Segregação de funções:
Separação de funções conflitantes ou funções que possam ter conflito de interesses
Validação:
Exame de procedimentos relacionados a algumas atividades com objetivo de validar as
informações
Controle de Acesso:
Controle na entrada e saída de pessoas, equipamentos e produtos
Autorização:
Autorização formal para execução de uma operação ou uma atividade
Monitoramento:
Acompanhamento de processo, operação ou atividade de modo avaliar sua correta
adequação com os objetivos
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 68
Controle Interno
Riscos
Ausência de Controles
Controles
+ Tolerância
à Riscos
Exposição a
Riscos Inaceitáveis
Riscos
Controles +
Tolerância
à Riscos
Controles em Excesso
Exposição a
Custos Excessivos
Riscos
Controles +
Tolerância
à Riscos
Controles Adequados
Controles Internos
Eficientes
O peso dos controles:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 69
Controle Interno
Características de um Controle eficiente:
Controle eficiente:
O controle devem responder as seguintes
questões: - Quem, quando, como e por que
Evidencia (documentos probatórios)
Quem fez
o lançamento ?
Em que data
foi feito o
lançamento ?
Existem
documentos
(evidências) ?
O por que
do lançamento ?
Como foi feito
lançamento ?
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 70
Controle Interno
Benefícios de uma Estrutura de Controles Internos Consistente:
Controle Interno Consistente:
Reduz potencial para fraudes
Conquista (ou reconquista) a
confiança dos investidores
Observa leis e regulamentações
Reduz o risco de perda de
recursos
Otimiza decisões de negócio com
maior qualidade
Identifica operações ineficientes
Minimiza denúncias
Controle Interno Inconsistente:
Aumenta a exposição a fraudes
Informações financeiras imprecisas
Publicidade desfavorável
Impacto negativo nos valores das ações
Sanções de órgãos de controle
Processos ou outras ações legais
Perda de ativos
Decisões de negócio sub-otimizadas
São descobertas através de Controles Internos (42%) ou, em menor escala,
através de denúncias (28%) identificadas (de funcionários) ou de auditoria
interna (21%)
Perfil das fraudes Em geral, as fraudes descobertas1:
Nota 1- Fonte: Relatório Enfoque 2005, elaborado pela Ernest & Young
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 71
Controle Interno
O Novo Papel da Auditoria Interna:
O papel da auditoria interna é um elemento chave em atividades de controle,
suportando a abordagem da administração para prevenir, detectar e responder
à fraude, erros, irregularidades e má-conduta.
Um das funções da Auditoria Interna é o de examinar a efetividade dos
controles (realização de testes substantivos), Gestão de Risco, Sistemas,
Salvaguarda de Ativos, Contabilidade e Governança.
No geral, a auditoria interna deve ser responsável por:
- Planejar e conduzir a testes que avaliam efetividade dos controles;
- Ajudar a organização na avaliação das fraquezas dos controle e auxiliar a encontrar conclusões quanto
a estratégias apropriadas para mitigar estes riscos;
- Comunicar o comitê de auditoria sobre a avaliação dos controles internos e das auditorias,
investigações e atividades relacionadas.
Enfoque Tradicional
• Foco nos controles. • Foco nos riscos.
• Testes com base em programa de trabalho
padrão.• Testes de todos os controles.
• Testes com base no levantamento das
informações.• Testes focalizados, somente dos controles
que minimizam os riscos relevantes.
Enfoque com Foco em Riscos
• Riscos avaliados com base na experiência
do auditor.
• Padronização do processo de avaliação de
riscos.• Maior parte do tempo gasto em revisão e
consolidação.
• Maior parte do tempo gasto em
levantamento e análise de informações.
Comparação:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 72
Exemplo: A SOX, tem duas seções sobre certificação: 302 e 906.
A seção 302 determina um conjunto de procedimentos internos desenhados para garantir a
evidenciação financeira.
A seção 906 exige uma certificação pelo Presidente (CEO) e Diretor Financeiro (CFO) acompanhe cada
relatório periódico que inclui as demonstrações financeiras
> A SEC adotou a regra exigindo que a certificação seja fornecida como parte de cada relatório anual e
trimestral as correspondentes alterações.
> O Presidente e Diretor Financeiro deverão certificar que avaliaram a eficácia dos controles internos e
dos procedimentos de divulgação da empresa dentro de 90 dias da data do relatório.
> As regras exigem que a certificação seja incluída em relatórios anuis nos formulários: 10-K, 10-KSB,
20-F e 40-F, relatórios trimestrais nos formulários: 10-Q e 10-QSB e alterações em quaisquer dos
relatórios acima mencionados.
Controle Interno
A seção 404, exige que administração da empresa produza o Internal Control Report Financial
(ICRF) como parte do informe anual.
O informe deve afirmar a responsabilidade da administração em estabelecer e manter procedimentos
e uma estrutura adequada de controle interno para o informe financeiro.
O informe ainda precisa conter uma avaliação, na data do final do ano fiscal mais recente da empresa,
da efetividade dos procedimentos e da estrutura de controle interno do emitente do informe
financeiro
A firma de auditoria (externa), precisa atestar a avaliação de controle interno da administração.
A recomendação da SEC, é utilizar o COSO como guia para implementar o Sistema de Controle Interno
(SCI)
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 73
Controle Interno
Administração É responsável pelos controles internos e pela
preparação das demonstrações financeiras
Auditoria Interna É responsável por testar e monitorar os controles
internos
Auditoria ExternaÉ responsável por certificar a apresentação das
demonstrações financeiras e a avaliação efetuada
pela Administração para suportar a certificação da
eficácia dos controles internos
Supervisionar os processos e os participantesComitê de Auditoria
SOX: Papéis e Responsabilidades:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 74
Controle Interno:
SOX: Lições Aprendidas:
Questão:
Para quais dos itens abaixo há o
maior risco de serem reportadas é
esperado o maior volume de
fraquezas materiais
nos controles internos?
a) Tecnologia da Informação
b) Reconhecimento de receita
c) Gerenciamento do Imobilizado
d) Compras e contas a pagar
e) Impostos
f) Recursos Humanos
g) Tesouraria
h) Encerramento e apresentação das
demonstrações financeiras
i) Outros
Fraquezas Materiais nos Controles Internos
65; 65%4; 4%
7; 7%
4; 4%
2; 2%
7; 7%
4; 4%
7; 7%0; 0%
a) Tecnologia da
Informação
b) Reconhecimento de
receita
c) Gerenciamento do
Imobilizado
d) Compras e contas a
pagar
e) Impostos
f) Recursos Humanos
g) Tesouraria
h) Encerramento e
apresentação das
demonstrações
financeiras
i) Outros
Fonte: Síntese e Resultado da 9ª mesa de debates - Sox Update e Avaliação do Ambiente de Controle (COSO) KPMG – 2006/2007
Nota:
Para 65%, há uma percepção de que a tecnologia da informação é a que poderá gerar um maior
volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A título de
comparação, pesquisa similar realizada em 2005 teve como resultado uma votação de 57% para TI, o
que indica que esta preocupação não é recente e se manteve no mesmo patamar.
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 75
Deficiência Significante (Significant deficiency): Deficiência ou uma combinação de deficiências que
resulte em mais que uma remota possibilidade de erro ou omissão nas demonstrações financeiras
anuais ou interinas e que não possa ser identificada preventivamente ou detectada.
Fraqueza Material (Material weakness): Deficiência ou uma combinação de deficiências que resulte em
mais que uma remota possibilidade de erro ou omissão com efeito material nas demonstrações
financeiras anuais ou interinas e que não possa ser identificada preventivamente ou detectada
Controle Interno
Deficiência de Controle Interno:
A gravidade de uma deficiência de controle interno pode ser avaliada como um material
weakness ou significant deficiency, fundamentada no potencial de erros ou fraudes nas
demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que
esses erros ou fraudes tenham efetivamente ocorrido.
Exemplos de Fraqueza Material (SOX):
- Em razão de erros decorrentes do uso de planilhas eletrônicas para a elaboração das Demonstrações
Financeiras.
-Nos controles relativos a reconciliações em US GAAP, que originaram erros (republicações) nas
Demonstrações Financeiras de 2004 e 2005.
Exemplos de Deficiência Significante (SOX):
- Nos controles internos em razão do não registro de um contrato segundo regras do SFAS 133.
- Relacionada à republicações das Demonstrações Financeiras de 2004 e 2005 devido a erros de
Classificação.
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 76
Controle Interno
Deficiência de Controle Interno:
A gravidade de uma deficiência de controle interno pode ser avaliada como uma Fraqueza
Material (material weakness) , Deficiência de Controle (control deficiency) e Deficiência
Significante (significant deficiency), fundamentada no potencial de erros ou fraudes nas
demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que
esses erros ou fraudes tenham efetivamente ocorrido.
Exemplos de Fraqueza Material (SOX):
- Em razão de erros decorrentes do uso de planilhas eletrônicas para a elaboração das Demonstrações
Financeiras.
-Nos controles relativos a reconciliações em US GAAP, que originaram erros (republicações) nas
Demonstrações Financeiras de 2004 e 2005.
Exemplos de Deficiência Significante (SOX):
- Nos controles internos em razão do não registro de um contrato segundo regras do SFAS 133.
- Relacionada à republicações das Demonstrações Financeiras de 2004 e 2005 devido a erros de
classificação.
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 77
Tipos de Controle:
1. CONTROLE DO ESTADO – Constituição Federal
Controle Externo – Tribunal da Contas da União (TCU)
Controle Interno – Controladoria-Geral da União da Presidência da
República (CGU-PR)
2. CONTROLE INTERNO DA PRÓPRIA ORGANIZAÇÃO
Auditoria Interna
3. CONTROLE DOS ACIONISTAS - Lei de S.A.
Assembleia Geral, Auditoria Independente e Conselho Fiscal
Estudo de Caso: Controle
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 78
PRESIDÊNCIA DA
REPÚBLICA
MINISTÉRIO
PETROBRAS
CONGRESSO
NACIONAL
CGU
PODER
EXECUTIVO
TCU
PODER
LEGISLATIVO
Tipos de Controle: Estado
CONTROLE INTERNO CONTROLE EXTERNO
BR
Estudo de Caso: Controle
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 79
Controle Externo (TCU)
Congresso
Nacional
BR
MME
DEST
Presidência da
República
ANP
CNPE
MF
MPOG
MJ
CADE
Controle Interno
(CGU)
MMA
Tipos de Controle: Estado
Estudo de Caso: Controle
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 80
Efetividade
Tipos de Controle: Estado
Quanto aos Objetivos:
Político-Legal
Programático
Administrativo
Legitimidade
Legalidade
Economicidade
Eficiência
Eficácia
Quanto ao Momento:
Prestação de Contas
e Avaliação
Prévio
A Posteriori
Concomitante
Orçamento
Acompanhamento
Estudo de Caso: Controle
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 81
Auditoria Interna
Atribuições:
“Planejar, executar e avaliar as atividades de auditoria interna e atender às solicitações da
alta administração e de órgãos externos de controle.”
Tipos de Controle: Interno (Auditoria Interna)
Perspectiva de Mercado:
Zelar pela excelência dos controles das atividades da Petrobras, atendendo às
expectativas dos clientes.
• Conhecimento da Petrobras
• Presteza no atendimento
• Visão integrada dos Negócios
• Confidencialidade
• Diversidade de formação
• Agregar valor à Unidade auditada
Estudo de Caso: Controle
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 82
Auditoria Interna
Estrutura:
Tipos de Controle: Interno (Auditoria Interna)
GERENCIAMENTO DE
RECURSOS
Auditoria
Internacional
Auditoria
Interna
Auditoria
Corporativa e
de Serviços
Auditoria de
Gás e Energia
Auditoria de
Finanças
Auditoria de
Abastecimento
Auditoria de
E&P
Aspectos legais:
Art. 14. As entidades da Administração Pública Federal indireta deverão organizar a
respectiva unidade de auditoria interna, com o suporte necessário de recursos humanos
e materiais, com o objetivo de fortalecer a gestão e racionalizar as ações de controle.
Decreto nº 3.591, de 6/SET/00 – Dispõe sobre o Sistema de Controle Interno do Poder
Executivo Federal e dá outras providências
Estudo de Caso: Controle
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 83
ASSEMBLÉIA GERAL (Artigos 121 e 122, III
da Lei 6.404 de 1976)
CONTROLE FINAL
ADMINISTRAÇÃO
Conselho de Administração
Diretoria
CONSELHO FISCAL (Artigos 161 a 165
da Lei 6.404 de 1976)
CONTROLE INTERNO
AUDITORES INDEPENDENTES
(Artigo 177, § 3º da Lei 6.404 de
1976)
CONTROLE EXTERNO
Tipos de Controle: Acionistas
Estudo de Caso: Implantação da Governança Corporativa na Petrobrás
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 84
Controle Interno:
Melhores Práticas na implantação de Sistema de Controle Interno:
Evite os controles manuais. Opte por controles automatizados;
Implemente os controles do tipo preventivo;
Defina a quantidade de controle adequado;
Evite o controle do controle;
Faça uma revisão de toda vez que o custo de um controle for maior que o benefício
que ele traz;
As melhores práticas recomendam a adoção da Gestão de Risco;
Adote os melhores guias, frameworks, padrões e normas;
Implemente o ciclo de melhoria continua, PDCA, nos controles;
[SOX] Foco nos controles internos de TI (Seção 404)
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 85
Tecnologia da Informação (TI) e Gestão de Risco
Corporativo (ERM)
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados
Modelo de Governança de TI
Governança de TI
Arquitetura de TI
Recursos
Processos
PMBok/PMI
Cobit
BPM
ISO9001 /
Seis Sigma
Governança do
Negócios
Governança de Conformidade
(Controle Interno e Risco)
Governança Corporativa
BSC COSOO
pera
cio
nal e T
áti
co
Estr
até
gic
o
Projetos
Qualidade
To
p D
ow
n
Planejamento Estratégico de TI
Se
rviç
os
de
TI
ITIL /
ISO20000
Fo
rneced
ore
s
SAS70 /
e-SCM
Seg
ura
nça d
a
Info
rmação
ISO17799/
ISO27001
Fáb
rica d
e
de S
oft
ware
CMMi/
Mps.br
86
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 87
Gestão da Segurança
da InformaçãoControle Internos
Confidencialidade
Integridade
Disponibilidade
Gestão de Risco de TI
Processos
Evidências
Guia de Auditoria
Gestão de Risco Corporativo (ERM)
ISO 17799 /
ISO 27001 Cobit, ITIL, ISO 17799...
COSO
COBIT
Mudança de Visão
Ontem: Gestão de Segurança da Informação
Hoje: Gestão de Risco (Segurança da Informação + Controle Interno)
Governança
Corporativa
Governança
de TI
Governança de TI & COSO 2
Gestão de Risco de TI
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 88
As melhores práticas:
Seguir as recomendações, utilizar as melhores
práticas, padrões e frameworks.
No caso de compliance SOX. A SEC (entidade que
regula o mercado americano) recomenda utilizar: COSO
(como padrão de referência para os controles internos) e
o COBIT (como padrão de referência para sistemas de
informação) e como Framework para implantação da
Governança de TI.
Para o Gerenciamento de Serviços de TI recomenda-
se o modelo ITIL e/ou ISO 20000
Para a Gestão da Segurança da Informação é recomendado
a ISO 17799 ou ISO 27001.
Para Maturidade do Processo de Desenvolvimento de Software é recomendado
CMMi e Mps.br
Para a Gestão de Projetos é recomendado as práticas do PMBok (PMI),
lembre-se que a Gestão de Projetos abrange todas áreas da empresa.
Para a Gestão de Relacionamento com Fornecedores de TI recomenda-se o padrão
e-SCM. No caso de SOX o SAS70.
Gestão de Risco de TI
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 89
Para TI:
-Cobit
- ISO 17799 – Segurança da Informação
- ITIL
- ISO 20.000
- MOF
Para empresa:
- PMBok (para projetos)
- ISO 31000
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 90
Evolução: A Governança
Modelo de Governança
Principais características do Cobit:
- Orientado ao Negócio
- Orientado a Processos
- Baseado em Controles
- Guiado por mensurações
Governança
Gestão
Controle
Auditoria
Cobit 1 Cobit 2 Cobit 3 Cobit 4
1996 1998 2000 2005
Cobit
Cobit é um framework que tem um conjunto de
componentes que representam as melhores praticas para
Governança de TI, Controle de TI, Auditoria de TI e
Conformidade com leis e regulamentações.
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 91
Modelo de Governança de TI:
Alinhamento Estratégico
Entrega de Valor
Gerenciamento de Recursos
Gerenciamento de RiscoMedição de Desempenho
Garantia da ligação entre o negócio e planos de TI,
manutenção e validação da proposição de valor da
TI, alinhada com as operações da empresa
Execução da proposição de valor através do
tempo, assegurando que TI entregue os
benefícios prometidos de acordo com estratégia,
concentrando-se em otimizar custos e em
comprovar o valor intrínseco de TI
Conhecimento dos riscos,
entendimento claro dos
requisitos de compliance e das
tendências da empresa para
os riscos, transparência
acerca dos riscos significantes
para empresa e incorporação
de responsabilidade para o
gerenciamento dos riscos
Otimização do investimentos e da gestão adequada de
recursos (aplicações, pessoas, informações e infra-estrutura),
essenciais para prover os subsídios de que a empresa
necessita para cumprir os seus objetivos
Acompanhamento e
monitoramento da
implantação da estratégia,
do andamento dos projetos,
da utilização de recursos, do
desempenho dos processos,
da entrega dos serviços,
utilizando medições e
indicadores de desempenho.
Governança de TI segundo ITGI (Cobit)
Cobit
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados
OBJETIVOS DE NEGÓCIOS E OBJETIVOS DE GOVERNANÇA
Eficiência
AplicaçõesInformação
Infra-estruturaPessoas
ENTREGAR E SUPORTAR
MONITORAR E AVALIAR
ADQUIRIR E IMPLEMENTAR
INFORMAÇÃO
RECURSOS DE TI
E S T R U T U R A
D O C O B I T
EficáciaConfidencialidade
Integridade
Disponibilidade
Conformidade
DS1 Definir e Gerenciar Níveis de Serviços.
DS2 Gerencia Serviços Terceirizados.
DS3 Manage performance and capacity.
DS4 Gerenciar o Desempenho e a Capacidade.
DS5 Garantir segurança dos sistemas.
DS6 Identificar e Alocar Custos.DS7 Educar e Treinar os
Usuários.DS8 Gerenciar a Central de
Serviço e Incidentes.DS9 Gerenciar a configuração.DS10 Gerenciar os problemas.DS11 Gerenciar os dados.DS12 Gerenciar o Ambiente Físico.DS13 Gerenciar as Operações.
ME1 Monitorar e Avaliar o Desempenho de TI.
ME2 Monitorar e Avaliar os Controles Internos.
ME3 Assegurar a Conformidade Regulatória.
ME4 Fornecer Governança de TI.
PO1 Definir um Plano Estratégico de TI.
PO2 Definir a Arquitetura da Informação.
PO3 Determinar o Direcionamento Tecnológico.
PO4 Definir os Processos, a Organização e os Relacionamentos de TI.
PO5 Gerenciar o Investimento de TI.
PO6 Comunicar os Objetivos e Direcionamento da Diretoria.
PO7 Gerenciar os Recursos Humanos de TI.
PO8 Gerenciar a Qualidade.PO9 Avaliar e Gerenciar Risco de
TI .PO10 Gerenciar Projetos.
AI1 Identificar as Soluções Automatizadas.
AI2 Adquirir e Manter Software Aplicativo.
AI3 Adquirir e Manter Infra-estrutura de Tecnologia.
AI4 Permitir Operação e Uso.AI5 Adquirir Recursos de TI.AI6 Gerenciar Mudanças.AI7 Instalar e Validar Soluções
e Mudanças.
PLANEJARE ORGANIZAR
Confiabilidade
Estrutura do COBIT
92
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 93
ITIL v3 :: Serviços, Processos e Funções
Adaptado do original de David Pultorak
ITIL v3
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 94
O MOF é um guia de melhores práticas para Ciclo de Serviços de TI.
MOF – Microsoft Operations Framework
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 95
Processos de Entrega de Serviços
Processos deResolução
Processos de
LiberaçãoProcessos de
Relacionamento
Gestão de
Capacidade
Continuidade
de Serviços
e Gestão de
Disponibilidade
Gestão de
Nível de Serviço
Apresentação dos
Resultados dos serviços(Service Reporting)
Gestão da Segurança
da Informação
Orçamento e
Contabilidade dos
Serviços
Gestão de
Liberação Gestão de Incidentes
Gestão de Problemas
Gestão de Relacionamento
com o Negócio
Gestão de Fornecedores
Processos de ControleGestão de Configuração
Gestão de Mudança
ISO 20000
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 96
Principais Componentes:
Disponibilidade – Acesso contínuo e ininterrupto. A
informação deve estar disponível para a pessoa certa e
no momento em que ela precisar.
Integridade – Proteger a informação contra qualquer
tipo de alteração sem a autorização explícita do autor da
mesma
Confidencialidade – Visa manter o sigilo, o segredo ou
a privacidade das informações, evitando que pessoas,
entidades ou programas não autorizados tenham acesso
às mesmas.
Autenticidade (não repudio) - Garante ao receptor da
informação a origem informada. Assegura que o acesso
à informação não possa ser realizado por terceiros em
nome do receptor ou que se utilizem do nome do
originador para enviar informações.
Objetivos:
• Reduzir a probabilidade de ocorrência de incidentes de
segurança.
• Minimizar os danos / perdas causados à Organização.
• Recuperação em caso de incidente.
ISO 17799 (Segurança da Informação)
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 97
Modelo de Implementação:
Definir
escopo
Revisão
Documentação
Gap
Analyses
Inventário
de Ativos
Avaliação de
Risco
Gestão de
RiscoObjetivo de
Controle
Desenvolver
Política
Desenvolver
Procedimento
Treinamento
Monitorar
Compliance
Compliance e
Certificação
Implantação da
ISO 17799
ISO 17799 (Segurança da Informação)
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 98
• 1. Objetivo da norma
• 2. Termos e definições
• 3. Política de segurança
• 4. Segurança organizacional
• 5. Classificação e controle dos ativos de informação
• 6. Segurança de pessoas
• 7. Segurança física e do ambiente
• 8. Gerenciamento de operações e comunicações
• 9. Controle de acesso
• 10. Desenvolvimento de sistemas.
• 11. Gestão de continuidade de negócios
• 12. Conformidade
Infra estrutura de segurança: indica que uma estrutura organizacional deve
ser criada para iniciar e implementar as medidas de segurança.
Segurança no acesso de prestadores de serviço: garantir a segurança dos
ativos acessados por prestadores de serviços.
Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos
de terceirização de serviços computacionais cláusulas para segurança
ISO 17799 – Segurança Organizacional
Componentes do ISO 17799
ISO 17799 (Segurança da Informação)
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 99
PMBok ®. Gerenciamento de Risco
Processos do Gerenciamento dos Riscos:
Inclui os processos para maximizar a probabilidade e as conseqüências dos eventos positivos e
minimizar a probabilidade e as conseqüências dos eventos adversos aos objetivos do projeto.
Definição de Risco1:
“Um evento ou condição incerta que, se ocorrer, tem um efeito positivo ou negativo nos objetivos
de um projeto”.1 - Segundo o PMBok (Glossário)
PMBok versão 3
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 100
ISO 31000 – Gerenciamento de Risco
Processo de Gestão de Riscos
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 101
Comentário final:
Está preparado para implementar a Gestão de Risco e suas melhores práticas ?
Se quiser ajuda, fale comigo:
Rildo F [email protected]
twitter: @rildosan
skype: rildo.f.santos
http://rildosan.blogspot.com/
(11) 9123-5358
(11) 9962-4260
www.etcnologia.com.br
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados
Nossos Treinamentos
Treinamentos:
- Implementação da Controle Interno com as práticas da COSO®
- Workshop de Gestão de Risco com COSO®
- Fundamentos da Gestão de Risco e Controle e Interno com COSO
- Workshop de Gestão de Risco para TI
102
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados
Quer Mais ?
http://etecnologia.ning.com/
Gostou quer mais, gostaria de receber outros materiais sobre o mesmo tema e novas versões deste
material...
Envie um e-mail para com subject: “Quero entrar na comunidade” para [email protected]
que te enviaremos um convite para participar da nossa comunidade
103
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 104
Notas:
Marcas Registradas:
Todos os termos mencionados e reconhecidos como Marca Registrada e/ou comercial são de
responsabilidade de seus proprietários. O autor informa não estar associada a nenhum produto e/ou
fornecedor apresentado neste material. No decorrer deste, imagens, nomes de produtos e fabricantes
podem ter sido utilizados, e desde já o autor informa que o uso é apenas ilustrativo e/ou educativo, não
visando ao lucro, favorecimento ou desmerecimento do produto/fabricante.
Melhoria e Revisão:
Este material esta em processo constante de revisão e melhoria, se você encontrou algum problema
ou erro envie um e-mail nós.
Criticas e Sugestões:
Nós estamos abertos para receber criticas e sugestões que possam melhorar o material, por favor
envie um e-mail para nós.
Rildo F dos Santos ([email protected])
Imagens:
Google, Flickr e Banco de Imagem.
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados 105
Licença:
Ge
stã
o d
e R
isc
o e
Co
ntr
ole
In
tern
o
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados
Gestão de Risco e Controle Interno
As melhores práticas para Gestão de Risco e Controle Interno com COSO®
Rildo F [email protected]
twitter: @rildosan
skype: rildo.f.santos
http://rildosan.blogspot.com/
(11) 9123-5358
(11) 9962-4260
www.etcnologia.com.br