gestão de risco e controle interno com coso

of 106/106
Gestão de Risco e Controle Interno Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados Gestão de Risco e Controle Interno As melhores práticas para Gestão de Risco e Controle Interno com COSO® Rildo F Santos [email protected] twitter: @rildosan skype: rildo.f.santos http://rildosan.blogspot.com/ (11) 9123-5358 (11) 9962-4260 www.etcnologia.com.br

Post on 20-Jun-2015

2.667 views

Category:

Documents

2 download

Embed Size (px)

DESCRIPTION

Apresentação sobre a Gestão de Risco e Controle Interno com as melhores práticas do COSO.

TRANSCRIPT

Gesto de Risco e Controle Interno

Gesto de Risco e Controle Interno

www.etcnologia.com.br

Rildo F [email protected] twitter: @rildosan skype: rildo.f.santos http://rildosan.blogspot.com/

(11) 9123-5358 (11) 9962-4260

As melhores prticasSantos Gesto de Risco e Controle 2009/2010 Direitos Reservados para Interno com COSO Verso 2.0 | Rildo F ([email protected])

Sobre o autor: Rildo F. Santos

Gesto de Risco e Controle Interno

Coach e Consultor de Gesto de Negcios, Inovao e Tecnologia para a Gesto 2.0, a Gesto gil.A Gesto gil ajuda as empresas a responder mais rpido as demandas de negcio e mudanas. A Gesto 2.0, abrange Planejamento Estratgico, Gesto por Processos geis, Gesto de Projetos geis, Tecnologia da Informao (Mtodos geis), Inovao e Liderana. Minha Experincia: Tenho mais de 10.000 horas de experincia em Gesto de Negcios, Gesto de Inovao, Governana e Engenharia de Software. Formado em Administrao de Empresas, Ps-Graduado em Didtica do Ensino Superior e Mestre em Engenharia de Software pela Universidade Mackenzie. Fui instrutor de Tecnologia de Orientao a Objetos, UML e Linguagem Java na Sun Microsystems e na IBM. Conheo Mtodos geis (SCRUM, Lead, FDD e XP), Arquitetura de Software, SOA (Arquitetura Orientado a Servio), RUP/UP - Processo Unificado, Business Intelligence, Gesto de Risco de TI entre outras tecnologias. Sou professor de curso de MBA da Fiap e fui professor de ps-graduao da Fasp e IBTA. Possuo fortes conhecimentos de Gesto de Negcio (Inteligncia de Negcio, Gesto por Processo, Inovao, Gesto de Projetos e GRC - Governance, Risk and Compliance), SOX, Basel II e PCI; E experincia na implementao de Governana de TI e Gerenciamento de Servios de TI. Conhecimento dos principais frameworks e padres: ITIL, Cobit, ISO 27001 e ISO 15999; Desempenhei diversos papis como: Estrategista de Negcio, Gerente de Negcio, Gerente de Projeto, Arquiteto de Software, Projetista de Software e Analista de Sistema em diversos segmentos: Financeiro, Telecomunicaes, Seguro, Sade, Comunicao, Segurana Pblica, Fazenda, Tecnologia, Varejo, Distribuio, Energia e Petrleo e Gs. Possuo as certificaes: CSM - Certified SCRUM Master, CSPO - Certified SCRUM Product Owner , SUN Java Certified Instrutor, ITIL Foundation e sou Instrutor Oficial de Cobit Foundation e Cobit Games;

Sou membro do IIBA-International Institute of Business Analysis (Canada)Onde estou: Twitter: @rildosan Blog: http://rildosan.blogspot.com/Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 2

Comentrio inicial:

Gesto de Risco e Controle Interno

O objetivo principal desta apresentao prover informaes sobre a Gesto de Risco Corporativo e Controle Interno. A Gesto de Risco deve ser considerada como parte integrante da estratgia de organizao para que os eventos de riscos no causem desvios ou impactos sobre os objetivos. Sistema de Controle Interno deve ser utilizado para melhorar a eficincia operacional e atender requisitos legais.

Tambm ser discutido o COSO 1 que um guia de referencia (framework) de melhores prticas de Controle Interno e COSO 2 ERM que guia de referencia (framework) de melhores prticas para a Gesto de Risco Corporativo.Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 3

Contedo:

Gesto de Risco e Controle Interno

1-Introduo: A importncia da Gesto de Risco Corporativo 2-Fundamentos - Definio de Governana Corporativa - Estudo de Caso: Implantao da Governana Corporativa - Definio de Governana de TI - Estudo de Caso: Implantao da Governana de TI - Definio de Gesto de Risco - Definies de Risco - Novo paradigma da Gesto de Risco - Definio de Controle Interno

4 - Controle Interno: - Definio - Preveno, Deteco e Resposta - Lista de Controle Interno - Peso dos Controle Interno - Caractersticas de um Controle eficiente - Benefcios de uma Estrutura de Controles Internos Consistente - Novo Papel da Auditoria Interna - Exemplo: SOX - Deficincia de Controle Interno - Estudo de Caso - Melhores prticas

3- Framework Coso - Componentes & Objetivos 3.1 - Viso geral do Framework Coso 1 - Controle Interno - Introduo - Objetivos - Componentes 3.2 - COSO 2 - ERM (Enterprise Risk Management): - Ambiente Interno - Fixao de Objetivos - Identificao de Eventos - Avaliao de Riscos - Resposta aos Riscos - Atividades de Controle - Informao e Comunicao - Monitoramento - Funes e Responsabilidades - Limitaes do Gerenciamento de Riscos Corporativos Estudo de Caso Melhores Prticas

Apndice A: Tecnologia da Informao (TI) e Gesto de Risco Corporativo (ERM)

Apndice B: Frameworks, Guias, Normas e Melhores Prticas para Gesto de Risco: - Cobit - ITIL - MOF - ISO 20000 - PMBok - ISO 31000 Estudo de Caso

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

4

Gesto de Risco e Controle Interno

A importncia da Gesto de Risco Corporativo

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

5

Introduo

Gesto de Risco e Controle Interno

A importncia da Gesto de Risco CorporativoA origem da palavra risco controvertida. Alguns autores afirmam que ela deriva de resecare (cortar), empregada para descrever geografias agudas como as dos recifes que tinham o poder de afundar navios. Como a navegao sempre foi uma atividade importante para o desenvolvimento humano, era aconselhvel evitar o risco de perder as embarcaes e suas cargas. Outra possvel origem indicada por Peter Bernstein no livro Desafio aos Deuses. Segundo o autor, risco vem do italiano risicare, que significa ousar. No sentido de incerteza, derivada do latim risicu e riscu. As primeiras tcnicas de gesto de risco foram implantadas pelas seguradoras justamente com as aplices para navios. No sculo 20, entre as dcadas de 60 e 80, o setor financeiro se dedicou ao aperfeioamento das ferramentas de controle de risco, entusiasmados pela possibilidade de prever o futuro e evitar perdas previsveis no presente. Em 1994, o JP Morgan lanou o Value at Risk (VaR), clculo amplamente utilizado pelas instituies financeiras para medir o risco probabilstico de um portflio de aplicaes financeiras. muito mais complexo, porm, dimensionar e avaliar riscos quando a rgua no pode ser simplesmente numrica, como no caso dos bancos. Em 2002, depois de escndalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox) tm obrigado as empresas a investir no controle de riscos. A obrigao estende a todas as empresas listadas na Bolsa de New York, inclusive as brasileiras, so obrigadas pela SOX a informar anualmente a quais riscos esto expostas e quais so as ferramentas de controle e gerenciamento utilizadas. O Acordo de Basilia II, que tambm resultante de escndalos financeiros, no Brasil, a resoluo 3380 do Bacen, obriga a implementao da Gesto de Risco Operacional a todos os bancos brasileiros, com objetivo de atender o acordo. Por obrigao, ou no, o fato que o gerenciamento de risco se difunde entre as empresas de todo o mundo.Baseado no artigo da Revista Amanh - http://amanha.terra.com.br/edicoes/229/capa04.asp

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

6

Introduo

Gesto de Risco e Controle Interno

Principais motivadores da Gesto de Risco:> Compliance > Eficincia Operacional

Aumentar Eficincia Operacional

Compliance(atender requisitos legais e regulatrios)

Estratgia(Parte da estratgia)

2001 Enron 7a. Maior empresa dos EUA, gigante americana do setor de energia, pediu concordata em dezembro de 2001, aps ter sido alvo de uma srie denncias de fraudes contbeis e fiscais. Com uma dvida de US$ 13 bilhes, o grupo arrastou consigo a Arthur Andersen, que fazia a sua auditoria. 2001 WorldCom. A fraude ocorreu porque a empresa registrou como investimentos (ativo em seu balano patrimonial) o que era despesa (demonstrativo de resultados), distorcendo totalmente os dados de suas contas. Em 30 julho de 2002, George W. Bush assinou de O Ato Sarbanes-Oxley, com objetivo de garantir a integridade das informaes financeiras (dar proteo aos investidores)

1975 quebra dos bancos Herstatt, da Alemanha e Franklin National, de Nova York. > 1975 - Comit da Basilia 1993 Bank of Credit and Commerce International faliu em meio a escndalos de fraude e lavagem de dinheiro 1995 Barings faliu depois de 233 anos de existncia > 1997 Comit Basilia edita os 25 Princpios Instituio de Controles Internos

Gesto de Risco

SOX

Basel II

ISO 17799

1995-98 Askin Capital, Orange County, Chemical Bank entre outros > 1998 Comit Basilia edita mais 13 Princpios Gesto de Riscos (5 componentes) > 1998 Res.Bacen 2.554 Controles Internos > 2001 Novo Acordo da Basilia

Segurana da Informao Fraudes Contbeis e FinanceirasVerso 2.0 | Rildo F Santos ([email protected])

Escndalos Financeiros2009/2010 Direitos Reservados 7

Compliance: SOX

Gesto de Risco e Controle Interno

Neste milnio os investidores perderam 37 bilhes dlaresObjetivo SOX: Garantir a integridade das informaes financeiras Responsabilidade do Presidente (CEO) e do Diretor Financeiro Ato Sarbanes-Oxley, das Em 30 julho de 2002, presidente George W. Bush assinou de O (CFO) na certificao que muda de demonstraes leis aplicadas forma radical as financeiras; a empresas que tem aes negociadas na bolsa americana. Transferncia para um comit de auditoria, composto de membros no executivos do Conselho da Administrao, de muitos poderes e responsabilidades que eram anteriormente dos diretores-executivos; Maior transparncia na divulgao das informaes financeiras.

Viso Geral da Lei Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)Principais Sees (artigos): Seo 302 e 906 Tratam de certificaes dos relatrios anuais contendo as demonstraes financeiras (20-F e 40-F) por parte dos administradores (CEO e CFO), sob penalidades de responsabilidade civil e criminal. Seo 404, 407, 408 e 409 Tratam sobre os aspectos de controle interno, fiscalizao da SEC sobre informao pblica, cdigo de tica para diretores financeiros e publicao de alteraes operacionais e/ou financeiras. Determina a emisso de relatrio especial, com parecer, entregue SEC, que ateste a realizao anual de avaliao e de controles e processos internos que so a base de relatrios financeiros.

Seo 802 - Penalidades criminais pela alterao de documentos.

Empresas brasileiras com aes ou ttulos na Bolsa de New York (NYSE)Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 8

Compliance: Segurana da Informao

Gesto de Risco e Controle Interno

RESOLUO NORMATIVA RN n 114, DE 26 DE OUTUBRO DE 2005. Estabelece padro obrigatrio para a troca de informaes entre operadoras de plano privado de assistncia sade e prestadores de servios de sade sobre os eventos de sade, realizados em beneficirios de plano privado de assistncia sade e d outras providncias. Art. 1 A presente Resoluo estabelece padro obrigatrio para troca de informaes em sade suplementar (TISS) entre operadoras de plano privado de assistncia sade e prestadores de servios de sade sobre os eventos de sade realizados em beneficirios de plano privado de assistncia sade, e mecanismos de proteo informao em sade suplementar.

A privacidade das informaes individuais, entre as quais se incluem aquelas referentes ao estado de sade de cada beneficirio, preocupao presente nos mais variados setores da sociedade e se expressa em variados diplomas legais, desde o Cdigo Penal Brasileiro, de 1942, at as resolues do Conselho Federal de Medicina, incluindo diplomas da prpria Agncia Nacional de Sade Suplementar. Por envolver informaes que devem ser mantidas sob sigilo, a implantao da Troca de Informaes em Sade Suplementar -TISS pressupe a observncia de normas j existentes, originrias de rgos competentes para tal fim.

Entre os procedimentos de segurana recomendados pela ANS para a implantao do TISS, e que portanto, devem ser obrigatoriamente seguidos por quaisquer operadoras e prestadores, esto as normas tcnicas estabelecidas na Resoluo CFM n. 1639, de 10 de julho de 2002, e nas resolues da ANS (RN n 21, de 12 de dezembro de 2002, e na RDC n 64, de 10 de abril de 2001 ). Tais medidas proporcionam as garantias administrativas, tcnicas e fsicas de proteo ao acesso informao trocada.Obriga-se, ainda, para o alcance dos objetivos de segurana e privacidade, a observao, ao menos, dos requisitos do Nvel de Garantia de Segurana 1 (NGS-1), descritos no "Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade" (RES), em conformidade com a norma NBR ISO/IEC 17799 - Cdigo de Prtica para a Gesto da Segurana da Informao. Para as entidades que utilizarem webservices como padro de comunicao recomendado a utilizao do Nvel de Garantia de Segurana 1 (NGS-1) e o Nvel de Garantia de Segurana 2 (NGS-2).

Operadoras de Plano de SadeFonte: http://www.ans.gov.br/portalv4/site/home/default.asp

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

9

Compliance: Segurana da Informao

Gesto de Risco e Controle Interno

CVM (Comisso de Valores Mobilirios)Instruo 391/2003: Art. 31. O administrador do fundo dever divulgar a todos os cotistas e CVM, qualquer ato ou fato relevante atinente ao fundo. Pargrafo nico. Entre as informaes referidas acima, no se incluiro informaes sigilosas referentes s companhias emissoras de ttulos e valores mobilirios integrantes da carteira do fundo, obtidas pelo administrador sob compromisso de confidencialidade ou em razo de suas funes regulares enquanto membro ou participante dos rgos de administrao ou consultivos da companhia. Instruo 380/2002: Art. 3 - As corretoras eletrnicas devem fazer constar em suas pginas na rede mundial de computadores, de forma clara, precisa e em linguagem acessvel ao pblico investidor: IV - as caractersticas do sistema de segurana mantido pela corretora, incluindo uso de senhas e assinaturas eletrnicas; Art. 4 - As corretoras eletrnicas devem estabelecer, em suas pginas na rede mundial de computadores, uma seo ou um atalho para a educao dos investidores, contendo, entre outras informaes que sua administrao julgue relevantes: IV - os riscos operacionais do uso da rede mundial de computadores e de sistemas eletrnicos de negociao para a compra e venda de valores mobilirios; DA SEGURANA DOS SISTEMAS Art. 7 - Compete s corretoras eletrnicas garantir a segurana e o sigilo de toda a informao sobre seus clientes, suas ordens de compra ou venda de valores mobilirios e sua carteira de valores mobilirios, bem como sua comunicao com os clientes, devendo utilizar elevados padres tecnolgicos de segurana de rede. Art. 8 - As corretoras eletrnicas so responsveis pela operacionalidade de seus sistemas, ainda que os mesmos sejam mantidos por terceiros.

DA AUDITORIA PERIDICA PELA ENTIDADE AUTO-REGULADORA Art. 14 - As entidades auto-reguladoras que administrem sistemas eletrnicos de negociao com recebimento de ordens por meio da rede mundial de computadores devem realizar uma auditoria peridica semestral, em todas as corretoras eletrnicas, com a emisso de relatrio correspondente sobre os sistemas utilizados pelas corretoras eletrnicas, verificando se: esto sendo regularmente prestadas aos clientes as informaes previstas no art. 3 desta Instruo;

Corretoras EletrnicasVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 10

Compliance: Gesto de Risco Operacional

Gesto de Risco e Controle Interno

Susep Circular 249/04 - Implantar controles internos de suas atividades - de seus sistemas de informaes - do cumprimento de normas legais - Os controles devem ser efetivos e consistentes com a natureza, complexidade e risco das operaes Caracterstica dos controles internos: definio de responsabilidades segregao de atividades meios de identificao de potenciais reas de conflito avaliao dos fatores que afetam a realizao dos objetivos canais de comunicao com funcionrios acompanhamento sistemtico das atividades testes peridicos de segurana de sistemas de informao

FL. 2 da CIRCULAR SUSEP No 344, de 21 de junho de 2007.

....Pargrafo nico. Os estudos devero abranger todos os produtos

comercializados pelas pessoas mencionadas no caput deste artigo e sero validados anualmente pela auditoria interna. Art. 5o Com base nos estudos citados no art. 4o desta Circular, no prazo constante do art. 9o desta Circular, dever ser desenvolvida e implementada, na forma da legislao vigente, estrutura de controles internos especficos, validada pela auditoria interna, para tratar dos riscos identificados.

Empresas de Seguros

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

11

Compliance: Gesto de Risco Operacional

Gesto de Risco e Controle Interno

Acordo de Basilia II (Resoluo 3380 Bacen) A Resoluo 3.380 do Banco Central do Brasil, publicada em 29/junho/2006, prev a implantao de rea de Gerenciamento de Risco Operacional em todas as Instituies Financeiras. Em seu Art.5. nico, determina que os servios terceirizados, relevantes para o funcionamento da instituio, tambm devem ser monitorados, da mesma forma prevista para os demais processos da organizao. Servios Terceirizados relevantes vo desde a Compensao de Cheques, processamento do SPB, Data Centers, Redes de Caixas Eletrnicos, Processadoras de Cartes de Dbito e Crdito e outros at o desenvolvimento de softwares e utilizao de Aplicativos comercializados por terceiros.

Bancos

Resoluo n 3.380 do Banco Central.A 3380 reflete o acordo de Basilia 2, que exige de bancos de todo o mundo o acompanhamento e controle de riscos operacionais e de mercado. A maior parte dos investimentos voltados aos projetos para atender a resoluo ir para TI.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

12

Compliance: Gesto de Risco Operacional

Gesto de Risco e Controle Interno

Acordo de Basilia II (Resoluo 3380 Bacen) Basilia II, depois do Risco de Crdito Risco de Mercado e Risco Operacional Trs Pilares de Basilia Exigncia de Patrimnio Lquido MNIMO em funo dos Riscos de Crdito, de Mercado e Operacional Patrimnio Lquido/Soma dos Ativos Poderados pelos Riscos >= 8% (Ratio Mc Donough) Processo de Superviso Prudencial (O Banco deve poder justificar o seu Patrimnio Liquido, sua Gesto de Riscos). As autoridades de controle Banco Central devem garantir que o ndice de Mc Donough respeitado e tomar medidas se ele no o . Disciplina do Mercado (O Banco deve publicar periodicamente, informaes especificas, para justificar a correlao entre o Patrimnio Liquido e o seu Perfil de Risco)

Bancos

Resoluo n 3.380 do Banco Central.A 3380 reflete o acordo de Basilia 2, que exige de bancos de todo o mundo o acompanhamento e controle de riscos operacionais e de mercado. A maior parte dos investimentos voltados aos projetos para atender a resoluo ir para TI.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

13

Eficincia Operacional

Gesto de Risco e Controle Interno

26/03/2009 - PREGO ELETRNICO ECONOMIZA R$3,8 BILHES PARA OS COFRES PBLICOS EM 2008 O Governo Federal economizou R$ 3,8 bilhes com o prego eletrnico em 2008. Esse valor corresponde a uma reduo de 24% entre o valor de referncia (o valor mximo que o Governo est disposto a pagar na aquisio de um bem ou na contratao de um servio) e o que efetivamente foi pago pelos rgos pblicos. No ano passado essa modalidade respondeu por R$ 12,2 bilhes (73,7%) do valor de bens e servios comuns licitados e por 33.972 processos de compra (79,4%) dos procedimentos. O prego destinado contratao de bens e servios comuns - aqueles cuja especificao facilmente reconhecida pelo mercado. Em 2008 o Governo Federal licitou ao todo R$ 16,6 bilhes de bens e servios comuns.

http://www.comprasnet.gov.br/Eficincia Operacional: - Racionalizar e integrar os processos de trabalho - Reduzir custos operacionais - Obter ganhos de produtividade das pessoas - Gerenciar rotinas de trabalho([email protected]) 2009/2010 Direitos Reservados 14

Governo FederalVerso 2.0 | Rildo F Santos

Motivao:

Gesto de Risco e Controle Interno

> Aumentar a eficincia operacional > Compliance (requisitos legal e/ou de regulamentao)

> Mitigao de riscos operacionais

> Reduo de Custos

Melhor Governana e Compliance: - Maior transparncia (CVM, SEC, TCU..) - Aderncia aos normativos regulatrios, leis e etc.Verso 2.0 | Rildo F Santos

Melhor Gesto sobre os recursos: - Ganhos de eficincia operacionais - Reduo de risco2009/2010 Direitos Reservados 15

([email protected])

GRC (Governana, Risco e Compliance)

Gesto de Risco e Controle Interno

Governana

Gesto de RiscoPolticas, Diretrizes e Controle

Compliance

A Integrao de Governana Corporativa, Gesto de Risco e Compliance (GRC) melhor prtica para a Gesto de Risco CorporativoVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 16

Modelo GRC:

Gesto de Risco e Controle Interno

GovernanaTomada de Deciso Risco (Risk tradeoff decisions)Planejamento Estratgico (viso, misso e valores), Polticas e Diretrizes

Compliance com regras de Governana

RiscoGerenciamento de Risco (identificar, analisar e mitigar risco)

Tomada de Deciso Risco Impacto de no atender ao Compliance

ComplianceAderncia leis, regulamentaes, polticas, padres, contrato, melhores prticas e frameworks

Quem decide e quais processos seguir17

Tolerncia ao Risco

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

Desafio: Como implantar a Gesto de Risco ?

Gesto de Risco e Controle Interno

101, 102...

Mudana Cultura....

Para ter sucesso na implantao: - Disseminar a cultura do Risco; - Fazer um bom planejamento; - Utilizar ferramentas de produtividade; - Utilizar as melhores prticas; - Trabalhar a comunicao, motivao e conscientizao; - Capacitar as pessoas.Verso 2.0 | Rildo F Santos

Para se obter resultados: - Trabalhar a expectativa; - Preparar a mudana (choque do novo); - Premiar o bom desempenho; - necessrio recursos, esforos, comprometimento e dedicao...

([email protected])

2009/2010 Direitos Reservados

18

Gesto de Risco e Controle Interno

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

19

Fundamentos:

Gesto de Risco e Controle Interno

Governana Corporativa, definio:

Governana Corporativa o sistema pelo qual as sociedades so dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administrao, Diretoria, Auditoria Independente e Conselho Fiscal. As boas prticas de governana corporativa tm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade1.Exigncias: Benefcios:

LeisRegulamentos Normas

Governana CorporativaTransparnciaEquidade Prestao de Conta Compliance2 tica

Voc pagaria a mais pelas aes de quem adota prticas de governana ? - 76% disseram que sim e destas a maioria afirmou que pagaria 24% a mais pelas aes.Fonte: McKinsey com empresas da Amrica Latina

Controles

Transparncia = Credibilidade

Notas: 1 - Fonte: Instituto Brasileiro de Governana Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 20

Fundamentos:

Gesto de Risco e Controle Interno

Governana Corporativa

Governana de Negcio

Governana de ComplianceCompulsria Espontnea

Planejamento Estratgico (BSC)Resultado & Desempenho

Agncias Reguladoras

NYSE BACEN SOX Basel II

Bovespa/CVM N1 N2

Gesto de Risco e Controles Internos Direcionadores EstratgicosGovernana significa o ato de conduzir uma nao, uma empresa, comunidade ou famlia atravs de uma liderana escolhida pelos componentes destas entidades de forma natural ou eletiva.

O objetivo de um conjunto de boas prticas de Governana Corporativa adequada aos interesses dos stakeholders (partes interessadas) regulamentar a relao dos administradores com os shareholders (acionistas), scios, empregados, clientes, financiadoras, governo e sociedade.As boas prticas em Governana Corporativa incluem aspectos de publicao de informaes simtricas (disclosure) como parte da prestao de contas inerente ao poder atribudo (accountability), sustentabilidade e equidade de direitos. No aspecto legal, a Governana Corporativa um mecanismo que visa garantir aos fornecedores de recursos financeiros, shareholders, um justo retorno do seu investimento

formado por conjunto de normas que devem guiar o comportamento dos diretores, administradores e acionistas controladores, com objetivo de maximizar o valor da empresa e que definem as obrigaes e responsabilidadesVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 21

Fundamentos:

Gesto de Risco e Controle Interno

Estudo de Caso: Implantao da Governana Corporativa

Fonte: Apresentao: Auditoria Interna da Petrobrs JOS RICARDO ALMEIDA DA ROSA Petrbrs - 2004

Fonte: GESTO DE RISCOS E CONTROLES INTERNOS PEDRO GAUZISKI DE ARAUJO FIGUEREDO GERNCIA GERAL DE CONTROLES INTERNOS PETROBRAS FONAI, MAIO/2006

Foto est publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

22

Estudo de Caso: Implantao da Governana Corporativa na Petrobrs

Gesto de Risco e Controle Interno

A Petrobras uma empresa de economia mista, que opera nas reas de explorao, produo, refino, comercializao e transporte de petrleo e seus derivados no Brasil e no exterior. Criada em 1953 pelo governo de Getlio Vargas, hoje uma das vinte maiores empresas petrolferas do mundo. Em 2005, a Petrobras obteve lucro de 23,7 bilhes de reais e o maior da histria da empresa, alm do maior lucro j registrado por uma companhia da Amrica Latina de capital aberto. O valor equivale a um crescimento de 40% em relao ao ano anterior. O aumento da produo de petrleo, maior carga processada de leo pesado nacional, maior utilizao da capacidade de refino e aumento de preos so alguns dos responsveis pelo resultado recorde. Seus sucessivos lucros so um dos grandes pilares na manuteno do supervit primrio brasileiro. Em 2006 a Petrobras entrou para o seleto grupo das empresas que tm um valor de mercado em bolsa superior a 100 bilhes de dlares. A Petrobras referncia internacional na explorao de petrleo em guas profundas.

Em busca da Governana. Principais reformas estatutrias em 2002: Histrico: A - Adequ-lo s modificaes da Lei das S.A. B - Buscar uma aproximao com as prticas de Governana Corporativa estabelecidas pela BovespaLei 6.404 de 1976 - Lei das Sociedades por Aes Sujeio s Normas da CVM Comisso de Valores Mobilirios (art. 235, 1);

C - Aperfeioar as prticas de governana corporativaVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 23

Estudo de Caso: Implantao da Governana Corporativa na Petrobrs

Gesto de Risco e Controle Interno

Modelo Governana Corporativa: Estrutura

Conselho Fiscal

Comits do CA: Auditoria Meio Ambiente Remunerao e Sucesso Comits de Gesto:

Definies estratgicas e superviso

Conselho de Administrao Auditorias

Comits do CA

Relatores

Presidente Diretoria Executiva Diretores

Execuo da estratgia e desenvolvimento das operaes

Comit de Negcios Comits de Gesto

Abastecimento E&P Gs e Energia Recursos Humanos SMS Anlise de Organizao e Gesto Tecnologia da Informao Controles Internos Risco Tecnologia Responsabilidade Social e Ambiental

Foto est publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

24

Estudo de Caso: Implantao da Governana Corporativa na Petrobras

Gesto de Risco e Controle Interno

Modelo Governana Corporativa: InstrumentosEstatuto Social

Regulamenta o objeto, a administrao e o funcionamento da Petrobras, bem como o relacionamento entre os acionistas.Estabelece diretrizes sobre: - Princpios de atuao e funcionamento do CA - Consulta aos preferencialistas em questes relevantes Trata de polticas corporativas envolvendo: - Divulgao de informaes sobre ato ou fato relevante - Negociao com valores mobilirios - Indicao para cargos de administrao de subsidirias, coligadas e controladas - Conduta de administradores e funcionrios da administrao superior - Relacionamento com investidores

Diretrizes de Governana

Cdigo de Boas Prticas

Regimentos Internos

Regulamentam as atribuies e a operacionalizao das reunies dos rgos: - Conselho de Administrao - Comits do Conselho de Administrao - Comit de Negcios - Comits de GestoBase para a utilizao dos mecanismos da boa governana corporativa. Considera um Cdigo de Conduta para empregados e todos que mantm relacionamento com a Companhia.([email protected]) 2009/2010 Direitos Reservados 25

Cdigo de tica (Cdigo de Conduta)

Verso 2.0 | Rildo F Santos

Estudo de Caso: Implantao da Governana Corporativa na Petrobrs

Gesto de Risco e Controle Interno

Modelo Governana Corporativa: Partes interessadas

ACIONISTAS

INVESTIDORES

CLIENTES

FORNECEDORES

FORA DE TRABALHO

GOVERNO

SOCIEDADE

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

26

Estudo de Caso: Implantao da Governana Corporativa na Petrobrs

Gesto de Risco e Controle Interno

Modelo Governana Corporativa: Lei Sarbanes-Oxley

A Petrobras possui American Depositary Receipts, - ADRs nvel 3, ttulos negociados na Bolsa de Nova Iorque (NYSE). A Companhia est, portanto, se adaptando s inmeras exigncias da SOX. Formalizao dos Controles e Procedimentos de Divulgao de Informao, documento interno que inclui todos os controles criados para garantir a exatido das informaes divulgadas nos relatrios e fatos relevantes publicados. Criao de mecanismo interno visando o envolvimento e responsabilizao de todos os nveis hierrquicos na prestao de informaes - Matriz de responsabilidade. Certificao das informaes divulgadas ao mercado pelo Presidente e pelo Diretor Financeiro (Form 20-F: exerccios fiscais de 2002 e 2003) Divulgao no Form 20-F sobre a existncia de dois especialistas financeiros no Conselho de Administrao. A Petrobras desde de 2002 fez lio de casa para atender SOX e vem intensificando esforos na anlise de seus impactos e na promoo dos ajustes no modelo de governana da empresa. Todas as exigncias em vigor foram cumpridas.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

27

Fundamentos:

Gesto de Risco e Controle Interno

Governana de TI Segundo IT Governance Institute (www.itgi.org), a definio da Governana de TI: uma estrutura de relacionamentos e processos para dirigir e controlar a organizao para atingir os objetivos corporativos, adicionando valor, ao mesmo tempo que equilibra os riscos em relao ao retorno da TI e seus processosExigncias Leis Regulamentos

NormasControles

Governana Corporativa Transparncia Equidade Prestao de Conta Compliance tica Guia: COSO

Guias

Governana de TI

Cobit ITIL MOF PMBok

COBIT - Control Objectives for Information and Related Technology www.isaca.org Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 28

Fundamentos:

Gesto de Risco e Controle Interno

Governana Corporativa

Governana de Negcio

Governana de ComplianceCompulsria Espontnea

Planejamento Estratgico (BSC)Resultado & Desempenho

Agncias Reguladoras

NYSE BACEN SOX Basel II

Bovespa/CVM N1 N2

Direcionadores Estratgicos Direcionadores Estratgicos

Gesto de Risco e Controles Internos

Governana de TI COBIT Servios de TI ITIL/ISO 20k Projetos PMI/PMBok Fbrica SW CMMi/MPS.br OutSourcing e-SCM/SAS70 Segurana ISO 27001

Melhores Prticas,Padres, Normas e rea de ConhecimentoVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 29

Fundamentos:

Gesto de Risco e Controle Interno

Governana de TI: Objetivos: - Simplificar/Democratizar as decises de TI;

- Simplificar as operaes e/ou servios de TI;- Melhorar o nvel de qualidade dos servios de TI; - Estabelecer e manter relacionamento com clientes e fornecedores;

- Maximizar uso de recursos;- Otimizar custos; - Gesto de Riscos (Identificar, Analisar e Responder); - Estabelecer e manter a conformidade com as leis e regulamentos; - Promover a integrao entre o Negcio e a TI; - Gerar valor para empresa.Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 30

Estudo de Caso. Governana de TI:

Gesto de Risco e Controle Interno

Quem j implantou a Governana de TIEstudo de Casowww.bovespa.com.brA introduo de mecanismos automatizados na negociao da BOVESPA remonta aos anos 70, quando os boletos foram substitudos por cartes perfurados e os negcios passaram a ser registrados de forma eletrnica. Desde ento, a BOVESPA vem acompanhando as principais inovaes tecnolgicas, investindo na melhoria contnua de sua infraestrutura a fim de garantir alta performance e um ambiente altamente seguro e confivel. Home Broker MEGA BOLSA Governana de TI InfraEstruturaGovernana de TI Desde 2004, a BOVESPA/CBLC adota um modelo de Governana de TI: gesto planejada de recursos humanos e materiais, que propiciam o desenvolvimento de infraestruturas, sistemas e processos alinhados s melhores prticas internacionais e s necessidades especficas dos negcios. Desde sua implantao na BOVESPA/CBLC, vrios avanos foram feitos, com benefcios para todos os participantes do mercado. A Governana de TI permite: medir e auditar a execuo e a qualidade dos servios; viabilizar o acompanhamento de contratos internos e externos; e definir condies para o exerccio eficaz da gesto com base em conceitos consolidados de qualidade. Vantagens da Governana de TI: Alinhamento da estratgia da rea de TI com as das reas de negcio; Maior capacidade e agilidade para novos modelos de negcios ou ajustes nos modelos atuais; Manuteno dos riscos do negcio sob controle; Medio e melhoria contnua da performance de TI; Maior transparncia das atividades de TI.

Esta informaes esto publicadas no site da Bovespa (www.bovespa.com.br) que proprietria legitima destas informaes

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

31

Fundamentos:

Gesto de Risco e Controle Interno

Gesto de Riscos

Identificao do Risco

Anlise/Avaliao do Risco

Resposta ao Risco

Risco Mitigado

No Identificao do Risco

Exposio ao Risco

Ocorrncia do evento

Materializao do Risco

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

32

Fundamentos:

Gesto de Risco e Controle Interno

Definio de Risco (segundo COSO 2): A possibilidade de que um evento ocorra e afete desfavoravelmente a realizao dos objetivos. Evento: Incidente ou ocorrncia, a partir de fontes internas ou externas a um entidade (uma organizao ou empresa), capaz de afetar a realizao dos objetivos. Oportunidade: A possibilidade que um evento ocorrer e afetar de forma favorvel realizao dos objetivosOutras definies: Definio de Risco (rfs): Risco qualquer evento que pode afetar a habilidade de empresa a alcanar seus objetivos

Abrangendo (agentes de riscos): Perigo: Coisas ruins que acontecem Incerteza: Coisas que no ocorrem como esperado Oportunidade: Coisas boas que acontecemDefinio (segundo ISO/IEC Guide 73): O risco pode ser definido como a combinao da probabilidade de um acontecimento e das suas consequnciasVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 33

Fundamentos:

Gesto de Risco e Controle Interno

Evento: Riscos e Oportunidades: Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo representam riscos que podem impedir a criao de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalanar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realizao dos objetivos, apoiando a criao ou a preservao de valor. A direo da organizao canaliza as oportunidades para seus processos de elaborao de estratgias ou objetivos, formulando planos que visam ao aproveitamento destes.

Categorias dos Eventos:Infraestrutura: Disponibilidade de bens Capacidade dos bens Acesso ao capital Complexidade Pessoal: Capacidade dos empregados Atividade fraudulenta Sade e segurana Processo: Capacidade Design Execuo Dependncias / fornecedores Tecnologia: Integridade de dados Disponibilidade de dados Disponibilidade de sistemas Seleo de sistemas Desenvolvimento Alocao Manuteno Econmicos: Disponibilidade de capital Emisses de crdito, inadimplncia Concentrao Liquidez Mercados financeiros Desemprego Concorrncia Fuses / aquisies Meio Ambiente: Emisses e dejetos Energia Desastres naturais Desenvolvimento sustentvel Polticos: Mudanas de governo Legislao Poltica pblica Regulamentos Sociais: Caractersticas demogrficas Comportamento do consumidor Privacidade Terrorismo Tecnolgicos: Interrupes Comrcio eletrnico Dados externos Tecnologias emergentes

Eventos Internos

Eventos Externos

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

34

Fundamentos:

Gesto de Risco e Controle Interno

Tipos de Riscos:Risco de mercado: O Risco de Mercado de fcil entendimento pois est relacionado com a variao do valor dos ativos (bens, servios, ndices, commodities). o risco de ganhar ou perder quantia financeiros pela simples mudana dos preos dos ativos no mercado financeiro. Por exemplo: Considere que uma pessoa (um investidor) que comprou 1000 aes preferenciais da Petrobras ao preo unitrio de R$ 75,00 desembolsando R$ 75.000,00. Quanto esta carteira valer ao final do dia de amanh, decorrente das alteraes no valor desta ao ? Como o valor dos ativos negociados determinado pelo mercado, a incerteza em relao ao valor futuro do ativo (cuja oscilao pode representar perdas ou ganhos) o que caracteriza ento o Risco de Mercado . Risco de crdito: Risco de crdito se refere a uma possvel incapacidade da instituio financeira, responsvel pela emisso de ativos financeiros usados em investimentos, de honrar seus compromissos financeiros assumidos com os investidores. Essa situao pode ser causada por problemas financeiros oriundos de uma m administrao ou gesto, dificuldades com planos econmicos, etc.

Risco Legal/Compliance Fraquezas mostra1 Ao cumprir a seo 404 da Lei Sarbanes-Oxley, Telemar e Copel revelam fragilidades nos controles de seus balanos.Nota:1 Revista Capital Aberto edio 48

Risco de Subscrio: Este risco representa a possibilidade do montante dos sinistros a serem pagos pela sociedade seguradora em um perodo futuro ser maior que o montante de prmios a ser recebido

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

35

Fundamentos:

Gesto de Risco e Controle Interno

Risco Operacional (RO): Risco Operacional o risco associado operao de uma empresa. Definio de Risco Operacional (segundo Jorion, 1998): So perdas potenciais resultantes de sistemas inadequados, m administrao, controles defeituosos ou falha humana, a qual inclui o risco de execuo, correspondente a situaes em que as operaes no so executadas, resultando em atrasos ou penalidades; o risco de execuo relaciona-se a qualquer problema nas operaes de back-office, relativas ao registro de transaes e reconciliaes de operaes. Tambm incluem fraude e a necessidade de proteger os sistemas contra acesso no autorizado e violaes. Exemplos: Falhas de sistemas, prejuzos decorrente de desastre naturais ou acidentes Definio de Risco Operacional (segundo Chouhy, 1998): o risco de eventos externos, ou deficincias de controles internos e sistema de informao, resultarem em perdas, estando associado ao erro humanos, falhas em sistemas e procedimentos e controles inadequados. Exemplo de Risco Operacional (classes ou sub-tipo): - Risco de reputao; - Risco de Liquidao; - Risco Humano; - Risco de Controle Interno Inadequado ou falto de controle; - Risco Tecnologia Inadequada ou Insuficiente; - Risco Sistmico; - Risco de Imagem; - Risco de Fraude.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

36

Fundamentos:

Gesto de Risco e Controle Interno

Risco Operacional, um exemplo:Corretor acusado de rombo de R$ 13,16 bi em banco francs, na maior fraude da histriaPARIS, 24 Jan 2008 (AFP) - O Socit Gnrale, um dos trs maiores bancos franceses, revelou nesta quinta-feira ter perdido 7 bilhes (R$ 18,43 bilhes). Desse total, cerca de 5 bilhes (R$ 13,16 bilhes) foram perdidos em operaes ilcitas que teriam sido feitas por um s de seus corretores. a maior fraude da histria financeira mundial. Em plena tormenta nas Bolsas mundiais, o banco anunciou esta fraude interna de 4,9 bilhes, aos quais somam-se 2 bilhes de desvalorizaes ligadas crise dos "subprimes". O funcionrio acusado de ser responsvel pela fraude, que operava em Paris e cuja identidade no foi revelada, foi demitido. Aps terem sido suspensas a pedido do banco, as aes do Socit Gnrale voltaram a ser negociadas e fecharam em baixa de 4,1% nesta quinta-feira para 75,81. De acordo com as explicaes do banco, a fraude foi descoberta no dia 19 de janeiro: um corretor, operando em uma subdiviso de suas atividades de mercado, se aproveitou de "seu conhecimento profundo dos procedimentos de controle para dissimular suas posies graas a uma montagem elaborada de transaes fictcias". O Socit Gnrale liquidou depois suas posies, mas, levando-se em conta seu tamanho e "as condies do mercado particularmente desfavorveis", essa fraude teve um impacto negativo de 4,9 bilhes sobre seu resultado lquido. Durante uma entrevista coletiva imprensa convocada com urgncia, o presidente ao Socit Gnrale, Daniel Bouton, tentou se explicar sobre essa fraude gigantesca e pediu desculpas aos acionistas. "Apenas um homem construiu uma empresa de fachada no interior do grupo, utilizando os instrumentos do Socit Gnrale e teve a inteligncia de escapar de todos os procedimentos de controle", declarou. Ele indicou que o corretor agiu ao longo de todo o ano de 2007 e que uma queixa foi apresentada contra ele. O advogado de dezenas de acionistas do banco afirmou ter apresentado uma queixa por "estelionato, abuso de confiana, falsidade ideolgica, cumplicidade e receptao". O Banco de Frana anunciou logo em seguida que uma investigao ser iniciada para examinar as condies nas quais essa fraude ocorreu.Fonte: UOL/(AFP) PARIS, 24 Jan 2008:

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

37

Fundamentos:

Gesto de Risco e Controle Interno

Novo paradigma na Gesto de Riscos:

Velho Paradigma

Novo Paradigma

DERisco determinado pela intencionalidadeOportunidades so perseguidas impulsivamente Somente a Auditoria responsvel

PARARisco constante

Oportunidades so quantificadas em termos de risco e retorno Alta gesto (CEO) so os principais responsveis Controles precisam focalizar riscos do negcio de todo tipo

Controles precisam focalizar riscos financeiros e resultados somente Foco nas aes corretivas As pessoas so as fontes primrias de risco

Foco nas aes preventivas Os processos so a fonte primrias de riscos.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

38

Fundamentos:

Gesto de Risco e Controle Interno

Novo paradigma na Gesto de Riscos:

Velho Paradigma

Novo Paradigma

DEMonitoramento de Risco funo dos auditores internosRisco um fator negativo a ser controlado Os risco so gerenciados separadamente Responsabilidade pelo gesto de risco delegada a nveis inferiores Mensurao do risco subjetiva

PARAMonitoramento de risco atividade do CEO

Risco uma oportunidadeO gerenciamento de risco integrado e corporativo Gesto de risco responsabilidade de um gerente de linha snior

Risco quantificado Gesto de riscos construdo dentro do sistema de gerenciamento corporativo

Funes de gerenciamento de riscos so desestruturadas e divergentes

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

39

Fundamentos:

Gesto de Risco e Controle Interno

Definio de Controle Interno (Segundo o COSO 2): O Controle Interno parte integrante da Gesto de Risco Corporativo (ERM). Segundo o COSO a definio de controle interno: Controle interno um processo, desenvolvido para garantir, com razovel certeza, que sejam atingidos os objetivos da empresa, nas seguinte categorias: - Eficcia e eficincia de operaes; - Confiabilidade nos registros contbeis e financeiros e - Conformidade com as leis e regulamentos.

Outras definies:Definio (P.N. Migliavacca): Controle Interno define-se como o planejamento organizacional e todos os mtodos e procedimentos adotados dentro de uma empresa, a fim de salvaguardar seus ativos, verificar a adequao e o suporte dos dados contbeis, promover a eficincia operacional e encorajar a aderncia s polticas definidas pela direo. Definio (rfs): Polticas, procedimentos, atividades e mecanismos desenvolvidos para assegurar que a misso e os objetivos de negcios sejam alcanados; proteger os ativos; e garantir a eficincia operacional. O controle interno deve ter o papel preventivo para que os eventos indesejveis sejam prevenidos, detectados e corrigidos.Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 40

Exerccio:

Gesto de Risco e Controle Interno

Um fabricante e importador de calados, estabeleceu a misso de tornar-se lder na indstria de calados femininos de alta qualidade. Para realizar esse objetivo, comeou a fabricar produtos que aliavam estilo, conforto e durabilidade, usando tcnicas mais avanadas e materiais de fornecedores estrangeiros rigorosamente selecionados. Empresa analisou o ambiente operacional externo e identificou fatores sociais e seus respectivos eventos, como a mudana da faixa etria de seu principal mercado consumidor e as tendncias para roupas de trabalho. Os eventos originados por fatores econmicos incluam flutuaes de moeda estrangeira e oscilaes nas taxas de juros. Os fatores tecnolgicos internos indicavam um sistema obsoleto de gesto de distribuio e, os fatores internos de pessoal, de treinamento inadequado em marketing. Alm de constatados no mbito da organizao, os eventos tambm devem ser identificados no nvel da atividade. Esse procedimento contribui para orientar o enfoque do gerenciamento de riscos s principais unidades de negcios ou funes, como vendas, produo, marketing, tecnologia da informao, distribuio, pesquisa e desenvolvimento.Quais so as categorias de eventos (risco) que podemos encontrar no texto:

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

41

Gesto de Risco e Controle Interno

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

42

Gesto de Risco e Controle Interno

4- Viso geral do Framework Coso 1 - Controle Interno - Componentes & Objetivos

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

43

COSO 1 Framework Integrado de Controle Interno

Gesto de Risco e Controle Interno

Introduo:O processo regulatrio referente a controle internos tem um marco importante nos Estados Unidos por ocasio da lei aprovada pelo Congresso Americano, em dezembro de 1987, chamada de Foreign Corrupt Practices Act (FCPA). Essa lei restringe-se a sociedades annimas por aes. As empresas sob FCPA, so obrigadas a criar e implementar e manter sistemas de controle que ofeream garantias de que as transaes sero registradas de conformidade com os princpios contbeis. Os auditores independentes atravs do AICPA, em SAS (Declarao Padro de Auditoria) 55, pregam que a administrao deve estabelecer uma estrutura de controle interna composta por 3 elementos: Ambiente de controle; Sistema Contbil e Procedimento de Controle. Um estudo neste sentido foi feito pela Treadway Commission. A recomendao do Treadway Commission, no sentido de desenvolver-se uma definio comum de controle interno com diretrizes processuais, criou-se o COSO, Comit das Organizaes Patrocinadoras. O modelo apresentado pelo COSO em 1992 e atualizado em 1994 (Internal Control Integrated Framework), conhecido como COSO 1, definiu o controle interno e elaborou critrios para a avaliao de sistemas. O COSO 1 responsabiliza pelo processo de Controle Interno o Conselho Diretor (Board), a Administrao (Directors) e os funcionrios da entidade. O COSO 1, o framework (conjunto de melhores prticas de controles internos corporativos). Foi largamente adotado para atender os requisitos da SOX.Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 44

COSO 1 Framework Integrado de Controle Interno

Gesto de Risco e Controle Interno

Objetivos do COSO 1Ele estabelece o processo como garantidor para a realizao de objetivos das seguintes categorias: - Eficcia e eficincia de operaes; - confiabilidade dos relatrios financeiros - cumprimento das leis e regulamentos pertinentes. O COSO 1 sugere tambm que a avaliao do processo de controle interno deva ser pontual ao longo do tempo (exemplo: semestral, anual...). O modelo define ainda que um sistema de controle interno deve ter 5 componentes relacionados: 1 Ambiente de controle (com foco na estrutura organizacional e as relaes com o ambiente externo); 2 Avaliao de risco; 3 Atividade de controle (polticas e procedimentos); 4 informaes e comunicaes; 5 Monitoramento.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

45

COSO 1 Framework Integrado de Controle Interno

Gesto de Risco e Controle Interno

COSO 1 Componentes:Ambiente de Controle: a base para todos os demais componentes. Diz respeito a fatores como tica, integridade, formas de conduta, polticas de recursos humanos, estrutura da organizao, forma de atuao e ateno do Conselho de Administrao e da alta administrao quanto cultura de controle, atribuio adequada de autoridade e responsabilidade e alocao de recursos

Avaliao de Risco: Consiste da identificao e anlise de risco (interno e externo) que so significantes ao alcance dos objetivos da empresa. Esta avaliao deve levar em considerao a severidade do risco, a freqncia com que estes ocorrem e seu impacto. Definio de como a empresa administrar tais riscos.

Atividade de Controle: So as polticas e procedimentos que garantem que os planos e diretrizes indicados pela administrao so atingidos e ocorrem por toda a empresa, em todos os nveis, incluindo todas as funes, inclusive a aspecto de segurana fsica e lgica.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

46

COSO 1 Framework Integrado de Controle Interno

Gesto de Risco e Controle Interno

COSO 1 Componentes:Informao e Comunicao: Os sistemas de informao produzem relatrios contendo informaes operacionais, financeiras e de compliance (conformidade) que tornam possvel a conduo e controle do negcio. Tratam de informaes geradas tanto interna com externamente e que sero publicadas internamente e/ou externamente. Os sistemas de informao devem permitir o fluxo de informaes por toda a organizao, dos nveis hierrquicos inferiores para os superiores e vice-versa e com rgos externos.Monitoramento: monitoramento continuo sob a realizao das operaes, atividades regulares de gerenciamento e superviso de outras atividades decorrentes de execuo de tarefas pelas pessoas. As deficincias encontradas ao longo do monitoramento devem ser comunicadas ao gerente responsvel e quando necessrio ser comunicadas a alta administrao.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

47

Gesto de Risco e Controle Interno

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

48

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

Introduo:Em 2001, o COSO propem uma reviso tcnica, chamada de ERM (Enterprise Risk Management Framework), conhecida como COSO 2. O COSO 2, um estudo complementar ao framework do COSO chamado Gerenciamento de Riscos Corporativo (ERM - Enterprise Risk Management), que representa, um prximo passo para aquelas empresas que esto preocupadas em, alm de atender s demandas regulatrias, preservar a gerao de valor de suas empresas. COSO 2, o framework (conjunto de melhores prticas de gerenciamento de risco corporativos). Foi largamente adotado para atender os requisitos do Basel 2.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

49

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

A ERM (Enterprise Risk Management) Gesto de Risco Corporativos um processo conduzido em uma organizao pelo Conselho de Administrao(CA), diretoria e demais empregados, aplicado no estabelecimento de estratgias, formuladas para identificar em toda a organizao eventos em potencial, capazes de afet-la, e administrar os riscos de modo a mant-los compatvel com o apetite a risco da organizao e possibilitar garantia razovel do cumprimento dos seus objetivos.

A premissa inerente a gesto de riscos corporativos que toda organizao existe para gerar valor s partes interessadas. Todas as organizaes enfrentam incertezas, e o desafio de seus administradores determinar at que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforo para gerar valor s partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor.

A gesto de riscos corporativos possibilita aos administradores tratar com eficcia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor. O valor maximizado quando a organizao estabelece estratgias e objetivos para alcanar o equilbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos com eficcia e eficincia na busca dos objetivos da organizao.([email protected]) 2009/2010 Direitos Reservados 50

Componentes

Verso 2.0 | Rildo F Santos

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

O gerenciamento de riscos corporativos tem por finalidade:

Alinhar o apetite a risco com a estratgia adotada os administradores avaliam o apetite a risco da organizao ao analisar as estratgias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos. Fortalecer as decises em resposta aos riscos o gerenciamento de riscos corporativos possibilita o rigor na identificao e na seleo de alternativas de respostas aos riscos como evitar, reduzir, compartilhar e aceitar os riscos. Reduzir as surpresas e prejuzos operacionais as organizaes adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuzos associados.Identificar e administrar riscos mltiplos e entre empreendimentos toda organizao enfrenta uma gama de riscos que podem afetar diferentes reas da organizao. A gesto de riscos corporativos possibilita uma resposta eficaz a impactos inter-relacionados e, tambm,respostas integradas aos diversos riscos. Aproveitar oportunidades pelo fato de considerar todos os eventos em potencial, a organizao posiciona-se para identificar e aproveitar as oportunidades de forma proativa. Otimizar o capital a obteno de informaes adequadas a respeito de riscos possibilita administrao conduzir uma avaliao eficaz das necessidades de capital como um todo e aprimorar a alocao desse capital.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

51

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

COSO 2: Os Objetivos & Nveis de Organizao: Os objetivos: Essa estrutura estabelece quatro categorias de objetivos para a organizao: Estratgicos referem-se s metas no nvel mais elevado. Alinham-se e fornecem apoio misso. Operaes tm como meta a utilizao eficaz e eficiente dos recursos. Comunicao relacionados confiabilidade dos relatrios. Conformidade fundamentam-se no cumprimento das leis e dos regulamentos pertinentes.

Nveis de Organizao: ERM considera atividades em todos os nveis da organizao: - Entidade - Diviso ou Subsidiria - Unidade de Negcios - ProcessoVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 52

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

COSO 2: Os componentes chaves

- Ambiente Interno: ambiente no qual a empresa opera- Estabelecimento de Objetivos: objetivos alinhados misso - Identificao de Evento: eventos que possam afetar os objetivos

- Avaliao de Risco: como a empresa avalia seus riscos- Resposta ao Risco: alinhar os riscos com os objetivos - Atividades de Controle: polticas e procedimentos para assegurar que os objetivos sejam executados - Informao e Comunicao: ocorre de maneira ampla, fluindo vertical e horizontalmente - Monitoramento: realizado mediante atividades gerenciais contnuas

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

53

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

O COSO propem uma reviso tcnica, chamada de ERM (Enterprise Risk Management Framework) conhecida como COSO 2. Existe um relacionamento direto entre os objetivos, que uma organizao empenha-se em alcanar, e os componentes do gerenciamento de riscos corporativos, que representam aquilo que necessrio para o seu alcance. Esse relacionamento apresentado em uma matriz tridimensional em forma de cubo. As quatro categorias de objetivos (estratgicos, operacionais, de comunicao e conformidade) esto representadas nas colunas verticais. Os oito componentes nas linhas horizontais e as unidades de uma organizao na terceira dimenso.

Cubo CosoEssa representao ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organizao, ou na categoria de objetivos, componentes, unidade da organizao ou qualquer um dos subconjuntos.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

54

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

Componentes do Gerenciamento de Riscos Corporativos

O gerenciamento de riscos corporativos constitudo de 8 componentes interrelacionados, pela qual a administrao gerncia a organizao, e esto integrados com o processo de gesto. Esses componentes so:

Ambiente Interno o ambiente interno compreende o tom de uma organizao e fornece a base pela qual os riscos so identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores ticos, alm do ambiente em que estes esto.Fixao de Objetivos os objetivos devem existir antes que a administrao possa identificar os eventos em potencial que podero afetar a sua realizao. O gerenciamento de riscos corporativos assegura que a administrao disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a misso da organizao e sejam compatveis com o seu apetite a riscos. Identificao de Eventos os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organizao devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades so canalizadas para os processos de estabelecimento de estratgias da administrao ou de seus objetivos. Avaliao de Riscos os riscos so analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual devero ser administrados. Esses riscos so avaliados quanto sua condio de inerentes e residuais.Fonte: www.coso.org

Componentes

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

55

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

Componentes do Gerenciamento de Riscos Corporativos (continuao)Resposta a Risco a administrao escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando desenvolvendo uma srie de medidas para alinhar os riscos com a tolerncia e com o apetite a risco. Atividades de Controle polticas e procedimentos so estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficcia. Informaes e Comunicaes as informaes relevantes so identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicao eficaz tambm ocorre em um sentido mais amplo, fluindo em todos nveis da organizao. Monitoramento a integridade da gesto de riscos corporativos monitorada e so feitas as modificaes necessrias. O monitoramento realizado atravs de atividades gerenciais contnuas ou avaliaes independentes ou de ambas as formas.

Componentes

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

56

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

A abrangncia da Gesto de Risco Corporativo:Segundo o COSO 2, o Controle Interno parte integrante do Gerenciamento de Riscos Corporativos.A estrutura do gerenciamento de riscos corporativos abrange o controle interno, originando dessa forma uma conceituao e uma ferramenta de gesto mais eficiente. O controle interno definido e descrito sob o ttulo Controle Interno Estrutura Integrada.

Em razo do fato da estrutura ter resistido ao tempo e ser base das normas, dos regulamentos e das leis existentes, o documento permanece vigente como fonte de definio e marco para as estruturas de controles internos. Enquanto que apenas algumas pores do texto de Controle Interno Estrutura Integrada esto sendo reproduzidas na presente estrutura, a sua totalidade da mesma est incorporada como referncia.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

57

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

Limitaes:

O gerenciamento de riscos corporativos pode oferecer importantes benefcios para a empresa, mas ele est sujeito a limitaes. As limitaes originam-se do fato de que o julgamento humano, no processo decisrio, pode ser falho, as decises de respostas a risco e o estabelecimento dos controles necessitam levar em conta os custos e benefcios relativos. Podem ocorrer falhas causadas por erro ou engano humano, os controles podem ser anulados por conluio entre duas ou mais pessoas, e a administrao tem o poder de recusar-se a aceitar as decises de gesto de riscos. Essas limitaes impedem que o Conselho de Administrao e a diretoria executiva tenham absoluta garantia da realizao dos objetivos da organizao.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

58

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

Funes e Responsabilidades: Todos so responsveis: Para que o Gerenciamento de Risco Corporativo tenha resultados eficazes, todos os colaboradores de uma empresa devem ter conscincia da importncia da gesto de risco e assumir uma parcela de responsabilidade no gerenciamento.

O Principal responsvel: O presidente-executivo o principal responsvel e deve assumir a responsabilidade da iniciativa. Cabe aos outros diretores executivos apoiar a filosofia de administrao de riscos da empresa, incentivar a observao a exposio ao risco e administrar os riscos dentro de suas esferas de responsabilidade, conforme as tolerncias a risco.Responsveis pelo suporte: Geralmente, cabe ao diretor de riscos, CRO, diretor-financeiro, auditor interno e outros, responsabilidades fundamentais de suporte. Os outros membros da organizao so responsveis pela execuo do gerenciamento de riscos em cumprimento das diretrizes e dos protocolos estabelecidos.

O Supervisor: O Conselho de Administrao executa importante atividade de superviso do gerenciamento de riscos da organizao, estando ciente e de acordo com o grau de exposio da empresa. Os participantes: Os clientes, revendedores, parceiros de negcios ou comerciais, auditores externos, agentes normativos e analistas financeiros freqentemente fornecem informaes teis para a conduo do gerenciamento de riscos,porm no so responsveis pela sua eficcia e nem fazem parte do gerenciamento de riscos da empresa.Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 59

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

Resumindo:O Controle Interno parte integrante da Gesto de Risco Corporativo (ERM).Segundo o COSO a definio de controle interno: Controle interno um processo, desenvolvido para garantir, com razovel certeza, que sejam atingidos os objetivos da empresa, nas seguinte categorias: - Eficcia e eficincia de operaes; - Confiabilidade nos registros contbeis e financeiros e - Conformidade com as leis e regulamentos.

Controle Interno

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

60

COSO 2 Gerenciamento de Riscos Corporativo

Gesto de Risco e Controle Interno

Gesto de Risco um processo sistemtico que tem como objetivo identificao, avaliao / analise, resposta (ao), comunicao e monitoramento de riscos.

Comunicao

IdentificaoValor dos Ativos (Assets) Ameaas (Threats) Vulnerabilidades (Vulnerabilities)

Riscos

Avaliao/AnliseContramedidas(Countermeasures)

Resposta ao Risco

MonitoramentoVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 61

Melhores Prticas

Gesto de Risco e Controle Interno

Risk Officer:A implantao do Escritrio de Gesto de Risco tem como objetivo ajudar e facilitar o gerenciamento de risco corporativo. CRO (Chefe do Escritrio de Risco) uma nova funo que foi criado para atender a demanda por Gesto de Risco e Compliance, como as leis e regulamentaes, o Acordo de Basilia, Sarbanes-Oxley e etc Uma das prioridades do CRO assegurar-se de que a organizao esteja completamente em conformidade com os regulamentos e leis.

Gestor de Risco (CRO Chief Risk Officer). The Chief Risk Officer (CRO) or Chief Risk Management Officer (CRMO)

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

62

Gesto de Risco e Controle Interno

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

63

Controle Interno

Gesto de Risco e Controle Interno

O Que os Executivos Deveriam Questionar? Quais as melhores prticas de controle e gesto de riscos? Existem sistemas de controle e gesto que indiquem eventuais falhas de controle (exemplos: fraudes, irregularidades, mconduta...)?

Nossos processos e controles para divulgao nos asseguram que todas as informaes relevantes foram identificadas, quantificadas e reportadas? Nossa estrutura de Governana Corporativa est compatvel s necessidades? Cdigo de tica (Cdigo de Conduta); Conselho de Administrao; Comit de Auditoria; Comit Fiscal; e Parmetros de razoabilidade para bnus e lucros.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

64

Controle Interno

Gesto de Risco e Controle Interno

Reviso:Definio de Controle Interno (Segundo o COSO 2): O Controle Interno parte integrante da Gesto de Risco Corporativo (ERM). Segundo o COSO a definio de controle interno: Controle interno um processo, desenvolvido para garantir, com razovel certeza, que sejam atingidos os objetivos da empresa, nas seguinte categorias: - Eficcia e eficincia de operaes; - Confiabilidade nos registros contbeis e financeiros e - Conformidade com as leis e regulamentos. Outras definies: Definio (P.N. Migliavacca): Controle Interno define-se como o planejamento organizacional e todos os mtodos e procedimentos adotados dentro de uma empresa, a fim de salvaguardar seus ativos, verificar a adequao e o suporte dos dados contbeis, promover a eficincia operacional e encorajar a aderncia s polticas definidas pela direo.

Definio (rfs): Polticas, procedimentos, atividades e mecanismos desenvolvidos para assegurar que a misso e os objetivos de negcios sejam alcanados; proteger os ativos; e garantir a eficincia operacional. O controle interno deve ter o papel preventivo para que os eventos indesejveis sejam prevenidos, detectados e corrigidos.Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 65

Controle Interno

Gesto de Risco e Controle Interno

Preveno, Deteco e Resposta Uma abordagem efetiva, direcionada fraude em negcios e gerenciamento de risco e m-conduta, uma abordagem que focada em trs objetivos: Preveno, Deteco e Reposta Controles:

PREVENTIVO - Previnem o acontecimento de erros, fraudes, m-conduta ou irregularidades e minimizam os riscos na fonte. (Pr-ativo). (Maior eficcia)DETECTIVO - Detectam erros, fraudes, m-conduta e irregularidades quando eles ocorrem, geralmente so difceis de definir ou prever. (Reativo). RESPOSTA - Controles elaborados para tomar ao corretiva e remediar os danos causados por erros, fraudes, m-conduta e irregularidades. (Reativo)

Tipos de Controles: AUTOMATIZADO - Controles executados por sistemas automatizados, no dependendo de julgamentos pessoais. Para garantir sua consistncia, preciso e tempestividade, preciso ter um sistema seguro e confivel. (Maior eficcia) MANUAL - Controles manuais executados por pessoas.

Periodicidade: Deve ser atrelado a ocorrncia do evento, a cada evento, dirio, semanal, quinzenal, mensal, trimestral, semestral, anual. A periodicidade do controle deve ser compatvel com a freqncia do incidncia dos eventos de risco cobertos pelo controle).

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

66

Controle Interno.

Gesto de Risco e Controle Interno

Lista de Controle Interno:Aladas: Delimitao de atuao ou influncia de gestor Conciliao: Comparao de informaes de origens distintas, o foco identificar inconsistncias

Normatizao interna: Estabelecimento formal de normas internasSegregao de funes: Separao de funes conflitantes ou funes que possam ter conflito de interesses Validao: Exame de procedimentos relacionados a algumas atividades com objetivo de validar as informaes Controle de Acesso: Controle na entrada e sada de pessoas, equipamentos e produtos Autorizao: Autorizao formal para execuo de uma operao ou uma atividade Monitoramento: Acompanhamento de processo, operao ou atividade de modo avaliar sua correta adequao com os objetivos67

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

Controle Interno

Gesto de Risco e Controle Interno

O peso dos controles: Ausncia de Controles Controles em Excesso Controles Adequados

RiscosRiscos Controles + Tolerncia Riscos Controles + Tolerncia Riscos

Riscos

Controles + Tolerncia Riscos

Exposio a Riscos Inaceitveis

Exposio a Custos Excessivos

Controles Internos Eficientes

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

68

Controle Interno

Gesto de Risco e Controle Interno

Caractersticas de um Controle eficiente:

Quem fez o lanamento ?

Como foi feito lanamento ?

Em que data foi feito o lanamento ?

O por que do lanamento ?

Existem documentos (evidncias) ?

Controle eficiente: O controle devem responder as seguintes questes: - Quem, quando, como e por que Evidencia (documentos probatrios)Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 69

Controle Interno

Gesto de Risco e Controle Interno

Benefcios de uma Estrutura de Controles Internos Consistente: Controle Interno Consistente: Reduz potencial para fraudes Conquista (ou reconquista) a confiana dos investidores Observa leis e regulamentaes Reduz o risco de perda de recursos Otimiza decises de negcio com maior qualidade Identifica operaes ineficientes Minimiza denncias Controle Interno Inconsistente: Aumenta a exposio a fraudes Informaes financeiras imprecisas Publicidade desfavorvel Impacto negativo nos valores das aes Sanes de rgos de controle Processos ou outras aes legais Perda de ativos Decises de negcio subotimizadas

Perfil das fraudes Em geral, as fraudes descobertas1: So descobertas atravs de Controles Internos (42%) ou, em menor escala, atravs de denncias (28%) identificadas (de funcionrios) ou de auditoria interna (21%)

Nota 1- Fonte: Relatrio Enfoque 2005, elaborado pela Ernest & Young

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

70

Controle Interno

Gesto de Risco e Controle Interno

O Novo Papel da Auditoria Interna: O papel da auditoria interna um elemento chave em atividades de controle, suportando a abordagem da administrao para prevenir, detectar e responder fraude, erros, irregularidades e m-conduta. Um das funes da Auditoria Interna o de examinar a efetividade dos controles (realizao de testes substantivos), Gesto de Risco, Sistemas, Salvaguarda de Ativos, Contabilidade e Governana. No geral, a auditoria interna deve ser responsvel por: - Planejar e conduzir a testes que avaliam efetividade dos controles; - Ajudar a organizao na avaliao das fraquezas dos controle e auxiliar a encontrar concluses quanto a estratgias apropriadas para mitigar estes riscos; - Comunicar o comit de auditoria sobre a avaliao dos controles internos e das auditorias, investigaes e atividades relacionadas. Comparao: Enfoque Tradicional Foco nos controles. Testes com base em programa de trabalho padro. Testes de todos os controles. Riscos avaliados com base na experincia do auditor. Maior parte do tempo gasto em reviso e consolidao.Verso 2.0 | Rildo F Santos

Enfoque com Foco em Riscos Foco nos riscos. Testes com base no levantamento das informaes. Testes focalizados, somente dos controles que minimizam os riscos relevantes. Padronizao do processo de avaliao de riscos. Maior parte do tempo gasto em levantamento e anlise de informaes.2009/2010 Direitos Reservados 71

([email protected])

Controle Interno

Gesto de Risco e Controle Interno

Exemplo: A SOX, tem duas sees sobre certificao: 302 e 906. A seo 302 determina um conjunto de procedimentos internos desenhados para garantir a evidenciao financeira. A seo 906 exige uma certificao pelo Presidente (CEO) e Diretor Financeiro (CFO) acompanhe cada relatrio peridico que inclui as demonstraes financeiras > A SEC adotou a regra exigindo que a certificao seja fornecida como parte de cada relatrio anual e trimestral as correspondentes alteraes. > O Presidente e Diretor Financeiro devero certificar que avaliaram a eficcia dos controles internos e dos procedimentos de divulgao da empresa dentro de 90 dias da data do relatrio. > As regras exigem que a certificao seja includa em relatrios anuis nos formulrios: 10-K, 10-KSB, 20-F e 40-F, relatrios trimestrais nos formulrios: 10-Q e 10-QSB e alteraes em quaisquer dos relatrios acima mencionados. A seo 404, exige que administrao da empresa produza o Internal Control Report Financial (ICRF) como parte do informe anual. O informe deve afirmar a responsabilidade da administrao em estabelecer e manter procedimentos e uma estrutura adequada de controle interno para o informe financeiro. O informe ainda precisa conter uma avaliao, na data do final do ano fiscal mais recente da empresa, da efetividade dos procedimentos e da estrutura de controle interno do emitente do informe financeiro A firma de auditoria (externa), precisa atestar a avaliao de controle interno da administrao. A recomendao da SEC, utilizar o COSO como guia para implementar o Sistema de Controle Interno (SCI)Verso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 72

Controle Interno

Gesto de Risco e Controle Interno

SOX: Papis e Responsabilidades:

Administrao

responsvel pelos controles internos e pela preparao das demonstraes financeiras

Auditoria Interna

responsvel por testar e monitorar os controles internos

Auditoria Externa

responsvel por certificar a apresentao das demonstraes financeiras e a avaliao efetuada pela Administrao para suportar a certificao da eficcia dos controles internos

Comit de Auditoria

Supervisionar os processos e os participantes

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

73

Controle Interno:

Gesto de Risco e Controle Interno

SOX: Lies Aprendidas:Questo:Fraquezas Materiais nos Controles Internos

Para quais dos itens abaixo h o maior risco de serem reportadas esperado o maior volume de fraquezas materiais nos controles internos? a) Tecnologia da Informao b) Reconhecimento de receita c) Gerenciamento do Imobilizado d) Compras e contas a pagar e) Impostos f) Recursos Humanos g) Tesouraria h) Encerramento e apresentao das demonstraes financeiras i) Outros

a) Tecnologia da Informao 7; 7% 4; 4% 7; 7% 2; 2% 4; 4% 7; 7% 4; 4% 65; 65% 0; 0% b) Reconhecimento de receita

c) Gerenciamento do Imobilizadod) Compras e contas a pagar e) Impostos f) Recursos Humanos g) Tesouraria h) Encerramento e apresentao das demonstraes financeiras i) Outros

Nota: Para 65%, h uma percepo de que a tecnologia da informao a que poder gerar um maior volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A ttulo de comparao, pesquisa similar realizada em 2005 teve como resultado uma votao de 57% para TI, o que indica que esta preocupao no recente e se manteve no mesmo patamar.

Fonte: Sntese e Resultado da 9 mesa de debates - Sox Update e Avaliao do Ambiente de Controle (COSO) KPMG 2006/2007

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

74

Controle Interno

Gesto de Risco e Controle Interno

Deficincia de Controle Interno: A gravidade de uma deficincia de controle interno pode ser avaliada como um material weakness ou significant deficiency, fundamentada no potencial de erros ou fraudes nas demonstraes financeiras que estas deficincias possam gerar, no sendo necessrio que esses erros ou fraudes tenham efetivamente ocorrido.Deficincia Significante (Significant deficiency): Deficincia ou uma combinao de deficincias que resulte em mais que uma remota possibilidade de erro ou omisso nas demonstraes financeiras anuais ou interinas e que no possa ser identificada preventivamente ou detectada. Fraqueza Material (Material weakness): Deficincia ou uma combinao de deficincias que resulte em mais que uma remota possibilidade de erro ou omisso com efeito material nas demonstraes financeiras anuais ou interinas e que no possa ser identificada preventivamente ou detectada Exemplos de Fraqueza Material (SOX): - Em razo de erros decorrentes do uso de planilhas eletrnicas para a elaborao das Demonstraes Financeiras. -Nos controles relativos a reconciliaes em US GAAP, que originaram erros (republicaes) nas Demonstraes Financeiras de 2004 e 2005. Exemplos de Deficincia Significante (SOX): - Nos controles internos em razo do no registro de um contrato segundo regras do SFAS 133. - Relacionada republicaes das Demonstraes Financeiras de 2004 e 2005 devido a erros de Classificao.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

75

Controle Interno

Gesto de Risco e Controle Interno

Deficincia de Controle Interno: A gravidade de uma deficincia de controle interno pode ser avaliada como uma Fraqueza Material (material weakness) , Deficincia de Controle (control deficiency) e Deficincia Significante (significant deficiency), fundamentada no potencial de erros ou fraudes nas demonstraes financeiras que estas deficincias possam gerar, no sendo necessrio que esses erros ou fraudes tenham efetivamente ocorrido.Exemplos de Fraqueza Material (SOX): - Em razo de erros decorrentes do uso de planilhas eletrnicas para a elaborao das Demonstraes Financeiras. -Nos controles relativos a reconciliaes em US GAAP, que originaram erros (republicaes) nas Demonstraes Financeiras de 2004 e 2005.

Exemplos de Deficincia Significante (SOX): - Nos controles internos em razo do no registro de um contrato segundo regras do SFAS 133. - Relacionada republicaes das Demonstraes Financeiras de 2004 e 2005 devido a erros de classificao.

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

76

Estudo de Caso: Controle

Gesto de Risco e Controle Interno

Tipos de Controle:1. CONTROLE DO ESTADO Constituio Federal Controle Externo Tribunal da Contas da Unio (TCU) Controle Interno Controladoria-Geral da Unio da Presidncia da Repblica (CGU-PR) 2. CONTROLE INTERNO DA PRPRIA ORGANIZAO Auditoria Interna 3. CONTROLE DOS ACIONISTAS - Lei de S.A. Assembleia Geral, Auditoria Independente e Conselho Fiscal

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

77

Estudo de Caso: Controle

Gesto de Risco e Controle Interno

Tipos de Controle: EstadoCONTROLE INTERNOPRESIDNCIA DA REPBLICA CGU PODER EXECUTIVO MINISTRIO TCU PODER LEGISLATIVO

CONTROLE EXTERNOCONGRESSO NACIONAL

BRPETROBRASVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 78

Estudo de Caso: Controle

Gesto de Risco e Controle Interno

Tipos de Controle: Estado

Congresso Nacional

Presidncia da RepblicaCNPE

ANP

MMEMJ

Controle Externo (TCU)

BR

CADEMF

DESTControle Interno (CGU)Verso 2.0 | Rildo F Santos ([email protected])

MPOGMMA

2009/2010 Direitos Reservados

79

Estudo de Caso: Controle

Gesto de Risco e Controle Interno

Tipos de Controle: Estado

Quanto aos Objetivos: Poltico-LegalLegitimidade Legalidade Economicidade Eficincia Eficcia Efetividade

Quanto ao Momento:PrvioOramento

Administrativo

Concomitante

Acompanhamento

Programtico

A Posteriori

Prestao de Contas e Avaliao

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

80

Estudo de Caso: Controle

Gesto de Risco e Controle Interno

Tipos de Controle: Interno (Auditoria Interna)Auditoria Interna Atribuies: Planejar, executar e avaliar as atividades de auditoria interna e atender s solicitaes da alta administrao e de rgos externos de controle. Perspectiva de Mercado: Zelar pela excelncia dos controles das atividades da Petrobras, atendendo s expectativas dos clientes. Conhecimento da Petrobras Presteza no atendimento Viso integrada dos Negcios Confidencialidade Diversidade de formao Agregar valor Unidade auditada

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

81

Estudo de Caso: Controle

Gesto de Risco e Controle Interno

Tipos de Controle: Interno (Auditoria Interna)Auditoria Interna Estrutura:Auditoria InternaGERENCIAMENTO DE RECURSOS

Auditoria Corporativa e de Servios

Auditoria de E&P

Auditoria de Abastecimento

Auditoria de Finanas

Auditoria de Gs e Energia

Auditoria Internacional

Aspectos legais:Art. 14. As entidades da Administrao Pblica Federal indireta devero organizar a respectiva unidade de auditoria interna, com o suporte necessrio de recursos humanos e materiais, com o objetivo de fortalecer a gesto e racionalizar as aes de controle. Decreto n 3.591, de 6/SET/00 Dispe sobre o Sistema de Controle Interno do Poder Executivo Federal e d outras providnciasVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 82

Estudo de Caso: Implantao da Governana Corporativa na Petrobrs

Gesto de Risco e Controle Interno

Tipos de Controle: AcionistasASSEMBLIA GERAL (Artigos 121 e 122, III da Lei 6.404 de 1976) CONTROLE FINAL

ADMINISTRAOConselho de Administrao Diretoria

CONSELHO FISCAL (Artigos 161 a 165 da Lei 6.404 de 1976) CONTROLE INTERNO

AUDITORES INDEPENDENTES (Artigo 177, 3 da Lei 6.404 de 1976) CONTROLE EXTERNOVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 83

Controle Interno:

Gesto de Risco e Controle Interno

Melhores Prticas na implantao de Sistema de Controle Interno: Evite os controles manuais. Opte por controles automatizados; Implemente os controles do tipo preventivo;

Defina a quantidade de controle adequado;Evite o controle do controle; Faa uma reviso de toda vez que o custo de um controle for maior que o benefcio que ele traz; As melhores prticas recomendam a adoo da Gesto de Risco; Adote os melhores guias, frameworks, padres e normas; Implemente o ciclo de melhoria continua, PDCA, nos controles;

[SOX] Foco nos controles internos de TI (Seo 404)

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

84

Gesto de Risco e Controle Interno

Tecnologia da Informao (TI) e Gesto de Risco Corporativo (ERM)

Verso 2.0 | Rildo F Santos

([email protected])

2009/2010 Direitos Reservados

85

Modelo de Governana de TI

Gesto de Risco e Controle Interno

Governana CorporativaGovernana do NegciosGovernana de Conformidade (Controle Interno e Risco)

Estratgico

BSC

COSO

Cobit

Governana de TIPlanejamento Estratgico de TIProjetos PMBok/PMI

Top Down

Operacional e Ttico

Servios de TI

Segurana da Informao

Fornecedores

Fbrica de de Software

ProcessosBPM

Qualidade ISO9001 / Seis Sigma

ITIL / ISO20000

CMMi/ Mps.br

ISO17799/ ISO27001

SAS70 / e-SCM

Arquitetura de TI

RecursosVerso 2.0 | Rildo F Santos ([email protected]) 2009/2010 Direitos Reservados 86

Gesto de Risco de TI

Gesto de Risco e Controle Interno

Governana de TI & COSO 2Mudana de Viso Ontem: Gesto de Segurana da Informao Hoje: Gesto de Risco (Segurana da Informao + Controle Interno)COSOCOBIT

Gesto de Risco Corporativo (ERM)Gesto de Risco de TIGesto da Segurana da Informao Controle Internos

Governana Corporativa

Confidencialidade Integridade Disponibilidade

Processos Evidncias Guia de Auditoria

Governana de TI

ISO 17799 / ISO 27001Verso 2.0 | Rildo F Santos

Cobit, ITIL, ISO 17799...(rildo.santo