Contract Management, Governança

e Compliance

Paulo César Rodrigues - CISA®Graduação:

Tecnologia de Processamento de Dados pela UNICAMP e

E-Commerce pela Anhembi-Morumbi.

•Project Management na University of Florida.

•Pós-graduando em Ciências da Computação pela UNICAMP

•Certificado COBIT Foundations

•CISA®

•Certificado pela IT Preneurs para atuar como formador de

instrutores do curso COBIT Foundations.

• Sócio Diretor da World Pass

• Membro do ISACA e ITSMF

• Foi CIO de Empresas como Goodyear do Brasil, Harris e DuPont.

• Vivência em projetos de Governança Corporativa, SOX

(Sarbannes & Oxley), ITIL, COBIT.

INSTRUTOR

PRINCIPAIS PARCEIROS

Phoenix, Líder na América do Norte em implantação de Governança de TI e Governança Corporativa, com o maior número de cases de sucesso em implantações SOX. A World Pass IT Solutions é parceira da Phoenix para uso da metodologia, ferramentas e expertise para consultoria e auditoria em Governança.

World Pass IT Solutions, Primeira Empresa Brasileira Patrocinadora Oficial do ITGI. (Órgão mantenedor do COBIT e do Val IT).

World Pass IT Solutions, Primeira Empresa Referendada e Auditada pela ISACA São Paulo para treinamento COBIT.

AGENDA

O que é Gestão

O que é Governança

Governança Corporativa

Principais regulamentações

Compliance: onde está sua Empresa?

Controles Internos e Riscos: Principais Modelos

Gerenciamento de Contratos e Compliance

O que é Gestão?

O que é Gestão

Planejar, organizar, liderar e controlar as pessoas e

outros recursos que constituem uma organização e as

tarefas e atividades por estes realizadas, de maneira

a atingir os objetivos estatégicos.

O que é Gestão?

Estratégia e Tática

As palavras "tática" e "estratégia" vêm ambas do

grego, "taktos" e "strategós". Tática era a arte de

dispor as tropas e manobrá-las em um campo de

batalha. Estratégia é uma derivação da palavra usada

para definir quem comandava a batalha, o

"estratego", ou general. Ou seja, tática é a arte e a

ciência de vencer uma batalha, e estratégia é a

maneira de ganhar a guerra. (Ricardo Bonalume

Neto)

O que é Governança?

Governança Corporativa é o sistema pelo qual as

sociedades são dirigidas e monitoradas, envolvendo

os relacionamentos entre Acionistas/Cotistas,

Conselho de Administração, Diretoria, Auditoria

Independente e Conselho Fiscal. As boas práticas de

governança corporativa têm a finalidade de aumentar

o valor da sociedade, facilitar seu acesso ao capital e

contribuir para a sua perenidade. (IBGC)

O que é Governança?

Princípios da Governança Corporativa:

Transparência

Eqüidade

Prestação de contas (accountability)

Responsabilidade Corporativa

O que é Governança?

Princípios da Governança Corporativa:

Transparência

Mais do que "a obrigação de informar", a Administração deve

cultivar o "desejo de informar", sabendo que da boa

comunicação interna e externa, particularmente quando

espontânea, franca e rápida, resulta um clima de confiança, tanto

internamente, quanto nas relações da empresa com terceiros. A

comunicação não deve restringir-se ao desempenho

econômico-financeiro, mas deve contemplar também os demais

fatores (inclusive intangíveis) que norteiam a ação empresarial e

que conduzem à criação de valor.

O que é Governança?

Princípios da Governança Corporativa:

Eqüidade

Caracteriza-se pelo tratamento justo e igualitário de

todos os grupos minoritários, sejam do capital ou das

demais "partes interessadas" (stakeholders), como

colaboradores, clientes,fornecedores ou credores.

Atitudes ou políticas discriminatórias, sob qualquer

pretexto, são totalmente inaceitáveis.

O que é Governança?

Princípios da Governança Corporativa:

Prestação de contas (accountability)

Os agentes da governança corporativa devem prestar

contas de sua atuação a quem os elegeu e

respondem integralmente por todos os atos que

praticarem no exercício de seus mandatos.

O que é Governança?

Princípios da Governança Corporativa:

Responsabilidade Corporativa

Conselheiros e executivos devem zelar pela

perenidade das organizações (visão de longo prazo,

sustentabilidade) e, portanto, devem incorporar

considerações de ordem social e ambiental na

definição dos negócios e operações.

Regulamentações

Sarbanes&Oxley Act

HIPAA

PCI

Basel II

Normativas Bacen (3380 e outras), Anatel, ANS,

Anvisa, CVM

ISOs (9000, 14000, 17799, 20000, 27000, ...)

FDA

Código Civil

Mercado de Capitais (lei nº 4.728/65)

Lei das S.A.s(lei nº 6.404/76, 10.303/01)

Novo Mercado

Regulamentações: onde está sua empresa?

UNIBANCO

Normativas Bacen

Basiléia II

Solvência II

SOX

ISOs

Código Civil

CLT

Outras leis em cada país que opera

Regulamentações: onde está sua empresa?

Cada vez mais os registros de conformidade estão

nos computadores das empresas.

O QUANTO A CONFORMIDADE DEPENDE

DE TI VARIA DE EMPRESA PARA EMPRESA

Controles Internos e Riscos: Principais Modelos

Seja pela questão de Governança ou pela questão de

Conformidade, as empresas tiveram (e têm) que

implantar um modelo de Controles Internos e de

Gerenciamento de Riscos.

Controles Internos e Riscos: Principais Modelos

Cadbury – 1992

Coco – 1998

King Report – 2001

COSO Internal Control – Integrated Framework – 1994

COSO Enterprise Risk Management – IF – 2004

Cobit® - 1996, 1998, 2000, 2005, 2007

Gerenciamento de Riscos e Contratos – SOX e COSO

O contrato é um controle! (SOX e COSO)

Controle é um processo (definição do COSO)

Conclusão 1: o contrato não termina na assinatura, a assinatura

é o início (ou muito próximo do início) de um processo.

SOX 8-K (mudanças no ambiente de controles) requer que sejam

reportados:

Finalização de contrato por quebra de contrato

Redução ou finalização de receita devido mudança contratual

com cliente

Conclusão 2: não dá para reportar sem um processo de gestão

de contratos que acompanhe toda a vida dos contratos

significativos

Gerenciamento de Riscos e Contratos - COBIT

DS2 Manage Third-party Services

DS2.1 Identification of All Supplier Relationships

Identify all supplier services, and categorise them according to supplier type, significance and criticality. Maintain formal

documentation of technical and organisational relationships covering the roles and responsibilities, goals, expected deliverables,

and credentials of representatives of these suppliers.

DS2.2 Supplier Relationship Management

Formalise the supplier relationship management process for each supplier. The relationship owners should liaise on customer

and supplier issues and ensure the quality of the relationship based on trust and transparency (e.g., through SLAs).

DS2.3 Supplier Risk Management

Identify and mitigate risks relating to suppliers’ ability to continue effective service delivery in a secure and efficient manner on

a continual basis. Ensure that contracts conform to universal business standards in accordance with legal and regulatory

requirements. Risk management should further consider non-disclosure agreements (NDAs), escrow contracts, continued

supplier viability, conformance with security requirements, alternative suppliers, penalties and rewards, etc.

DS2.4 Supplier Performance Monitoring

Establish a process to monitor service delivery to ensure that the supplier is meeting current business requirements and

continuing to adhere to the contract agreements and SLAs, and that performance is competitive with alternative suppliers and

market conditions.

Gerenciamento de Riscos e Contratos - eSCM-SP

Gerenciamento de Riscos e Contratos - eSCM-SP

Nível 1

Provendo Serviços (Providing Services): O nível 1 não possui nenhuma Prática. Os provedores neste nível

podem ou não ter implementado práticas dos níveis 2 e 3 do modelo. Estes provedores de serviço

oferecem alto risco porque geralmente prometem mais que podem cumprir e porque não desenvolvem

habilidades críticas para o fornecimento do serviço.

Nível 2

Atendendo aos Requisitos Consistentemente (Consistently Meeting Requirements): os provedores de

serviço neste nível tem procedimentos formalizados para obtenção dos requisitos e execução dos serviços

de acordo com os compromissos firmados com os clientes e outros envolvidos. Neste nível, os serviços

fornecidos não diferem significantemente da experiência do provedor, podendo valer para apenas um

relacionamento de fornecimento. O provedor implementa todas as 48 Práticas do nível, sendo capaz de

obter e entender de

forma sistemática os requisitos, projetar e elaborar os serviços e executá-los com sucesso conforme os

acordos de nível de serviço.

Gerenciamento de Riscos e Contratos - eSCM-SP

Nível 3 Gerenciando o Desempenho Organizacional (Managing Organizational Performance): neste nível,

o provedor é capaz de manter as características do nível 2 mesmo quando os serviços diferem

significantemente da experiência do provedor. Neste caso as práticas devem cobrir um contexto mais

complexo, onde a gerência de relacionamentos simultâneos faz-se necessária. O provedor é capaz de

gerenciar seu desempenho por toda a organização; perceber as tendências do mercado de serviços e as

variações dos requisitos, incluindo atributos culturais específicos; identificar e gerenciar os riscos

entre relacionamentos; e projetar e executar os serviços baseados em procedimentos estabelecidos. O

provedor atende a esta capacidade através: do compartilhamento e utilização do conhecimento e

experiência obtidos nos relacionamentos anteriores; medindo objetivamente e recompensando o

desempenho das equipes; e monitorando e controlando a infra-estrutura tecnológica.

Nível 4 - Agregando valor pró-ativamente (Proactively Enhancing Value): os provedores de serviço no

Nível 4 são capazes de continuamente inovar e agregar valor aos serviços fornecidos aos clientes e outros

envolvidos. Neste nível, o provedor é capaz de customizar os serviços de acordo com o cliente e prever o

seu

desempenho baseado nas experiências anteriores. O provedor atende esta capacidade através da avaliação

e adoção de avanços tecnológicos e definindo metas de desempenho baseadas na análise comparativa de

benchmarks internos e externos.

Gerenciamento de Riscos e Contratos - eSCM-SP

Nível 5

Mantendo a Excelência (Sustaining Excellence): os provedores de serviço neste nível demonstraram

desempenho e melhoria consistente pela implementação das Práticas dos níveis 2, 3 e 4 por duas ou mais

avaliações de certificação, durante um período de pelo menos dois anos. Não existem Práticas adicionais

neste nível, a implementação efetiva e contínua de todas as Práticas do eSCM-SP em um ambiente de

mudanças rápidas demonstra a capacidade de manter a excelência em toda organização no decorrer do

tempo.

Conclusão

Em ambientes cada vez mais terceirizados, ou dependentes de

suprimentos baseados em contratos de médio/longo prazo, a relação

entre Governança (o que deve ser feito / estratégia), Gestão (como

fazer / tática) e Conformidade (melhores práticas e regulamentações)

define o Gerenciamento de Ciclo de Vida de Contratos como item

essencial.

? DÚVIDAS ?