P. 1
Gestão de Risco e Controle Interno com COSO

Gestão de Risco e Controle Interno com COSO

|Views: 2.772|Likes:
Publicado porRildo F Santos
Apresentação sobre a Gestão de Risco e Controle Interno com as melhores práticas do COSO.
Apresentação sobre a Gestão de Risco e Controle Interno com as melhores práticas do COSO.

More info:

Published by: Rildo F Santos on Aug 05, 2010
Direitos Autorais:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

05/05/2013

pdf

text

original

Gestão de Risco e Controle Interno

Gestão de Risco e Controle Interno

www.etcnologia.com.br

Rildo F Santos
rildo.santos@etecnologia.com.br twitter: @rildosan skype: rildo.f.santos http://rildosan.blogspot.com/

(11) 9123-5358 (11) 9962-4260

As melhores práticasSantos Gestão de Risco e Controle 2009/2010 © Direitos Reservados para Interno com COSO® Versão 2.0 | Rildo F (rildo.santos@etecnologia.com.br)

Sobre o autor: Rildo F. Santos

Gestão de Risco e Controle Interno

Coach e Consultor de Gestão de Negócios, Inovação e Tecnologia para a Gestão 2.0, a Gestão Ágil.
A Gestão Ágil ajuda as empresas a responder mais rápido as demandas de negócio e mudanças. A Gestão 2.0, abrange Planejamento Estratégico, Gestão por Processos Ágeis, Gestão de Projetos Ágeis, Tecnologia da Informação (Métodos Ágeis), Inovação e Liderança. Minha Experiência: Tenho mais de 10.000 horas de experiência em Gestão de Negócios, Gestão de Inovação, Governança e Engenharia de Software. Formado em Administração de Empresas, Pós-Graduado em Didática do Ensino Superior e Mestre em Engenharia de Software pela Universidade Mackenzie. Fui instrutor de Tecnologia de Orientação a Objetos, UML e Linguagem Java na Sun Microsystems e na IBM. Conheço Métodos Ágeis (SCRUM, Lead, FDD e XP), Arquitetura de Software, SOA (Arquitetura Orientado a Serviço), RUP/UP - Processo Unificado, Business Intelligence, Gestão de Risco de TI entre outras tecnologias. Sou professor de curso de MBA da Fiap e fui professor de pós-graduação da Fasp e IBTA. Possuo fortes conhecimentos de Gestão de Negócio (Inteligência de Negócio, Gestão por Processo, Inovação, Gestão de Projetos e GRC - Governance, Risk and Compliance), SOX, Basel II e PCI; E experiência na implementação de Governança de TI e Gerenciamento de Serviços de TI. Conhecimento dos principais frameworks e padrões: ITIL, Cobit, ISO 27001 e ISO 15999; Desempenhei diversos papéis como: Estrategista de Negócio, Gerente de Negócio, Gerente de Projeto, Arquiteto de Software, Projetista de Software e Analista de Sistema em diversos segmentos: Financeiro, Telecomunicações, Seguro, Saúde, Comunicação, Segurança Pública, Fazenda, Tecnologia, Varejo, Distribuição, Energia e Petróleo e Gás. Possuo as certificações: CSM - Certified SCRUM Master, CSPO - Certified SCRUM Product Owner , SUN Java Certified Instrutor, ITIL Foundation e sou Instrutor Oficial de Cobit Foundation e Cobit Games;

Sou membro do IIBA-International Institute of Business Analysis (Canada)
Onde estou: Twitter: @rildosan Blog: http://rildosan.blogspot.com/
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 2

Comentário inicial:

Gestão de Risco e Controle Interno

O objetivo principal desta apresentação é prover informações sobre a Gestão de Risco Corporativo e Controle Interno. A Gestão de Risco deve ser considerada como parte integrante da estratégia de organização para que os eventos de riscos não causem desvios ou impactos sobre os objetivos. Sistema de Controle Interno deve ser utilizado para melhorar a eficiência operacional e atender requisitos legais.

Também será discutido o COSO® 1 que é um guia de referencia (“framework”) de melhores práticas de Controle Interno e COSO® 2 ERM que é guia de referencia (“framework”) de melhores práticas para a Gestão de Risco Corporativo.
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 3

Conteúdo:

Gestão de Risco e Controle Interno

1-Introdução: A importância da Gestão de Risco Corporativo 2-Fundamentos - Definição de Governança Corporativa - Estudo de Caso: Implantação da Governança Corporativa - Definição de Governança de TI - Estudo de Caso: Implantação da Governança de TI - Definição de Gestão de Risco - Definições de Risco - Novo paradigma da Gestão de Risco - Definição de Controle Interno

4 - Controle Interno: - Definição - Prevenção, Detecção e Resposta - Lista de Controle Interno - Peso dos Controle Interno - Características de um Controle eficiente - Benefícios de uma Estrutura de Controles Internos Consistente - Novo Papel da Auditoria Interna - Exemplo: SOX - Deficiência de Controle Interno - Estudo de Caso - Melhores práticas

3- Framework Coso - Componentes & Objetivos 3.1 - Visão geral do Framework Coso 1 - Controle Interno - Introdução - Objetivos - Componentes 3.2 - COSO 2 - ERM (Enterprise Risk Management): - Ambiente Interno - Fixação de Objetivos - Identificação de Eventos - Avaliação de Riscos - Resposta aos Riscos - Atividades de Controle - Informação e Comunicação - Monitoramento - Funções e Responsabilidades - Limitações do Gerenciamento de Riscos Corporativos Estudo de Caso Melhores Práticas

Apêndice A: Tecnologia da Informação (TI) e Gestão de Risco Corporativo (ERM)

Apêndice B: Frameworks, Guias, Normas e Melhores Práticas para Gestão de Risco: - Cobit - ITIL - MOF - ISO 20000 - PMBok - ISO 31000 Estudo de Caso

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

4

Gestão de Risco e Controle Interno

A importância da Gestão de Risco Corporativo

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

5

Introdução

Gestão de Risco e Controle Interno

A importância da Gestão de Risco Corporativo
A origem da palavra risco é controvertida. Alguns autores afirmam que ela deriva de “resecare” (cortar), empregada para descrever geografias agudas como as dos recifes que tinham o poder de afundar navios. Como a navegação sempre foi uma atividade importante para o desenvolvimento humano, era aconselhável evitar o “risco” de perder as embarcações e suas cargas. Outra possível origem é indicada por Peter Bernstein no livro Desafio aos Deuses. Segundo o autor, “risco” vem do italiano “risicare”, que significa “ousar”. No sentido de incerteza, é derivada do latim “risicu” e “riscu”. As primeiras técnicas de gestão de risco foram implantadas pelas seguradoras – justamente com as apólices para navios. No século 20, entre as décadas de 60 e 80, o setor financeiro se dedicou ao aperfeiçoamento das ferramentas de controle de risco, entusiasmados pela possibilidade de “prever” o futuro e evitar perdas previsíveis no presente. Em 1994, o JP Morgan lançou o Value at Risk (VaR), cálculo amplamente utilizado pelas instituições financeiras para medir o risco probabilístico de um portfólio de aplicações financeiras. É muito mais complexo, porém, dimensionar e avaliar riscos quando a régua não pode ser simplesmente numérica, como no caso dos bancos. Em 2002, depois de escândalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox) têm obrigado as empresas a investir no controle de riscos. A obrigação estende a todas as empresas listadas na Bolsa de New York, inclusive as brasileiras, são obrigadas pela SOX a informar anualmente a quais riscos estão expostas e quais são as ferramentas de controle e gerenciamento utilizadas. O Acordo de Basiléia II, que também é resultante de escândalos financeiros, no Brasil, a resolução 3380 do Bacen, obriga a implementação da Gestão de Risco Operacional a todos os bancos brasileiros, com objetivo de atender o acordo. Por obrigação, ou não, o fato é que o gerenciamento de risco se difunde entre as empresas de todo o mundo.
Baseado no artigo da Revista Amanhã - http://amanha.terra.com.br/edicoes/229/capa04.asp

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

6

Introdução

Gestão de Risco e Controle Interno

Principais motivadores da Gestão de Risco:
> Compliance > Eficiência Operacional

Aumentar Eficiência Operacional

Compliance
(atender requisitos legais e regulatórios)

Estratégia
(Parte da estratégia)

2001 – Enron – 7a. Maior empresa dos EUA, gigante americana do setor de energia, pediu concordata em dezembro de 2001, após ter sido alvo de uma série denúncias de fraudes contábeis e fiscais. Com uma dívida de US$ 13 bilhões, o grupo arrastou consigo a Arthur Andersen, que fazia a sua auditoria. 2001 – WorldCom. A fraude ocorreu porque a empresa registrou como investimentos (ativo em seu balanço patrimonial) o que era despesa (demonstrativo de resultados), distorcendo totalmente os dados de suas contas. Em 30 julho de 2002, George W. Bush assinou de “O Ato Sarbanes-Oxley”, com objetivo de garantir a integridade das informações financeiras (dar proteção aos investidores)

1975 – quebra dos bancos Herstatt, da Alemanha e Franklin National, de Nova York. > 1975 - Comitê da Basiléia 1993 – Bank of Credit and Commerce International faliu em meio a escândalos de fraude e lavagem de dinheiro 1995 – Barings faliu depois de 233 anos de existência > 1997 – Comitê Basiléia edita os 25 Princípios – Instituição de Controles Internos

Gestão de Risco

SOX

Basel II

ISO 17799

1995-98 – Askin Capital, Orange County, Chemical Bank entre outros > 1998 – Comitê Basiléia edita mais 13 Princípios – Gestão de Riscos (5 componentes) > 1998 – Res.Bacen 2.554– Controles Internos > 2001 – Novo Acordo da Basiléia

Segurança da Informação Fraudes Contábeis e Financeiras
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br)

Escândalos Financeiros
2009/2010 © Direitos Reservados 7

Compliance: SOX

Gestão de Risco e Controle Interno

Neste milênio os investidores perderam 37 bilhões dólares
Objetivo SOX: Garantir a integridade das informações financeiras
· Responsabilidade do Presidente (CEO) e do Diretor Financeiro Ato Sarbanes-Oxley”, das Em 30 julho de 2002, presidente George W. Bush assinou de “O (CFO) na “certificação” que muda de demonstrações leis aplicadas forma radical as financeiras; a empresas que tem ações negociadas na bolsa americana. · Transferência para um comitê de auditoria, composto de membros não executivos do Conselho da Administração, de muitos poderes e responsabilidades que eram anteriormente dos diretores-executivos; · Maior transparência na divulgação das informações financeiras.

Visão Geral da Lei Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Principais Seções (artigos): Seção 302 e 906 – Tratam de certificações dos relatórios anuais contendo as demonstrações financeiras (20-F e 40-F) por parte dos administradores (CEO e CFO), sob penalidades de responsabilidade civil e criminal. Seção 404, 407, 408 e 409 – Tratam sobre os aspectos de controle interno, fiscalização da SEC sobre informação pública, código de ética para diretores financeiros e publicação de alterações operacionais e/ou financeiras. Determina a emissão de relatório especial, com parecer, entregue à SEC, que ateste a realização anual de avaliação e de controles e processos internos que são a base de relatórios financeiros.

Seção 802 - Penalidades criminais pela alteração de documentos.

Empresas brasileiras com ações ou títulos na Bolsa de New York (NYSE)
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 8

Compliance: Segurança da Informação

Gestão de Risco e Controle Interno

RESOLUÇÃO NORMATIVA – RN n° 114, DE 26 DE OUTUBRO DE 2005. Estabelece padrão obrigatório para a troca de informações entre operadoras de plano privado de assistência à saúde e prestadores de serviços de saúde sobre os eventos de saúde, realizados em beneficiários de plano privado de assistência à saúde e dá outras providências. Art. 1° A presente Resolução estabelece padrão obrigatório para troca de informações em saúde suplementar (TISS) entre operadoras de plano privado de assistência à saúde e prestadores de serviços de saúde sobre os eventos de saúde realizados em beneficiários de plano privado de assistência à saúde, e mecanismos de proteção à informação em saúde suplementar.

A privacidade das informações individuais, entre as quais se incluem aquelas referentes ao estado de saúde de cada beneficiário, é preocupação presente nos mais variados setores da sociedade e se expressa em variados diplomas legais, desde o Código Penal Brasileiro, de 1942, até as resoluções do Conselho Federal de Medicina, incluindo diplomas da própria Agência Nacional de Saúde Suplementar. Por envolver informações que devem ser mantidas sob sigilo, a implantação da Troca de Informações em Saúde Suplementar -TISS pressupõe a observância de normas já existentes, originárias de órgãos competentes para tal fim.

Entre os procedimentos de segurança recomendados pela ANS para a implantação do TISS, e que portanto, devem ser obrigatoriamente seguidos por quaisquer operadoras e prestadores, estão as normas técnicas estabelecidas na Resolução CFM n.º 1639, de 10 de julho de 2002, e nas resoluções da ANS (RN nº 21, de 12 de dezembro de 2002, e na RDC nº 64, de 10 de abril de 2001 ). Tais medidas proporcionam as garantias administrativas, técnicas e físicas de proteção ao acesso à informação trocada.
Obriga-se, ainda, para o alcance dos objetivos de segurança e privacidade, a observação, ao menos, dos requisitos do Nível de Garantia de Segurança 1 (NGS-1), descritos no "Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde" (RES), em conformidade com a norma NBR ISO/IEC 17799 - Código de Prática para a Gestão da Segurança da Informação. Para as entidades que utilizarem webservices como padrão de comunicação é recomendado a utilização do Nível de Garantia de Segurança 1 (NGS-1) e o Nível de Garantia de Segurança 2 (NGS-2).

Operadoras de Plano de Saúde
Fonte: http://www.ans.gov.br/portalv4/site/home/default.asp

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

9

Compliance: Segurança da Informação

Gestão de Risco e Controle Interno

CVM (Comissão de Valores Mobiliários)
Instrução 391/2003: Art. 31. O administrador do fundo deverá divulgar a todos os cotistas e à CVM, qualquer ato ou fato relevante atinente ao fundo. Parágrafo único. Entre as informações referidas acima, não se incluirão informações sigilosas referentes às companhias emissoras de títulos e valores mobiliários integrantes da carteira do fundo, obtidas pelo administrador sob compromisso de confidencialidade ou em razão de suas funções regulares enquanto membro ou participante dos órgãos de administração ou consultivos da companhia. Instrução 380/2002: Art. 3º - As corretoras eletrônicas devem fazer constar em suas páginas na rede mundial de computadores, de forma clara, precisa e em linguagem acessível ao público investidor: IV - as características do sistema de segurança mantido pela corretora, incluindo uso de senhas e assinaturas eletrônicas; Art. 4º - As corretoras eletrônicas devem estabelecer, em suas páginas na rede mundial de computadores, uma seção ou um atalho para a educação dos investidores, contendo, entre outras informações que sua administração julgue relevantes: IV - os riscos operacionais do uso da rede mundial de computadores e de sistemas eletrônicos de negociação para a compra e venda de valores mobiliários; DA SEGURANÇA DOS SISTEMAS Art. 7º - Compete às corretoras eletrônicas garantir a segurança e o sigilo de toda a informação sobre seus clientes, suas ordens de compra ou venda de valores mobiliários e sua carteira de valores mobiliários, bem como sua comunicação com os clientes, devendo utilizar elevados padrões tecnológicos de segurança de rede. Art. 8º - As corretoras eletrônicas são responsáveis pela operacionalidade de seus sistemas, ainda que os mesmos sejam mantidos por terceiros.

DA AUDITORIA PERIÓDICA PELA ENTIDADE AUTO-REGULADORA Art. 14 - As entidades auto-reguladoras que administrem sistemas eletrônicos de negociação com recebimento de ordens por meio da rede mundial de computadores devem realizar uma auditoria periódica semestral, em todas as corretoras eletrônicas, com a emissão de relatório correspondente sobre os sistemas utilizados pelas corretoras eletrônicas, verificando se: estão sendo regularmente prestadas aos clientes as informações previstas no art. 3º desta Instrução;

Corretoras Eletrônicas
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 10

Compliance: Gestão de Risco Operacional

Gestão de Risco e Controle Interno

Susep Circular 249/04 - Implantar controles internos de suas atividades - de seus sistemas de informações - do cumprimento de normas legais - “Os controles devem ser efetivos e consistentes com a natureza, complexidade e risco das operações” Característica dos controles internos: • definição de responsabilidades • segregação de atividades • meios de identificação de potenciais áreas de conflito • avaliação dos fatores que afetam a realização dos objetivos • canais de comunicação com funcionários • acompanhamento sistemático das atividades • testes periódicos de segurança de sistemas de informação

FL. 2 da CIRCULAR SUSEP No 344, de 21 de junho de 2007.

....
Parágrafo único. Os estudos deverão abranger todos os produtos

comercializados pelas pessoas mencionadas no caput deste artigo e serão validados anualmente pela auditoria interna. Art. 5o Com base nos estudos citados no art. 4o desta Circular, no prazo constante do art. 9o desta Circular, deverá ser desenvolvida e implementada, na forma da legislação vigente, estrutura de controles internos específicos, validada pela auditoria interna, para tratar dos riscos identificados.

Empresas de Seguros

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

11

Compliance: Gestão de Risco Operacional

Gestão de Risco e Controle Interno

Acordo de Basiléia II (Resolução 3380 – Bacen) A Resolução 3.380 do Banco Central do Brasil, publicada em 29/junho/2006, prevê a implantação de área de Gerenciamento de Risco Operacional em todas as Instituições Financeiras. Em seu Art.5º. § único, determina que os serviços terceirizados, relevantes para o funcionamento da instituição, também devem ser monitorados, da mesma forma prevista para os demais processos da organização. Serviços Terceirizados relevantes vão desde a Compensação de Cheques, processamento do SPB, Data Centers, Redes de Caixas Eletrônicos, Processadoras de Cartões de Débito e Crédito e outros até o desenvolvimento de softwares e utilização de Aplicativos comercializados por terceiros.

Bancos

Resolução nº 3.380 do Banco Central.
A 3380 reflete o acordo de Basiléia 2, que exige de bancos de todo o mundo o acompanhamento e controle de riscos operacionais e de mercado. A maior parte dos investimentos voltados aos projetos para atender a resolução irá para TI.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

12

Compliance: Gestão de Risco Operacional

Gestão de Risco e Controle Interno

Acordo de Basiléia II (Resolução 3380 – Bacen) Basiléia II, depois do Risco de Crédito Risco de Mercado e Risco Operacional Três Pilares de Basiléia • Exigência de Patrimônio Líquido MÍNIMO em função dos Riscos de Crédito, de Mercado e Operacional Patrimônio Líquido/Soma dos Ativos Poderados pelos Riscos >= 8% (Ratio Mc Donough) • Processo de Supervisão Prudencial (O Banco deve poder justificar o seu Patrimônio Liquido, sua Gestão de Riscos). As autoridades de controle – Banco Central devem garantir que o índice de Mc Donough é respeitado e tomar medidas se ele não o é. • Disciplina do Mercado (O Banco deve publicar periodicamente, informações especificas, para justificar a correlação entre o Patrimônio Liquido e o seu Perfil de Risco)

Bancos

Resolução nº 3.380 do Banco Central.
A 3380 reflete o acordo de Basiléia 2, que exige de bancos de todo o mundo o acompanhamento e controle de riscos operacionais e de mercado. A maior parte dos investimentos voltados aos projetos para atender a resolução irá para TI.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

13

Eficiência Operacional

Gestão de Risco e Controle Interno

26/03/2009 - PREGÃO ELETRÔNICO ECONOMIZA R$3,8 BILHÕES PARA OS COFRES PÚBLICOS EM 2008 O Governo Federal economizou R$ 3,8 bilhões com o pregão eletrônico em 2008. Esse valor corresponde a uma redução de 24% entre o valor de referência (o valor máximo que o Governo está disposto a pagar na aquisição de um bem ou na contratação de um serviço) e o que efetivamente foi pago pelos órgãos públicos. No ano passado essa modalidade respondeu por R$ 12,2 bilhões (73,7%) do valor de bens e serviços comuns licitados e por 33.972 processos de compra (79,4%) dos procedimentos. O pregão é destinado à contratação de bens e serviços comuns - aqueles cuja especificação é facilmente reconhecida pelo mercado. Em 2008 o Governo Federal licitou ao todo R$ 16,6 bilhões de bens e serviços comuns.

http://www.comprasnet.gov.br/
Eficiência Operacional: - Racionalizar e integrar os processos de trabalho - Reduzir custos operacionais - Obter ganhos de produtividade das pessoas - Gerenciar rotinas de trabalho
(rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 14

Governo Federal
Versão 2.0 | Rildo F Santos

Motivação:

Gestão de Risco e Controle Interno

> Aumentar a eficiência operacional > Compliance (requisitos legal e/ou de regulamentação)

> Mitigação de riscos operacionais

> Redução de Custos

Melhor Governança e Compliance: - Maior transparência (CVM, SEC, TCU..) - Aderência aos normativos regulatórios, leis e etc.
Versão 2.0 | Rildo F Santos

Melhor Gestão sobre os recursos: - Ganhos de eficiência operacionais - Redução de risco
2009/2010 © Direitos Reservados 15

(rildo.santos@etecnologia.com.br)

GRC (Governança, Risco e Compliance)

Gestão de Risco e Controle Interno

Governança

Gestão de Risco
Políticas, Diretrizes e Controle

Compliance

A Integração de Governança Corporativa, Gestão de Risco e Compliance (GRC) é melhor prática para a Gestão de Risco Corporativo
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 16

Modelo GRC:

Gestão de Risco e Controle Interno

Governança
Tomada de Decisão Risco (Risk tradeoff decisions)
Planejamento Estratégico (visão, missão e valores), Políticas e Diretrizes

Compliance com regras de Governança

Risco
Gerenciamento de Risco (identificar, analisar e mitigar risco)

Tomada de Decisão Risco Impacto de não atender ao Compliance

Compliance
Aderência leis, regulamentações, políticas, padrões, contrato, melhores práticas e frameworks

Quem decide e quais processos seguir
17

Tolerância ao Risco

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

Desafio: Como implantar a Gestão de Risco ?

Gestão de Risco e Controle Interno

101, 102...

Mudança Cultura....

Para ter sucesso na implantação: - Disseminar a cultura do Risco; - Fazer um bom planejamento; - Utilizar ferramentas de produtividade; - Utilizar as melhores práticas; - Trabalhar a comunicação, motivação e conscientização; - Capacitar as pessoas.
Versão 2.0 | Rildo F Santos

Para se obter resultados: - Trabalhar a expectativa; - Preparar a mudança (choque do novo); - Premiar o bom desempenho; - É necessário recursos, esforços, comprometimento e dedicação...

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

18

Gestão de Risco e Controle Interno

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

19

Fundamentos:

Gestão de Risco e Controle Interno

Governança Corporativa, definição:

Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade1.
Exigências: Benefícios:

Leis
Regulamentos Normas

Governança Corporativa
Transparência
Equidade Prestação de Conta Compliance2 Ética

“Você pagaria a mais pelas ações de quem adota práticas de governança ? - 76% disseram que sim e destas a maioria afirmou que pagaria 24% a mais pelas ações.”
Fonte: McKinsey com empresas da América Latina

Controles

Transparência = Credibilidade

Notas: 1 - Fonte: Instituto Brasileiro de Governança Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 20

Fundamentos:

Gestão de Risco e Controle Interno

Governança Corporativa

Governança de Negócio

Governança de Compliance
Compulsória Espontânea

Planejamento Estratégico (BSC)
Resultado & Desempenho

Agências Reguladoras

NYSE BACEN SOX Basel II

Bovespa/CVM N1 N2

Gestão de Risco e Controles Internos Direcionadores Estratégicos
Governança significa o ato de conduzir uma nação, uma empresa, comunidade ou família através de uma liderança escolhida pelos componentes destas entidades de forma natural ou eletiva.

O objetivo de um conjunto de boas práticas de Governança Corporativa adequada aos interesses dos stakeholders (partes interessadas) é regulamentar a relação dos administradores com os shareholders (acionistas), sócios, empregados, clientes, financiadoras, governo e sociedade.
As boas práticas em Governança Corporativa incluem aspectos de publicação de informações simétricas (disclosure) como parte da prestação de contas inerente ao poder atribuído (accountability), sustentabilidade e equidade de direitos. No aspecto legal, a Governança Corporativa é um mecanismo que visa garantir aos fornecedores de recursos financeiros, shareholders, um justo retorno do seu investimento

É formado por conjunto de normas que devem guiar o comportamento dos diretores, administradores e acionistas controladores, com objetivo de maximizar o valor da empresa e que definem as obrigações e responsabilidades
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 21

Fundamentos:

Gestão de Risco e Controle Interno

Estudo de Caso: Implantação da Governança Corporativa

Fonte: Apresentação: Auditoria Interna da Petrobrás JOSÉ RICARDO ALMEIDA DA ROSA Petrbrás - 2004

Fonte: GESTÃO DE RISCOS E CONTROLES INTERNOS PEDRO GAUZISKI DE ARAUJO FIGUEREDO GERÊNCIA GERAL DE CONTROLES INTERNOS PETROBRAS FONAI, MAIO/2006

Foto está publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

22

Estudo de Caso: Implantação da Governança Corporativa na Petrobrás

Gestão de Risco e Controle Interno

A Petrobras é uma empresa de economia mista, que opera nas áreas de exploração, produção, refino, comercialização e transporte de petróleo e seus derivados no Brasil e no exterior. Criada em 1953 pelo governo de Getúlio Vargas, é hoje uma das vinte maiores empresas petrolíferas do mundo. Em 2005, a Petrobras obteve lucro de 23,7 bilhões de reais e é o maior da história da empresa, além do maior lucro já registrado por uma companhia da América Latina de capital aberto. O valor equivale a um crescimento de 40% em relação ao ano anterior. O aumento da produção de petróleo, maior carga processada de óleo pesado nacional, maior utilização da capacidade de refino e aumento de preços são alguns dos responsáveis pelo resultado recorde. Seus sucessivos lucros são um dos grandes pilares na manutenção do superávit primário brasileiro. Em 2006 a Petrobras entrou para o seleto grupo das empresas que têm um valor de mercado em bolsa superior a 100 bilhões de dólares. A Petrobras é referência internacional na exploração de petróleo em águas profundas.

Em busca da Governança. Principais reformas estatutárias em 2002: Histórico: A - Adequá-lo às modificações da Lei das S.A. B - Buscar uma aproximação com as práticas de Governança Corporativa estabelecidas pela Bovespa
Lei 6.404 de 1976 - Lei das Sociedades por Ações Sujeição às Normas da CVM – Comissão de Valores Mobiliários (art. 235, § 1º);

C - Aperfeiçoar as práticas de governança corporativa
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 23

Estudo de Caso: Implantação da Governança Corporativa na Petrobrás

Gestão de Risco e Controle Interno

Modelo Governança Corporativa: Estrutura

Conselho Fiscal

Comitês do CA: • Auditoria • Meio Ambiente • Remuneração e Sucessão Comitês de Gestão:

Definições estratégicas e supervisão

Conselho de Administração Auditorias

Comitês do CA

Relatores

Presidente Diretoria Executiva Diretores

• • • • • •
• • • • •

Execução da estratégia e desenvolvimento das operações

Comitê de Negócios Comitês de Gestão

Abastecimento E&P Gás e Energia Recursos Humanos SMS Análise de Organização e Gestão Tecnologia da Informação Controles Internos Risco Tecnologia Responsabilidade Social e Ambiental

Foto está publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

24

Estudo de Caso: Implantação da Governança Corporativa na Petrobras

Gestão de Risco e Controle Interno

Modelo Governança Corporativa: Instrumentos
Estatuto Social

Regulamenta o objeto, a administração e o funcionamento da Petrobras, bem como o relacionamento entre os acionistas.
Estabelece diretrizes sobre: - Princípios de atuação e funcionamento do CA - Consulta aos preferencialistas em questões relevantes Trata de políticas corporativas envolvendo: - Divulgação de informações sobre ato ou fato relevante - Negociação com valores mobiliários - Indicação para cargos de administração de subsidiárias, coligadas e controladas - Conduta de administradores e funcionários da administração superior - Relacionamento com investidores

Diretrizes de Governança

Código de Boas Práticas

Regimentos Internos

Regulamentam as atribuições e a operacionalização das reuniões dos órgãos: - Conselho de Administração - Comitês do Conselho de Administração - Comitê de Negócios - Comitês de Gestão
Base para a utilização dos mecanismos da boa governança corporativa. Considera um Código de Conduta para empregados e todos que mantêm relacionamento com a Companhia.
(rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 25

Código de Ética (Código de Conduta)

Versão 2.0 | Rildo F Santos

Estudo de Caso: Implantação da Governança Corporativa na Petrobrás

Gestão de Risco e Controle Interno

Modelo Governança Corporativa: Partes interessadas

ACIONISTAS

INVESTIDORES

CLIENTES

FORNECEDORES

FORÇA DE TRABALHO

GOVERNO

SOCIEDADE

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

26

Estudo de Caso: Implantação da Governança Corporativa na Petrobrás

Gestão de Risco e Controle Interno

Modelo Governança Corporativa: Lei Sarbanes-Oxley

A Petrobras possui American Depositary Receipts, - ADR‟s nível 3, títulos negociados na Bolsa de Nova Iorque (NYSE). A Companhia está, portanto, se adaptando às inúmeras exigências da SOX.
 Formalização dos Controles e Procedimentos de Divulgação de Informação, documento interno que inclui todos os controles criados para garantir a exatidão das informações divulgadas nos relatórios e fatos relevantes publicados. Criação de mecanismo interno visando o envolvimento e responsabilização de todos os níveis hierárquicos na prestação de informações - Matriz de responsabilidade. Certificação das informações divulgadas ao mercado pelo Presidente e pelo Diretor Financeiro (Form 20-F: exercícios fiscais de 2002 e 2003) Divulgação no Form 20-F sobre a existência de dois especialistas financeiros no Conselho de Administração. A Petrobras desde de 2002 fez “lição de casa” para atender à SOX e vem intensificando esforços na análise de seus impactos e na promoção dos ajustes no modelo de governança da empresa. Todas as exigências em vigor foram cumpridas.

  

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

27

Fundamentos:

Gestão de Risco e Controle Interno

Governança de TI Segundo IT Governance Institute (www.itgi.org), a definição da Governança de TI: “É uma estrutura de relacionamentos e processos para dirigir e controlar a organização para atingir os objetivos corporativos, adicionando valor, ao mesmo tempo que equilibra os riscos em relação ao retorno da TI e seus processos“
Exigências Leis Regulamentos

Normas
Controles

Governança Corporativa Transparência Equidade Prestação de Conta Compliance Ética Guia: COSO

Guias

Governança de TI

Cobit ITIL MOF PMBok

COBIT - Control Objectives for Information and Related Technology – www.isaca.org Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 28

Fundamentos:

Gestão de Risco e Controle Interno

Governança Corporativa

Governança de Negócio

Governança de Compliance
Compulsória Espontânea

Planejamento Estratégico (BSC)
Resultado & Desempenho

Agências Reguladoras

NYSE BACEN SOX Basel II

Bovespa/CVM N1 N2

Direcionadores Estratégicos Direcionadores Estratégicos

Gestão de Risco e Controles Internos

Governança de TI COBIT Serviços de TI ITIL/ISO 20k Projetos PMI/PMBok Fábrica SW CMMi/MPS.br OutSourcing e-SCM/SAS70 Segurança ISO 27001

Melhores Práticas,Padrões, Normas e Área de Conhecimento
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 29

Fundamentos:

Gestão de Risco e Controle Interno

Governança de TI: Objetivos: - Simplificar/Democratizar as decisões de TI;

- Simplificar as operações e/ou serviços de TI;
- Melhorar o nível de qualidade dos serviços de TI; - Estabelecer e manter relacionamento com clientes e fornecedores;

- Maximizar uso de recursos;
- Otimizar custos; - Gestão de Riscos (Identificar, Analisar e Responder); - Estabelecer e manter a conformidade com as leis e regulamentos; - Promover a integração entre o Negócio e a TI; - Gerar valor para empresa.
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 30

Estudo de Caso. Governança de TI:

Gestão de Risco e Controle Interno

Quem já implantou a Governança de TI
Estudo de Caso
www.bovespa.com.br
A introdução de mecanismos automatizados na negociação da BOVESPA remonta aos anos 70, quando os boletos foram substituídos por cartões perfurados e os negócios passaram a ser registrados de forma eletrônica. Desde então, a BOVESPA vem acompanhando as principais inovações tecnológicas, investindo na melhoria contínua de sua infraestrutura a fim de garantir alta performance e um ambiente altamente seguro e confiável. Home Broker MEGA BOLSA Governança de TI InfraEstrutura
Governança de TI Desde 2004, a BOVESPA/CBLC adota um modelo de Governança de TI: gestão planejada de recursos humanos e materiais, que propiciam o desenvolvimento de infraestruturas, sistemas e processos alinhados às melhores práticas internacionais e às necessidades específicas dos negócios. Desde sua implantação na BOVESPA/CBLC, vários avanços foram feitos, com benefícios para todos os participantes do mercado. A Governança de TI permite: medir e auditar a execução e a qualidade dos serviços; viabilizar o acompanhamento de contratos internos e externos; e definir condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade. Vantagens da Governança de TI: Alinhamento da estratégia da área de TI com as das áreas de negócio; Maior capacidade e agilidade para novos modelos de negócios ou ajustes nos modelos atuais; Manutenção dos riscos do negócio sob controle; Medição e melhoria contínua da performance de TI; Maior transparência das atividades de TI.

Esta informações estão publicadas no site da Bovespa (www.bovespa.com.br) que proprietária legitima destas informações

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

31

Fundamentos:

Gestão de Risco e Controle Interno

Gestão de Riscos

Identificação do Risco

Análise/Avaliação do Risco

Resposta ao Risco

Risco Mitigado

Não Identificação do Risco

Exposição ao Risco

Ocorrência do evento

Materialização do Risco

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

32

Fundamentos:

Gestão de Risco e Controle Interno

Definição de Risco (segundo COSO 2): A possibilidade de que um evento ocorra e afete desfavoravelmente a realização dos objetivos. Evento: Incidente ou ocorrência, a partir de fontes internas ou externas a um entidade (uma organização ou empresa), capaz de afetar a realização dos objetivos. Oportunidade: A possibilidade que um evento ocorrerá e afetará de forma favorável realização dos objetivos
Outras definições: Definição de Risco (rfs): Risco é qualquer evento que pode afetar a habilidade de empresa a alcançar seus objetivos

Abrangendo (agentes de riscos): Perigo: Coisas ruins que acontecem Incerteza: Coisas que não ocorrem como esperado Oportunidade: Coisas boas que acontecem
Definição (segundo ISO/IEC Guide 73): O risco pode ser definido como a combinação da probabilidade de um acontecimento e das suas consequências
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 33

Fundamentos:

Gestão de Risco e Controle Interno

Evento: Riscos e Oportunidades: Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da organização canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos, formulando planos que visam ao aproveitamento destes.

Categorias dos Eventos:
Infraestrutura: Disponibilidade de bens Capacidade dos bens Acesso ao capital Complexidade Pessoal: Capacidade dos empregados Atividade fraudulenta Saúde e segurança Processo: Capacidade Design Execução Dependências / fornecedores Tecnologia: Integridade de dados Disponibilidade de dados Disponibilidade de sistemas Seleção de sistemas Desenvolvimento Alocação Manutenção Econômicos: Disponibilidade de capital Emissões de crédito, inadimplência Concentração Liquidez Mercados financeiros Desemprego Concorrência Fusões / aquisições Meio Ambiente: Emissões e dejetos Energia Desastres naturais Desenvolvimento sustentável Políticos: Mudanças de governo Legislação Política pública Regulamentos Sociais: Características demográficas Comportamento do consumidor Privacidade Terrorismo Tecnológicos: Interrupções Comércio eletrônico Dados externos Tecnologias emergentes

Eventos Internos

Eventos Externos

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

34

Fundamentos:

Gestão de Risco e Controle Interno

Tipos de Riscos:
Risco de mercado: O Risco de Mercado é de fácil entendimento pois está relacionado com a variação do valor dos ativos (bens, serviços, índices, commodities). É o risco de ganhar ou perder quantia financeiros pela simples mudança dos preços dos ativos no mercado financeiro. Por exemplo: Considere que uma pessoa (um investidor) que comprou 1000 ações preferenciais da Petrobras ao preço unitário de R$ 75,00 desembolsando R$ 75.000,00. Quanto esta carteira valerá ao final do dia de amanhã, decorrente das alterações no valor desta ação ? Como o valor dos ativos negociados é determinado pelo mercado, a incerteza em relação ao valor futuro do ativo (cuja oscilação pode representar perdas ou ganhos) é o que caracteriza então o Risco de Mercado . Risco de crédito: Risco de crédito se refere a uma possível incapacidade da instituição financeira, responsável pela emissão de ativos financeiros usados em investimentos, de honrar seus compromissos financeiros assumidos com os investidores. Essa situação pode ser causada por problemas financeiros oriundos de uma má administração ou gestão, dificuldades com planos econômicos, etc.

Risco Legal/Compliance Fraquezas à mostra1 Ao cumprir a seção 404 da Lei Sarbanes-Oxley, Telemar e Copel revelam fragilidades nos controles de seus balanços.
Nota:1 Revista Capital Aberto edição 48

Risco de Subscrição: Este risco representa a possibilidade do montante dos sinistros a serem pagos pela sociedade seguradora em um período futuro ser maior que o montante de prêmios a ser recebido

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

35

Fundamentos:

Gestão de Risco e Controle Interno

Risco Operacional (RO): Risco Operacional é o risco associado à operação de uma empresa. Definição de Risco Operacional (segundo Jorion, 1998): São perdas potenciais resultantes de sistemas inadequados, má administração, controles defeituosos ou falha humana, a qual inclui o risco de execução, correspondente a situações em que as operações não são executadas, resultando em atrasos ou penalidades; o risco de execução relaciona-se a qualquer problema nas operações de back-office, relativas ao registro de transações e reconciliações de operações. Também incluem fraude e a necessidade de proteger os sistemas contra acesso não autorizado e violações. Exemplos: Falhas de sistemas, prejuízos decorrente de desastre naturais ou acidentes Definição de Risco Operacional (segundo Chouhy, 1998): É o risco de eventos externos, ou deficiências de controles internos e sistema de informação, resultarem em perdas, estando associado ao erro humanos, falhas em sistemas e procedimentos e controles inadequados. Exemplo de Risco Operacional (classes ou sub-tipo): - Risco de reputação; - Risco de Liquidação; - Risco Humano; - Risco de Controle Interno Inadequado ou falto de controle; - Risco Tecnologia Inadequada ou Insuficiente; - Risco Sistêmico; - Risco de Imagem; - Risco de Fraude.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

36

Fundamentos:

Gestão de Risco e Controle Interno

Risco Operacional, um exemplo:
Corretor é acusado de rombo de R$ 13,16 bi em banco francês, na maior fraude da história
PARIS, 24 Jan 2008 (AFP) - O Société Générale, um dos três maiores bancos franceses, revelou nesta quinta-feira ter perdido € 7 bilhões (R$ 18,43 bilhões). Desse total, cerca de € 5 bilhões (R$ 13,16 bilhões) foram perdidos em operações ilícitas que teriam sido feitas por um só de seus corretores. É a maior fraude da história financeira mundial. Em plena tormenta nas Bolsas mundiais, o banco anunciou esta fraude interna de € 4,9 bilhões, aos quais somam-se € 2 bilhões de desvalorizações ligadas à crise dos "subprimes". O funcionário acusado de ser responsável pela fraude, que operava em Paris e cuja identidade não foi revelada, foi demitido. Após terem sido suspensas a pedido do banco, as ações do Société Générale voltaram a ser negociadas e fecharam em baixa de 4,1% nesta quinta-feira para € 75,81. De acordo com as explicações do banco, a fraude foi descoberta no dia 19 de janeiro: um corretor, operando em uma subdivisão de suas atividades de mercado, se aproveitou de "seu conhecimento profundo dos procedimentos de controle para dissimular suas posições graças a uma montagem elaborada de transações fictícias". O Société Générale liquidou depois suas posições, mas, levando-se em conta seu tamanho e "as condições do mercado particularmente desfavoráveis", essa fraude teve um impacto negativo de € 4,9 bilhões sobre seu resultado líquido. Durante uma entrevista coletiva à imprensa convocada com urgência, o presidente ao Société Générale, Daniel Bouton, tentou se explicar sobre essa fraude gigantesca e pediu desculpas aos acionistas. "Apenas um homem construiu uma empresa de fachada no interior do grupo, utilizando os instrumentos do Société Générale e teve a inteligência de escapar de todos os procedimentos de controle", declarou. Ele indicou que o corretor agiu ao longo de todo o ano de 2007 e que uma queixa foi apresentada contra ele. O advogado de dezenas de acionistas do banco afirmou ter apresentado uma queixa por "estelionato, abuso de confiança, falsidade ideológica, cumplicidade e receptação". O Banco de França anunciou logo em seguida que uma investigação será iniciada para examinar as condições nas quais essa fraude ocorreu.
Fonte: UOL/(AFP) PARIS, 24 Jan 2008:

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

37

Fundamentos:

Gestão de Risco e Controle Interno

Novo paradigma na Gestão de Riscos:

Velho Paradigma

Novo Paradigma

DE
Risco é determinado pela intencionalidade
Oportunidades são perseguidas impulsivamente Somente a Auditoria é responsável

PARA
Risco é constante

Oportunidades são quantificadas em termos de risco e retorno Alta gestão (CEO) são os principais responsáveis Controles precisam focalizar riscos do negócio de todo tipo

Controles precisam focalizar riscos financeiros e resultados somente Foco nas ações corretivas As pessoas são as fontes primárias de risco

Foco nas ações preventivas Os processos são a fonte primárias de riscos.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

38

Fundamentos:

Gestão de Risco e Controle Interno

Novo paradigma na Gestão de Riscos:

Velho Paradigma

Novo Paradigma

DE
Monitoramento de Risco é função dos auditores internos
Risco é um fator negativo a ser controlado Os risco são gerenciados separadamente Responsabilidade pelo gestão de risco é delegada a níveis inferiores Mensuração do risco é subjetiva

PARA
Monitoramento de risco é atividade do CEO

Risco é uma oportunidade
O gerenciamento de risco é integrado e corporativo Gestão de risco é responsabilidade de um gerente de linha sênior

Risco é quantificado Gestão de riscos é construído dentro do sistema de gerenciamento corporativo

Funções de gerenciamento de riscos são desestruturadas e divergentes

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

39

Fundamentos:

Gestão de Risco e Controle Interno

Definição de Controle Interno (Segundo o COSO 2): O Controle Interno é parte integrante da Gestão de Risco Corporativo (ERM). Segundo o COSO a definição de controle interno: “Controle interno é um processo, desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa”, nas seguinte categorias: - Eficácia e eficiência de operações; - Confiabilidade nos registros contábeis e financeiros e - Conformidade com as leis e regulamentos.

Outras definições:
Definição (P.N. Migliavacca): Controle Interno define-se como o planejamento organizacional e todos os métodos e procedimentos adotados dentro de uma empresa, a fim de salvaguardar seus ativos, verificar a adequação e o suporte dos dados contábeis, promover a eficiência operacional e encorajar a aderência às políticas definidas pela direção. Definição (rfs): Políticas, procedimentos, atividades e mecanismos desenvolvidos para assegurar que a missão e os objetivos de negócios sejam alcançados; proteger os ativos; e garantir a eficiência operacional. O controle interno deve ter o papel preventivo para que os eventos indesejáveis sejam prevenidos, detectados e corrigidos.
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 40

Exercício:

Gestão de Risco e Controle Interno

Um fabricante e importador de calçados, estabeleceu a missão de tornar-se líder na indústria de calçados femininos de alta qualidade. Para realizar esse objetivo, começou a fabricar produtos que aliavam estilo, conforto e durabilidade, usando técnicas mais avançadas e materiais de fornecedores estrangeiros rigorosamente selecionados. Empresa analisou o ambiente operacional externo e identificou fatores sociais e seus respectivos eventos, como a mudança da faixa etária de seu principal mercado consumidor e as tendências para roupas de trabalho. Os eventos originados por fatores econômicos incluíam flutuações de moeda estrangeira e oscilações nas taxas de juros. Os fatores tecnológicos internos indicavam um sistema obsoleto de gestão de distribuição e, os fatores internos de pessoal, de treinamento inadequado em marketing. Além de constatados no âmbito da organização, os eventos também devem ser identificados no nível da atividade. Esse procedimento contribui para orientar o enfoque do gerenciamento de riscos às principais unidades de negócios ou funções, como vendas, produção, marketing, tecnologia da informação, distribuição, pesquisa e desenvolvimento.
Quais são as categorias de eventos (risco) que podemos encontrar no texto:

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

41

Gestão de Risco e Controle Interno

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

42

Gestão de Risco e Controle Interno

4- Visão geral do Framework Coso 1 - Controle Interno - Componentes & Objetivos

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

43

COSO 1 – Framework Integrado de Controle Interno

Gestão de Risco e Controle Interno

Introdução:
O processo regulatório referente a controle internos tem um marco importante nos Estados Unidos por ocasião da lei aprovada pelo Congresso Americano, em dezembro de 1987, chamada de Foreign Corrupt Practices Act (FCPA). Essa lei restringe-se a sociedades anônimas por ações. As empresas sob FCPA, são obrigadas a criar e implementar e manter sistemas de controle que ofereçam garantias de que as transações serão registradas de conformidade com os princípios contábeis. Os auditores independentes através do AICPA, em SAS (Declaração Padrão de Auditoria) 55, pregam que a administração deve estabelecer uma estrutura de controle interna composta por 3 elementos: Ambiente de controle; Sistema Contábil e Procedimento de Controle. Um estudo neste sentido foi feito pela Treadway Commission. A recomendação do Treadway Commission, no sentido de desenvolver-se uma definição comum de controle interno com diretrizes processuais, criou-se o COSO, Comitê das Organizações Patrocinadoras. O modelo apresentado pelo COSO em 1992 e atualizado em 1994 (Internal Control – Integrated Framework), conhecido como COSO 1, definiu o controle interno e elaborou critérios para a avaliação de sistemas. O COSO 1 responsabiliza pelo processo de Controle Interno o Conselho Diretor (Board), a Administração (Directors) e os funcionários da entidade. O COSO 1, o framework (conjunto de melhores práticas de controles internos corporativos). Foi largamente adotado para atender os requisitos da SOX.
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 44

COSO 1 – Framework Integrado de Controle Interno

Gestão de Risco e Controle Interno

Objetivos do COSO 1
Ele estabelece o processo como garantidor para a realização de objetivos das seguintes categorias: - Eficácia e eficiência de operações; - confiabilidade dos relatórios financeiros - cumprimento das leis e regulamentos pertinentes. O COSO 1 sugere também que a avaliação do processo de controle interno deva ser pontual ao longo do tempo (exemplo: semestral, anual...). O modelo define ainda que um sistema de controle interno deve ter 5 componentes relacionados: 1 – Ambiente de controle (com foco na estrutura organizacional e as relações com o ambiente externo); 2 – Avaliação de risco; 3 – Atividade de controle (políticas e procedimentos); 4 – informações e comunicações; 5 – Monitoramento.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

45

COSO 1 – Framework Integrado de Controle Interno

Gestão de Risco e Controle Interno

COSO 1 – Componentes:
Ambiente de Controle: É a base para todos os demais componentes. Diz respeito a fatores como ética, integridade, formas de conduta, políticas de recursos humanos, estrutura da organização, forma de atuação e atenção do Conselho de Administração e da alta administração quanto à cultura de controle, atribuição adequada de autoridade e responsabilidade e alocação de recursos

Avaliação de Risco: Consiste da identificação e análise de risco (interno e externo) que são significantes ao alcance dos objetivos da empresa. Esta avaliação deve levar em consideração a severidade do risco, a freqüência com que estes ocorrem e seu impacto. Definição de como a empresa administrará tais riscos.

Atividade de Controle: São as políticas e procedimentos que garantem que os planos e diretrizes indicados pela administração são atingidos e ocorrem por toda a empresa, em todos os níveis, incluindo todas as funções, inclusive a aspecto de segurança física e lógica.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

46

COSO 1 – Framework Integrado de Controle Interno

Gestão de Risco e Controle Interno

COSO 1 – Componentes:
Informação e Comunicação: Os sistemas de informação produzem relatórios contendo informações operacionais, financeiras e de compliance (conformidade) que tornam possível a condução e controle do negócio. Tratam de informações geradas tanto interna com externamente e que serão publicadas internamente e/ou externamente. Os sistemas de informação devem permitir o fluxo de informações por toda a organização, dos níveis hierárquicos inferiores para os superiores e vice-versa e com órgãos externos.
Monitoramento: É monitoramento continuo sob a realização das operações, atividades regulares de gerenciamento e supervisão de outras atividades decorrentes de execução de tarefas pelas pessoas. As deficiências encontradas ao longo do monitoramento devem ser comunicadas ao gerente responsável e quando necessário ser comunicadas a alta administração.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

47

Gestão de Risco e Controle Interno

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

48

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

Introdução:
Em 2001, o COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management Framework), conhecida como COSO 2. O COSO 2, é um estudo complementar ao framework do „COSO‟ chamado Gerenciamento de Riscos Corporativo (ERM - Enterprise Risk Management), que representa, um próximo passo para aquelas empresas que estão preocupadas em, além de atender às demandas regulatórias, preservar a geração de valor de suas empresas. COSO 2, o framework (conjunto de melhores práticas de gerenciamento de risco corporativos). Foi largamente adotado para atender os requisitos do Basel 2.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

49

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

A ERM (Enterprise Risk Management) Gestão de Risco Corporativos é um processo conduzido em uma organização pelo Conselho de Administração(CA), diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.

A premissa inerente a gestão de riscos corporativos é que toda organização existe para gerar valor às partes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor.

A gestão de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor. O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos objetivos da organização.
(rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 50

Componentes

Versão 2.0 | Rildo F Santos

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

O gerenciamento de riscos corporativos tem por finalidade:

Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos. Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir, compartilhar e aceitar os riscos. Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuízos associados.
Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos inter-relacionados e, também,respostas integradas aos diversos riscos. Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a organização posiciona-se para identificar e aproveitar as oportunidades de forma proativa. Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possibilita à administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a alocação desse capital.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

51

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

COSO 2: Os Objetivos & Níveis de Organização: Os objetivos: Essa estrutura estabelece quatro categorias de objetivos para a organização: Estratégicos – referem-se às metas no nível mais elevado. Alinham-se e fornecem apoio à missão. Operações – têm como meta a utilização eficaz e eficiente dos recursos. Comunicação – relacionados à confiabilidade dos relatórios. Conformidade – fundamentam-se no cumprimento das leis e dos regulamentos pertinentes.

Níveis de Organização: ERM considera atividades em todos os níveis da organização: - Entidade - Divisão ou Subsidiária - Unidade de Negócios - Processo
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 52

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

COSO 2: Os componentes chaves

- Ambiente Interno: ambiente no qual a empresa opera
- Estabelecimento de Objetivos: objetivos alinhados à missão - Identificação de Evento: eventos que possam afetar os objetivos

- Avaliação de Risco: como a empresa avalia seus riscos
- Resposta ao Risco: alinhar os riscos com os objetivos - Atividades de Controle: políticas e procedimentos para assegurar que os objetivos sejam executados - Informação e Comunicação: ocorre de maneira ampla, fluindo vertical e horizontalmente - Monitoramento: é realizado mediante atividades gerenciais contínuas

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

53

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

O COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management Framework) conhecida como COSO 2. Existe um relacionamento direto entre os objetivos, que uma organização empenha-se em alcançar, e os componentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o seu alcance. Esse relacionamento é apresentado em uma matriz tridimensional em forma de cubo. As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade) estão representadas nas colunas verticais. Os oito componentes nas linhas horizontais e as unidades de uma organização na terceira dimensão.

Cubo Coso
Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

54

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

Componentes do Gerenciamento de Riscos Corporativos

O gerenciamento de riscos corporativos é constituído de 8 componentes interrelacionados, pela qual a administração gerência a organização, e estão integrados com o processo de gestão. Esses componentes são:

Ambiente Interno – o ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão.
Fixação de Objetivos – os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos. Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos. Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais.
Fonte: www.coso.org

Componentes

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

55

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

Componentes do Gerenciamento de Riscos Corporativos (continuação)
Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco. Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia. Informações e Comunicações – as informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da organização. Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.

Componentes

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

56

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

A abrangência da Gestão de Risco Corporativo:
Segundo o COSO 2, o Controle Interno é parte integrante do Gerenciamento de Riscos Corporativos.
A estrutura do gerenciamento de riscos corporativos abrange o controle interno, originando dessa forma uma conceituação e uma ferramenta de gestão mais eficiente. O controle interno é definido e descrito sob o título “Controle Interno – Estrutura Integrada”.

Em razão do fato da estrutura ter resistido ao tempo e ser base das normas, dos regulamentos e das leis existentes, o documento permanece vigente como fonte de definição e marco para as estruturas de controles internos. Enquanto que apenas algumas porções do texto de “Controle Interno – Estrutura Integrada” estão sendo reproduzidas na presente estrutura, a sua totalidade da mesma está incorporada como referência.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

57

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

Limitações:

O gerenciamento de riscos corporativos pode oferecer importantes benefícios para a empresa, mas ele está sujeito a limitações. As limitações originam-se do fato de que o julgamento humano, no processo decisório, pode ser falho, as decisões de respostas a risco e o estabelecimento dos controles necessitam levar em conta os custos e benefícios relativos. Podem ocorrer falhas causadas por erro ou engano humano, os controles podem ser anulados por conluio entre duas ou mais pessoas, e a administração tem o poder de recusar-se a aceitar as decisões de gestão de riscos. Essas limitações impedem que o Conselho de Administração e a diretoria executiva tenham absoluta garantia da realização dos objetivos da organização.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

58

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

Funções e Responsabilidades: Todos são responsáveis: Para que o Gerenciamento de Risco Corporativo tenha resultados eficazes, todos os colaboradores de uma empresa devem ter consciência da importância da gestão de risco e assumir uma parcela de responsabilidade no gerenciamento.

O Principal responsável: O presidente-executivo é o principal responsável e deve assumir a responsabilidade da iniciativa. Cabe aos outros diretores executivos apoiar a filosofia de administração de riscos da empresa, incentivar a observação a exposição ao risco e administrar os riscos dentro de suas esferas de responsabilidade, conforme as tolerâncias a risco.
Responsáveis pelo suporte: Geralmente, cabe ao diretor de riscos, CRO, diretor-financeiro, auditor interno e outros, responsabilidades fundamentais de suporte. Os outros membros da organização são responsáveis pela execução do gerenciamento de riscos em cumprimento das diretrizes e dos protocolos estabelecidos.

O Supervisor: O Conselho de Administração executa importante atividade de supervisão do gerenciamento de riscos da organização, estando ciente e de acordo com o grau de exposição da empresa. Os participantes: Os clientes, revendedores, parceiros de negócios ou comerciais, auditores externos, agentes normativos e analistas financeiros freqüentemente fornecem informações úteis para a condução do gerenciamento de riscos,porém não são responsáveis pela sua eficácia e nem fazem parte do gerenciamento de riscos da empresa.
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 59

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

Resumindo:
O Controle Interno é parte integrante da Gestão de Risco Corporativo (ERM).
Segundo o COSO a definição de controle interno: “Controle interno é um processo, desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa”, nas seguinte categorias: - Eficácia e eficiência de operações; - Confiabilidade nos registros contábeis e financeiros e - Conformidade com as leis e regulamentos.

Controle Interno

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

60

COSO 2 – Gerenciamento de Riscos Corporativo

Gestão de Risco e Controle Interno

Gestão de Risco é um processo sistemático que tem como objetivo identificação, avaliação / analise, resposta (ação), comunicação e monitoramento de riscos.

Comunicação

Identificação
Valor dos Ativos (Assets) Ameaças (Threats) Vulnerabilidades (Vulnerabilities)

Riscos

Avaliação/Análise
Contramedidas
(Countermeasures)

Resposta ao Risco

Monitoramento
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 61

Melhores Práticas

Gestão de Risco e Controle Interno

Risk Officer:
A implantação do Escritório de Gestão de Risco tem como objetivo ajudar e facilitar o gerenciamento de risco corporativo. CRO (Chefe do Escritório de Risco) é uma nova função que foi criado para atender a demanda por Gestão de Risco e Compliance, como as leis e regulamentações, o Acordo de Basiléia, Sarbanes-Oxley e etc Uma das prioridades do CRO é assegurar-se de que a organização esteja completamente em conformidade com os regulamentos e leis.

Gestor de Risco (CRO – Chief Risk Officer). The Chief Risk Officer (CRO) or Chief Risk Management Officer (CRMO)

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

62

Gestão de Risco e Controle Interno

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

63

Controle Interno

Gestão de Risco e Controle Interno

O Que os Executivos Deveriam Questionar? • Quais as melhores práticas de controle e gestão de riscos? Existem sistemas de controle e gestão que indiquem eventuais falhas de controle (exemplos: fraudes, irregularidades, máconduta...)?

Nossos processos e controles para divulgação nos asseguram que todas as informações relevantes foram identificadas, quantificadas e reportadas? Nossa estrutura de Governança Corporativa está compatível às necessidades? – Código de Ética (Código de Conduta); – Conselho de Administração; – Comitê de Auditoria; – Comitê Fiscal; e – Parâmetros de razoabilidade para bônus e lucros.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

64

Controle Interno

Gestão de Risco e Controle Interno

Revisão:
Definição de Controle Interno (Segundo o COSO 2): O Controle Interno é parte integrante da Gestão de Risco Corporativo (ERM). Segundo o COSO a definição de controle interno: “Controle interno é um processo, desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa”, nas seguinte categorias: - Eficácia e eficiência de operações; - Confiabilidade nos registros contábeis e financeiros e - Conformidade com as leis e regulamentos. Outras definições: Definição (P.N. Migliavacca): Controle Interno define-se como o planejamento organizacional e todos os métodos e procedimentos adotados dentro de uma empresa, a fim de salvaguardar seus ativos, verificar a adequação e o suporte dos dados contábeis, promover a eficiência operacional e encorajar a aderência às políticas definidas pela direção.

Definição (rfs): Políticas, procedimentos, atividades e mecanismos desenvolvidos para assegurar que a missão e os objetivos de negócios sejam alcançados; proteger os ativos; e garantir a eficiência operacional. O controle interno deve ter o papel preventivo para que os eventos indesejáveis sejam prevenidos, detectados e corrigidos.
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 65

Controle Interno

Gestão de Risco e Controle Interno

Prevenção, Detecção e Resposta Uma abordagem efetiva, direcionada à fraude em negócios e gerenciamento de risco e má-conduta, é uma abordagem que é focada em três objetivos: Prevenção, Detecção e Reposta Controles:

 

PREVENTIVO - Previnem o acontecimento de erros, fraudes, má-conduta ou irregularidades e minimizam os riscos na fonte. (Pró-ativo). (Maior eficácia)
DETECTIVO - Detectam erros, fraudes, má-conduta e irregularidades quando eles ocorrem, geralmente são difíceis de definir ou prever. (Reativo). RESPOSTA - Controles elaborados para tomar ação corretiva e remediar os danos causados por erros, fraudes, má-conduta e irregularidades. (Reativo)

Tipos de Controles:
 AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de julgamentos pessoais. Para garantir sua consistência, precisão e tempestividade, é preciso ter um sistema seguro e confiável. (Maior eficácia) MANUAL - Controles manuais executados por pessoas.

Periodicidade:
 Deve ser atrelado a ocorrência do evento, a cada evento, diário, semanal, quinzenal, mensal, trimestral, semestral, anual. A periodicidade do controle deve ser compatível com a freqüência do incidência dos eventos de risco cobertos pelo controle).

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

66

Controle Interno.

Gestão de Risco e Controle Interno

Lista de Controle Interno:
Alçadas: Delimitação de atuação ou influência de gestor Conciliação: Comparação de informações de origens distintas, o foco identificar inconsistências

Normatização interna: Estabelecimento formal de normas internas
Segregação de funções: Separação de funções conflitantes ou funções que possam ter conflito de interesses Validação: Exame de procedimentos relacionados a algumas atividades com objetivo de validar as informações Controle de Acesso: Controle na entrada e saída de pessoas, equipamentos e produtos Autorização: Autorização formal para execução de uma operação ou uma atividade Monitoramento: Acompanhamento de processo, operação ou atividade de modo avaliar sua correta adequação com os objetivos
67

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

Controle Interno

Gestão de Risco e Controle Interno

O peso dos controles: Ausência de Controles Controles em Excesso Controles Adequados

Riscos
Riscos Controles + Tolerância à Riscos Controles + Tolerância à Riscos

Riscos

Controles + Tolerância à Riscos

Exposição a Riscos Inaceitáveis

Exposição a Custos Excessivos

Controles Internos Eficientes

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

68

Controle Interno

Gestão de Risco e Controle Interno

Características de um Controle eficiente:

Quem fez o lançamento ?

Como foi feito lançamento ?

Em que data foi feito o lançamento ?

O por que do lançamento ?

Existem documentos (evidências) ?

Controle eficiente: O controle devem responder as seguintes questões: - Quem, quando, como e por que Evidencia (documentos probatórios)
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 69

Controle Interno

Gestão de Risco e Controle Interno

Benefícios de uma Estrutura de Controles Internos Consistente: Controle Interno Consistente:  Reduz potencial para fraudes  Conquista (ou reconquista) a confiança dos investidores  Observa leis e regulamentações  Reduz o risco de perda de recursos  Otimiza decisões de negócio com maior qualidade  Identifica operações ineficientes  Minimiza denúncias Controle Interno Inconsistente:  Aumenta a exposição a fraudes  Informações financeiras imprecisas  Publicidade desfavorável  Impacto negativo nos valores das ações  Sanções de órgãos de controle  Processos ou outras ações legais  Perda de ativos  Decisões de negócio subotimizadas

Perfil das fraudes  Em geral, as fraudes descobertas1:
 São descobertas através de Controles Internos (42%) ou, em menor escala, através de denúncias (28%) identificadas (de funcionários) ou de auditoria interna (21%)

Nota 1- Fonte: Relatório Enfoque 2005, elaborado pela Ernest & Young

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

70

Controle Interno

Gestão de Risco e Controle Interno

O Novo Papel da Auditoria Interna: O papel da auditoria interna é um elemento chave em atividades de controle, suportando a abordagem da administração para prevenir, detectar e responder à fraude, erros, irregularidades e má-conduta. Um das funções da Auditoria Interna é o de examinar a efetividade dos controles (realização de testes substantivos), Gestão de Risco, Sistemas, Salvaguarda de Ativos, Contabilidade e Governança. No geral, a auditoria interna deve ser responsável por: - Planejar e conduzir a testes que avaliam efetividade dos controles; - Ajudar a organização na avaliação das fraquezas dos controle e auxiliar a encontrar conclusões quanto a estratégias apropriadas para mitigar estes riscos; - Comunicar o comitê de auditoria sobre a avaliação dos controles internos e das auditorias, investigações e atividades relacionadas. Comparação: Enfoque Tradicional • • Foco nos controles. Testes com base em programa de trabalho padrão. Testes de todos os controles. Riscos avaliados com base na experiência do auditor. Maior parte do tempo gasto em revisão e consolidação.
Versão 2.0 | Rildo F Santos

Enfoque com Foco em Riscos • • Foco nos riscos. Testes com base no levantamento das informações. Testes focalizados, somente dos controles que minimizam os riscos relevantes. Padronização do processo de avaliação de riscos. Maior parte do tempo gasto em levantamento e análise de informações.
2009/2010 © Direitos Reservados 71


• •


• •

(rildo.santos@etecnologia.com.br)

Controle Interno

Gestão de Risco e Controle Interno

Exemplo: A SOX, tem duas seções sobre certificação: 302 e 906. A seção 302 determina um conjunto de procedimentos internos desenhados para garantir a evidenciação financeira. A seção 906 exige uma certificação pelo Presidente (CEO) e Diretor Financeiro (CFO) acompanhe cada relatório periódico que inclui as demonstrações financeiras > A SEC adotou a regra exigindo que a certificação seja fornecida como parte de cada relatório anual e trimestral as correspondentes alterações. > O Presidente e Diretor Financeiro deverão certificar que avaliaram a eficácia dos controles internos e dos procedimentos de divulgação da empresa dentro de 90 dias da data do relatório. > As regras exigem que a certificação seja incluída em relatórios anuis nos formulários: 10-K, 10-KSB, 20-F e 40-F, relatórios trimestrais nos formulários: 10-Q e 10-QSB e alterações em quaisquer dos relatórios acima mencionados. A seção 404, exige que administração da empresa produza o Internal Control Report Financial (ICRF) como parte do informe anual. O informe deve afirmar a responsabilidade da administração em estabelecer e manter procedimentos e uma estrutura adequada de controle interno para o informe financeiro. O informe ainda precisa conter uma avaliação, na data do final do ano fiscal mais recente da empresa, da efetividade dos procedimentos e da estrutura de controle interno do emitente do informe financeiro A firma de auditoria (externa), precisa atestar a avaliação de controle interno da administração. A recomendação da SEC, é utilizar o COSO como guia para implementar o Sistema de Controle Interno (SCI)
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 72

Controle Interno

Gestão de Risco e Controle Interno

SOX: Papéis e Responsabilidades:

Administração

É responsável pelos controles internos e pela preparação das demonstrações financeiras

Auditoria Interna

É responsável por testar e monitorar os controles internos

Auditoria Externa

É responsável por certificar a apresentação das demonstrações financeiras e a avaliação efetuada pela Administração para suportar a certificação da eficácia dos controles internos

Comitê de Auditoria

Supervisionar os processos e os participantes

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

73

Controle Interno:

Gestão de Risco e Controle Interno

SOX: Lições Aprendidas:
Questão:
Fraquezas Materiais nos Controles Internos

Para quais dos itens abaixo há o maior risco de serem reportadas é esperado o maior volume de fraquezas materiais nos controles internos? a) Tecnologia da Informação b) Reconhecimento de receita c) Gerenciamento do Imobilizado d) Compras e contas a pagar e) Impostos f) Recursos Humanos g) Tesouraria h) Encerramento e apresentação das demonstrações financeiras i) Outros

a) Tecnologia da Informação 7; 7% 4; 4% 7; 7% 2; 2% 4; 4% 7; 7% 4; 4% 65; 65% 0; 0% b) Reconhecimento de receita

c) Gerenciamento do Imobilizado
d) Compras e contas a pagar e) Impostos f) Recursos Humanos g) Tesouraria h) Encerramento e apresentação das demonstrações financeiras i) Outros

Nota: Para 65%, há uma percepção de que a tecnologia da informação é a que poderá gerar um maior volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A título de comparação, pesquisa similar realizada em 2005 teve como resultado uma votação de 57% para TI, o que indica que esta preocupação não é recente e se manteve no mesmo patamar.

Fonte: Síntese e Resultado da 9ª mesa de debates - Sox Update e Avaliação do Ambiente de Controle (COSO) KPMG – 2006/2007

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

74

Controle Interno

Gestão de Risco e Controle Interno

Deficiência de Controle Interno: A gravidade de uma deficiência de controle interno pode ser avaliada como um material weakness ou significant deficiency, fundamentada no potencial de erros ou fraudes nas demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que esses erros ou fraudes tenham efetivamente ocorrido.
Deficiência Significante (Significant deficiency): Deficiência ou uma combinação de deficiências que resulte em mais que uma remota possibilidade de erro ou omissão nas demonstrações financeiras anuais ou interinas e que não possa ser identificada preventivamente ou detectada. Fraqueza Material (Material weakness): Deficiência ou uma combinação de deficiências que resulte em mais que uma remota possibilidade de erro ou omissão com efeito material nas demonstrações financeiras anuais ou interinas e que não possa ser identificada preventivamente ou detectada Exemplos de Fraqueza Material (SOX): - Em razão de erros decorrentes do uso de planilhas eletrônicas para a elaboração das Demonstrações Financeiras. -Nos controles relativos a reconciliações em US GAAP, que originaram erros (republicações) nas Demonstrações Financeiras de 2004 e 2005. Exemplos de Deficiência Significante (SOX): - Nos controles internos em razão do não registro de um contrato segundo regras do SFAS 133. - Relacionada à republicações das Demonstrações Financeiras de 2004 e 2005 devido a erros de Classificação.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

75

Controle Interno

Gestão de Risco e Controle Interno

Deficiência de Controle Interno: A gravidade de uma deficiência de controle interno pode ser avaliada como uma Fraqueza Material (material weakness) , Deficiência de Controle (control deficiency) e Deficiência Significante (significant deficiency), fundamentada no potencial de erros ou fraudes nas demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que esses erros ou fraudes tenham efetivamente ocorrido.
Exemplos de Fraqueza Material (SOX): - Em razão de erros decorrentes do uso de planilhas eletrônicas para a elaboração das Demonstrações Financeiras. -Nos controles relativos a reconciliações em US GAAP, que originaram erros (republicações) nas Demonstrações Financeiras de 2004 e 2005.

Exemplos de Deficiência Significante (SOX): - Nos controles internos em razão do não registro de um contrato segundo regras do SFAS 133. - Relacionada à republicações das Demonstrações Financeiras de 2004 e 2005 devido a erros de classificação.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

76

Estudo de Caso: Controle

Gestão de Risco e Controle Interno

Tipos de Controle:
1. CONTROLE DO ESTADO – Constituição Federal Controle Externo – Tribunal da Contas da União (TCU) Controle Interno – Controladoria-Geral da União da Presidência da República (CGU-PR) 2. CONTROLE INTERNO DA PRÓPRIA ORGANIZAÇÃO Auditoria Interna 3. CONTROLE DOS ACIONISTAS - Lei de S.A. Assembleia Geral, Auditoria Independente e Conselho Fiscal

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

77

Estudo de Caso: Controle

Gestão de Risco e Controle Interno

Tipos de Controle: Estado
CONTROLE INTERNO
PRESIDÊNCIA DA REPÚBLICA CGU PODER EXECUTIVO MINISTÉRIO TCU PODER LEGISLATIVO

CONTROLE EXTERNO
CONGRESSO NACIONAL

BR
PETROBRAS
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 78

Estudo de Caso: Controle

Gestão de Risco e Controle Interno

Tipos de Controle: Estado

Congresso Nacional

Presidência da República
CNPE

ANP

MME
MJ

Controle Externo (TCU)

BR

CADE
MF

DEST
Controle Interno (CGU)
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br)

MPOG
MMA

2009/2010 © Direitos Reservados

79

Estudo de Caso: Controle

Gestão de Risco e Controle Interno

Tipos de Controle: Estado

Quanto aos Objetivos: Político-Legal
Legitimidade Legalidade Economicidade Eficiência Eficácia Efetividade

Quanto ao Momento:
Prévio
Orçamento

Administrativo

Concomitante

Acompanhamento

Programático

A Posteriori

Prestação de Contas e Avaliação

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

80

Estudo de Caso: Controle

Gestão de Risco e Controle Interno

Tipos de Controle: Interno (Auditoria Interna)
Auditoria Interna Atribuições: “Planejar, executar e avaliar as atividades de auditoria interna e atender às solicitações da alta administração e de órgãos externos de controle.” Perspectiva de Mercado: Zelar pela excelência dos controles das atividades da Petrobras, atendendo às expectativas dos clientes. • • • • • • Conhecimento da Petrobras Presteza no atendimento Visão integrada dos Negócios Confidencialidade Diversidade de formação Agregar valor à Unidade auditada

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

81

Estudo de Caso: Controle

Gestão de Risco e Controle Interno

Tipos de Controle: Interno (Auditoria Interna)
Auditoria Interna Estrutura:
Auditoria Interna
GERENCIAMENTO DE RECURSOS

Auditoria Corporativa e de Serviços

Auditoria de E&P

Auditoria de Abastecimento

Auditoria de Finanças

Auditoria de Gás e Energia

Auditoria Internacional

Aspectos legais:
Art. 14. As entidades da Administração Pública Federal indireta deverão organizar a respectiva unidade de auditoria interna, com o suporte necessário de recursos humanos e materiais, com o objetivo de fortalecer a gestão e racionalizar as ações de controle. Decreto nº 3.591, de 6/SET/00 – Dispõe sobre o Sistema de Controle Interno do Poder Executivo Federal e dá outras providências
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 82

Estudo de Caso: Implantação da Governança Corporativa na Petrobrás

Gestão de Risco e Controle Interno

Tipos de Controle: Acionistas
ASSEMBLÉIA GERAL (Artigos 121 e 122, III da Lei 6.404 de 1976) CONTROLE FINAL

ADMINISTRAÇÃO
Conselho de Administração Diretoria

CONSELHO FISCAL (Artigos 161 a 165 da Lei 6.404 de 1976) CONTROLE INTERNO

AUDITORES INDEPENDENTES (Artigo 177, § 3º da Lei 6.404 de 1976) CONTROLE EXTERNO
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 83

Controle Interno:

Gestão de Risco e Controle Interno

Melhores Práticas na implantação de Sistema de Controle Interno: Evite os controles manuais. Opte por controles automatizados; Implemente os controles do tipo preventivo;

Defina a quantidade de controle adequado;
Evite o controle do controle; Faça uma revisão de toda vez que o custo de um controle for maior que o benefício que ele traz; As melhores práticas recomendam a adoção da Gestão de Risco; Adote os melhores guias, frameworks, padrões e normas; Implemente o ciclo de melhoria continua, PDCA, nos controles;

[SOX] Foco nos controles internos de TI (Seção 404)

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

84

Gestão de Risco e Controle Interno

Tecnologia da Informação (TI) e Gestão de Risco Corporativo (ERM)

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

85

Modelo de Governança de TI

Gestão de Risco e Controle Interno

Governança Corporativa
Governança do Negócios
Governança de Conformidade (Controle Interno e Risco)

Estratégico

BSC

COSO

Cobit

Governança de TI
Planejamento Estratégico de TI
Projetos PMBok/PMI

Top Down

Operacional e Tático

Serviços de TI

Segurança da Informação

Fornecedores

Fábrica de de Software

Processos
BPM

Qualidade ISO9001 / Seis Sigma

ITIL / ISO20000

CMMi/ Mps.br

ISO17799/ ISO27001

SAS70 / e-SCM

Arquitetura de TI

Recursos
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 86

Gestão de Risco de TI

Gestão de Risco e Controle Interno

Governança de TI & COSO 2
Mudança de Visão Ontem: Gestão de Segurança da Informação Hoje: Gestão de Risco (Segurança da Informação + Controle Interno)
COSO
COBIT

Gestão de Risco Corporativo (ERM)
Gestão de Risco de TI
Gestão da Segurança da Informação Controle Internos

Governança Corporativa

Confidencialidade Integridade Disponibilidade

Processos Evidências Guia de Auditoria

Governança de TI

ISO 17799 / ISO 27001
Versão 2.0 | Rildo F Santos

Cobit, ITIL, ISO 17799...
(rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 87

Gestão de Risco e Controle Interno

Gestão de Risco de TI As melhores práticas:
Seguir as recomendações, utilizar as melhores práticas, padrões e frameworks. No caso de compliance SOX. A SEC (entidade que regula o mercado americano) recomenda utilizar: COSO (como padrão de referência para os controles internos) e o COBIT (como padrão de referência para sistemas de informação) e como Framework para implantação da Governança de TI. Para o Gerenciamento de Serviços de TI recomendase o modelo ITIL e/ou ISO 20000 Para a Gestão da Segurança da Informação é recomendado a ISO 17799 ou ISO 27001. Para Maturidade do Processo de Desenvolvimento de Software é recomendado CMMi e Mps.br

Para a Gestão de Projetos é recomendado as práticas do PMBok (PMI), lembre-se que a Gestão de Projetos abrange todas áreas da empresa.
Para a Gestão de Relacionamento com Fornecedores de TI recomenda-se o padrão e-SCM. No caso de SOX o SAS70.
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 88

Gestão de Risco e Controle Interno

Para TI: -Cobit - ISO 17799 – Segurança da Informação - ITIL - ISO 20.000 - MOF Para empresa: - PMBok (para projetos) - ISO 31000
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 89

Cobit

Gestão de Risco e Controle Interno

Cobit é um framework que tem um conjunto de componentes que representam as melhores praticas para Governança de TI, Controle de TI, Auditoria de TI e Conformidade com leis e regulamentações.

Principais características do Cobit: - Baseado em Controles - Orientado ao Negócio - Guiado por mensurações - Orientado a Processos

Evolução: A Governança
Governança Gestão Controle Auditoria
Cobit 1 1996 Cobit 2 1998 Cobit 3 2000 Cobit 4 2005 (rildo.santos@etecnologia.com.br)

Modelo de Governança
2009/2010 © Direitos Reservados 90

Versão 2.0 | Rildo F Santos

Cobit

Gestão de Risco e Controle Interno

Governança de TI segundo ITGI (Cobit)
Modelo de Governança de TI:
Garantia da ligação entre o negócio e planos de TI, manutenção e validação da proposição de valor da TI, alinhada com as operações da empresa Alinhamento Estratégico Execução da proposição de valor através do tempo, assegurando que TI entregue os benefícios prometidos de acordo com estratégia, concentrando-se em otimizar custos e em comprovar o valor intrínseco de TI Entrega de Valor Medição de Desempenho Acompanhamento e monitoramento da implantação da estratégia, do andamento dos projetos, da utilização de recursos, do desempenho dos processos, da entrega dos serviços, utilizando medições e indicadores de desempenho. Gerenciamento de Risco Conhecimento dos riscos, entendimento claro dos requisitos de compliance e das tendências da empresa para os riscos, transparência acerca dos riscos significantes para empresa e incorporação de responsabilidade para o gerenciamento dos riscos

Gerenciamento de Recursos
Otimização do investimentos e da gestão adequada de recursos (aplicações, pessoas, informações e infra-estrutura), essenciais para prover os subsídios de que a empresa necessita para cumprir os seus objetivos
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 91

Estrutura do COBIT

Gestão de Risco e Controle Interno

OBJETIVOS DE NEGÓCIOS E OBJETIVOS DE GOVERNANÇA

ESTRUTURA
ME1 ME2 Monitorar e Avaliar o Desempenho de TI. Monitorar e Avaliar os Controles Internos. Assegurar a Conformidade Regulatória. Fornecer Governança de TI.

PO1 INFORMAÇÃO Integridade Disponibilidade Confidencialidade

DO

C

O B I

T
Eficiência

ME3
ME4

Eficácia Conformidade Confiabilidade MONITORAR E AVALIAR

PLANEJAR E ORGANIZAR RECURSOS DE TI

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13

Definir e Gerenciar Níveis de Serviços. Gerencia Serviços Terceirizados. Manage performance and capacity. Gerenciar o Desempenho e a Capacidade. Garantir segurança dos sistemas. Identificar e Alocar Custos. Educar e Treinar os Usuários. Gerenciar a Central de Serviço e Incidentes. Gerenciar a configuração. Gerenciar os problemas. Gerenciar os dados. Gerenciar o Ambiente Físico. Gerenciar as Operações.

Definir um Plano Estratégico de TI. PO2 Definir a Arquitetura da Informação. PO3 Determinar o Direcionamento Tecnológico. PO4 Definir os Processos, a Organização e os Relacionamentos de TI. PO5 Gerenciar o Investimento de TI. PO6 Comunicar os Objetivos e Direcionamento da Diretoria. PO7 Gerenciar os Recursos Humanos de TI. PO8 Gerenciar a Qualidade. PO9 Avaliar e Gerenciar Risco de TI . PO10 Gerenciar Projetos.

Aplicações Informação Infra-estrutura Pessoas ENTREGAR E SUPORTAR ADQUIRIR E IMPLEMENTAR

AI1 AI2 AI3 AI4 AI5 AI6 AI7

Identificar as Soluções Automatizadas. Adquirir e Manter Software Aplicativo. Adquirir e Manter Infraestrutura de Tecnologia. Permitir Operação e Uso. Adquirir Recursos de TI. Gerenciar Mudanças. Instalar e Validar Soluções e Mudanças.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

92

ITIL v3

Gestão de Risco e Controle Interno

ITIL v3 :: Serviços, Processos e Funções

Adaptado do original de David Pultorak

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

93

MOF – Microsoft Operations Framework

Gestão de Risco e Controle Interno

O MOF é um guia de melhores práticas para Ciclo de Serviços de TI.
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 94

ISO 20000

Gestão de Risco e Controle Interno

Processos de Entrega de Serviços
Gestão de Capacidade Continuidade de Serviços e Gestão de Disponibilidade Gestão de Nível de Serviço Apresentação dos Resultados dos serviços
(Service Reporting)

Gestão da Segurança da Informação Orçamento e Contabilidade dos Serviços

Processos de Controle
Gestão de Configuração

Processos de Liberação
Gestão de Liberação

Gestão de Mudança

Processos de Resolução
Gestão de Incidentes Gestão de Problemas

Processos de Relacionamento
Gestão de Relacionamento com o Negócio Gestão de Fornecedores

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

95

ISO 17799 (Segurança da Informação)

Gestão de Risco e Controle Interno

Principais Componentes:

Disponibilidade – Acesso contínuo e ininterrupto. A informação deve estar disponível para a pessoa certa e no momento em que ela precisar. Integridade – Proteger a informação contra qualquer tipo de alteração sem a autorização explícita do autor da mesma Confidencialidade – Visa manter o sigilo, o segredo ou a privacidade das informações, evitando que pessoas, entidades ou programas não autorizados tenham acesso às mesmas.
Autenticidade (não repudio) - Garante ao receptor da informação a origem informada. Assegura que o acesso à informação não possa ser realizado por terceiros em nome do receptor ou que se utilizem do nome do originador para enviar informações. Objetivos: • Reduzir a probabilidade de ocorrência de incidentes de segurança. • Minimizar os danos / perdas causados à Organização. • Recuperação em caso de incidente.

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

96

ISO 17799 (Segurança da Informação)

Gestão de Risco e Controle Interno

Modelo de Implementação:

Definir escopo
Compliance e Certificação Revisão Documentação Gap Analyses

Monitorar Compliance

Treinamento

Implantação da ISO 17799

Inventário de Ativos

Desenvolver Procedimento Desenvolver Política

Avaliação de Risco Gestão de Risco

Objetivo de Controle

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

97

ISO 17799 (Segurança da Informação)

Gestão de Risco e Controle Interno

Componentes do ISO 17799
• • • • • 1. Objetivo da norma 2. Termos e definições 3. Política de segurança 4. Segurança organizacional 5. Classificação e controle dos ativos de informação 6. Segurança de pessoas • • 7. Segurança física e do ambiente 8. Gerenciamento de operações e comunicações 9. Controle de acesso 10. Desenvolvimento de sistemas. 11. Gestão de continuidade de negócios 12. Conformidade

• • • •

ISO 17799 – Segurança Organizacional Infra estrutura de segurança: indica que uma estrutura organizacional deve ser criada para iniciar e implementar as medidas de segurança. Segurança no acesso de prestadores de serviço: garantir a segurança dos ativos acessados por prestadores de serviços. Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos de terceirização de serviços computacionais cláusulas para segurança

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

98

PMBok ®. Gerenciamento de Risco

Gestão de Risco e Controle Interno

Definição de Risco1: “Um evento ou condição incerta que, se ocorrer, tem um efeito positivo ou negativo nos objetivos de um projeto”.
1 - Segundo o PMBok (Glossário)

Processos do Gerenciamento dos Riscos: Inclui os processos para maximizar a probabilidade e as conseqüências dos eventos positivos e minimizar a probabilidade e as conseqüências dos eventos adversos aos objetivos do projeto.

PMBok versão 3

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

99

ISO 31000 – Gerenciamento de Risco

Gestão de Risco e Controle Interno

Processo de Gestão de Riscos
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 100

Comentário final:

Gestão de Risco e Controle Interno

Está preparado para implementar a Gestão de Risco e suas melhores práticas ?

Se quiser ajuda, fale comigo:

www.etcnologia.com.br

Rildo F Santos
(11) 9123-5358 (11) 9962-4260
rildo.santos@etecnologia.com.br twitter: @rildosan skype: rildo.f.santos http://rildosan.blogspot.com/

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

101

Nossos Treinamentos

Gestão de Risco e Controle Interno

Treinamentos: - Implementação da Controle Interno com as práticas da COSO® - Workshop de Gestão de Risco com COSO®

- Fundamentos da Gestão de Risco e Controle e Interno com COSO
- Workshop de Gestão de Risco para TI
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 102

Quer Mais ?

Gestão de Risco e Controle Interno

Gostou quer mais, gostaria de receber outros materiais sobre o mesmo tema e novas versões deste material... Envie um e-mail para com subject: “Quero entrar na comunidade” para rildo.santos@etecnologia.com.br que te enviaremos um convite para participar da nossa comunidade

http://etecnologia.ning.com/
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 103

Notas:

Gestão de Risco e Controle Interno

Marcas Registradas: Todos os termos mencionados e reconhecidos como Marca Registrada e/ou comercial são de responsabilidade de seus proprietários. O autor informa não estar associada a nenhum produto e/ou fornecedor apresentado neste material. No decorrer deste, imagens, nomes de produtos e fabricantes podem ter sido utilizados, e desde já o autor informa que o uso é apenas ilustrativo e/ou educativo, não visando ao lucro, favorecimento ou desmerecimento do produto/fabricante.

Melhoria e Revisão: Este material esta em processo constante de revisão e melhoria, se você encontrou algum problema ou erro envie um e-mail nós. Criticas e Sugestões: Nós estamos abertos para receber criticas e sugestões que possam melhorar o material, por favor envie um e-mail para nós. Imagens: Google, Flickr e Banco de Imagem.

Rildo F dos Santos (rildo.santos@etecnologia.com.br)
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 104

Licença:

Gestão de Risco e Controle Interno

Versão 2.0 | Rildo F Santos

(rildo.santos@etecnologia.com.br)

2009/2010 © Direitos Reservados

105

Gestão de Risco e Controle Interno

Gestão de Risco e Controle Interno

www.etcnologia.com.br

Rildo F Santos
rildo.santos@etecnologia.com.br twitter: @rildosan skype: rildo.f.santos http://rildosan.blogspot.com/

(11) 9123-5358 (11) 9962-4260

As melhores práticasSantos Gestão de Risco e Controle 2009/2010 © Direitos Reservados para Interno com COSO® Versão 2.0 | Rildo F (rildo.santos@etecnologia.com.br)

You're Reading a Free Preview

Descarregar
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->