Professional Documents
Culture Documents
www.etcnologia.com.br
Rildo F Santos
rildo.santos@etecnologia.com.br
twitter: @rildosan
(11) 9123-5358 skype: rildo.f.santos
(11) 9962-4260 http://rildosan.blogspot.com/
A Gestão Ágil ajuda as empresas a responder mais rápido as demandas de negócio e mudanças. A Gestão 2.0,
abrange Planejamento Estratégico, Gestão por Processos Ágeis, Gestão de Projetos Ágeis, Tecnologia da Informação
(Métodos Ágeis), Inovação e Liderança.
Minha Experiência:
Tenho mais de 10.000 horas de experiência em Gestão de Negócios, Gestão de Inovação, Governança e Engenharia de
Software. Formado em Administração de Empresas, Pós-Graduado em Didática do Ensino Superior e Mestre em Engenharia
de Software pela Universidade Mackenzie.
Fui instrutor de Tecnologia de Orientação a Objetos, UML e Linguagem Java na Sun Microsystems e na IBM.
Conheço Métodos Ágeis (SCRUM, Lead, FDD e XP), Arquitetura de Software, SOA (Arquitetura Orientado a Serviço),
RUP/UP - Processo Unificado, Business Intelligence, Gestão de Risco de TI entre outras tecnologias.
Sou professor de curso de MBA da Fiap e fui professor de pós-graduação da Fasp e IBTA.
Possuo fortes conhecimentos de Gestão de Negócio (Inteligência de Negócio, Gestão por Processo, Inovação, Gestão de
Projetos e GRC - Governance, Risk and Compliance), SOX, Basel II e PCI;
E experiência na implementação de Governança de TI e Gerenciamento de Serviços de TI. Conhecimento dos principais
frameworks e padrões: ITIL, Cobit, ISO 27001 e ISO 15999;
Desempenhei diversos papéis como: Estrategista de Negócio, Gerente de Negócio, Gerente de Projeto, Arquiteto de Software,
Projetista de Software e Analista de Sistema em diversos segmentos: Financeiro, Telecomunicações, Seguro, Saúde,
Comunicação, Segurança Pública, Fazenda, Tecnologia, Varejo, Distribuição, Energia e Petróleo e Gás.
Possuo as certificações: CSM - Certified SCRUM Master, CSPO - Certified SCRUM Product Owner , SUN Java Certified
Instrutor, ITIL Foundation e sou Instrutor Oficial de Cobit Foundation e Cobit Games;
Onde estou:
Twitter: @rildosan
Blog: http://rildosan.blogspot.com/
3- Framework Coso - Componentes & Objetivos Apêndice A: Tecnologia da Informação (TI) e Gestão de
Risco Corporativo (ERM)
3.1 - Visão geral do Framework Coso 1 - Controle Interno
- Introdução
- Objetivos Apêndice B: Frameworks, Guias, Normas e
- Componentes Melhores Práticas para Gestão de Risco:
- Cobit
3.2 - COSO 2 - ERM (Enterprise Risk Management): - ITIL
- Ambiente Interno - MOF
- Fixação de Objetivos - ISO 20000
- Identificação de Eventos - PMBok
- Avaliação de Riscos - ISO 31000
- Resposta aos Riscos
- Atividades de Controle Estudo de Caso
- Informação e Comunicação
- Monitoramento
- Funções e Responsabilidades
- Limitações do Gerenciamento de Riscos Corporativos
Estudo de Caso
Melhores Práticas
As primeiras técnicas de gestão de risco foram implantadas pelas seguradoras – justamente com as
apólices para navios. No século 20, entre as décadas de 60 e 80, o setor financeiro se dedicou ao
aperfeiçoamento das ferramentas de controle de risco, entusiasmados pela possibilidade de “prever” o
futuro e evitar perdas previsíveis no presente. Em 1994, o JP Morgan lançou o Value at Risk (VaR), cálculo
amplamente utilizado pelas instituições financeiras para medir o risco probabilístico de um portfólio de
aplicações financeiras. É muito mais complexo, porém, dimensionar e avaliar riscos quando a régua não
pode ser simplesmente numérica, como no caso dos bancos.
Em 2002, depois de escândalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox)
têm obrigado as empresas a investir no controle de riscos. A obrigação estende a todas as empresas
listadas na Bolsa de New York, inclusive as brasileiras, são obrigadas pela SOX a informar anualmente a
quais riscos estão expostas e quais são as ferramentas de controle e gerenciamento utilizadas.
O Acordo de Basiléia II, que também é resultante de escândalos financeiros, no Brasil, a resolução 3380
do Bacen, obriga a implementação da Gestão de Risco Operacional a todos os bancos brasileiros, com
objetivo de atender o acordo.
Por obrigação, ou não, o fato é que o gerenciamento de risco se difunde entre as empresas de todo o
mundo.
Baseado no artigo da Revista Amanhã - http://amanha.terra.com.br/edicoes/229/capa04.asp
Segurança da Informação
Fraudes Contábeis Escândalos
e Financeiras Financeiros
Seção 404, 407, 408 e 409 – Tratam sobre os aspectos de controle interno, fiscalização
da SEC sobre informação pública, código de ética para diretores financeiros e
publicação de alterações operacionais e/ou financeiras. Determina a emissão de
relatório especial, com parecer, entregue à SEC, que ateste a realização anual de
avaliação e de controles e processos internos que são a base de relatórios
financeiros.
Art. 1° A presente Resolução estabelece padrão obrigatório para troca de informações em saúde suplementar (TISS) entre
operadoras de plano privado de assistência à saúde e prestadores de serviços de saúde sobre os eventos de saúde realizados em
beneficiários de plano privado de assistência à saúde, e mecanismos de proteção à informação em saúde suplementar.
A privacidade das informações individuais, entre as quais se incluem aquelas referentes ao estado de saúde de cada beneficiário, é
preocupação presente nos mais variados setores da sociedade e se expressa em variados diplomas legais, desde o Código Penal
Brasileiro, de 1942, até as resoluções do Conselho Federal de Medicina, incluindo diplomas da própria Agência Nacional de Saúde
Suplementar.
Por envolver informações que devem ser mantidas sob sigilo, a implantação da Troca de Informações em Saúde Suplementar -TISS -
pressupõe a observância de normas já existentes, originárias de órgãos competentes para tal fim.
Entre os procedimentos de segurança recomendados pela ANS para a implantação do TISS, e que portanto, devem ser
obrigatoriamente seguidos por quaisquer operadoras e prestadores, estão as normas técnicas estabelecidas na Resolução CFM n.º
1639, de 10 de julho de 2002, e nas resoluções da ANS (RN nº 21, de 12 de dezembro de 2002, e na RDC nº 64, de 10
de abril de 2001 ).
Tais medidas proporcionam as garantias administrativas, técnicas e físicas de proteção ao acesso à informação trocada.
Obriga-se, ainda, para o alcance dos objetivos de segurança e privacidade, a observação, ao menos, dos requisitos do Nível
de Garantia de Segurança 1 (NGS-1), descritos no "Manual de Requisitos de Segurança, Conteúdo e
Funcionalidades para Sistemas de Registro Eletrônico em Saúde" (RES), em conformidade com a norma NBR
ISO/IEC 17799 - Código de Prática para a Gestão da Segurança da Informação.
Para as entidades que utilizarem webservices como padrão de comunicação é recomendado a utilização do Nível de
Garantia de Segurança 1 (NGS-1) e o Nível de Garantia de Segurança 2 (NGS-2).
Fonte: http://www.ans.gov.br/portalv4/site/home/default.asp
Art. 31. O administrador do fundo deverá divulgar a todos os cotistas e à CVM, qualquer ato ou fato relevante atinente ao fundo.
Parágrafo único. Entre as informações referidas acima, não se incluirão informações sigilosas referentes às companhias emissoras
de títulos e valores mobiliários integrantes da carteira do fundo, obtidas pelo administrador sob compromisso de
confidencialidade ou em razão de suas funções regulares enquanto membro ou participante dos órgãos de administração ou
consultivos da companhia.
Instrução 380/2002:
Art. 3º - As corretoras eletrônicas devem fazer constar em suas páginas na rede mundial de computadores, de forma clara, precisa e
em linguagem acessível ao público investidor:
IV - as características do sistema de segurança mantido pela corretora, incluindo uso de senhas e assinaturas eletrônicas;
Art. 4º - As corretoras eletrônicas devem estabelecer, em suas páginas na rede mundial de computadores, uma seção ou um atalho para a
educação dos investidores, contendo, entre outras informações que sua administração julgue relevantes:
IV - os riscos operacionais do uso da rede mundial de computadores e de sistemas eletrônicos de negociação para a compra e venda
de valores mobiliários;
Corretoras Eletrônicas
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 10
Gestão de Risco e Controle Interno Compliance: Gestão de Risco Operacional
Empresas de Seguros
Governança
Gestão de Risco
Políticas, Diretrizes e Controle
Compliance
Quem decide
Governança
ao Risco
Risco Compliance
Tomada de Decisão Risco
Gerenciamento de Risco Aderência leis,
(identificar, analisar regulamentações, políticas,
e mitigar risco) Impacto de não atender ao padrões, contrato, melhores
Compliance práticas e frameworks
101, 102...
Mudança Cultura....
Notas: 1 - Fonte: Instituto Brasileiro de Governança Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis
Governança Corporativa
Governança significa o ato de conduzir uma nação, uma empresa, comunidade ou família através de uma liderança
escolhida pelos componentes destas entidades de forma natural ou eletiva.
O objetivo de um conjunto de boas práticas de Governança Corporativa adequada aos interesses dos stakeholders (partes
interessadas) é regulamentar a relação dos administradores com os shareholders (acionistas), sócios, empregados, clientes,
financiadoras, governo e sociedade.
As boas práticas em Governança Corporativa incluem aspectos de publicação de informações simétricas (disclosure)
como parte da prestação de contas inerente ao poder atribuído (accountability), sustentabilidade e equidade de direitos.
No aspecto legal, a Governança Corporativa é um mecanismo que visa garantir aos fornecedores de recursos financeiros,
shareholders, um justo retorno do seu investimento
É formado por conjunto de normas que devem guiar o comportamento dos diretores, administradores e acionistas
controladores, com objetivo de maximizar o valor da empresa e que definem as obrigações e responsabilidades
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 21
Fundamentos:
Estudo de Caso: Implantação da Governança Corporativa
Gestão de Risco e Controle Interno
Fonte:
Fonte:
GESTÃO DE RISCOS E CONTROLES INTERNOS
Apresentação: Auditoria Interna da Petrobrás
PEDRO GAUZISKI DE ARAUJO FIGUEREDO
JOSÉ RICARDO ALMEIDA DA ROSA
GERÊNCIA GERAL DE CONTROLES INTERNOS
Petrbrás - 2004
PETROBRAS FONAI, MAIO/2006
Criada em 1953 pelo governo de Getúlio Vargas, é hoje uma das vinte maiores empresas petrolíferas do
mundo. Em 2005, a Petrobras obteve lucro de 23,7 bilhões de reais e é o maior da história da empresa,
além do maior lucro já registrado por uma companhia da América Latina de capital aberto. O valor
equivale a um crescimento de 40% em relação ao ano anterior. O aumento da produção de petróleo,
maior carga processada de óleo pesado nacional, maior utilização da capacidade de refino e aumento de
preços são alguns dos responsáveis pelo resultado recorde. Seus sucessivos lucros são um dos grandes
pilares na manutenção do superávit primário brasileiro.
Em 2006 a Petrobras entrou para o seleto grupo das empresas que têm um valor de mercado em
bolsa superior a 100 bilhões de dólares.
A Petrobras é referência internacional na exploração de petróleo em águas profundas.
Histórico:
Lei 6.404 de 1976 - Lei das
A - Adequá-lo às modificações da Lei das S.A. Sociedades por Ações
Sujeição às Normas da CVM
– Comissão de Valores
B - Buscar uma aproximação com as práticas de Mobiliários (art. 235, § 1º);
Governança Corporativa estabelecidas pela Bovespa
Comitês do CA:
Conselho Fiscal
• Abastecimento
• E&P
Presidente
• Gás e Energia
• Recursos Humanos
Diretoria Executiva
• SMS
Diretores • Análise de Organização e
Gestão
Execução da • Tecnologia da Informação
estratégia e Comitê de • Controles Internos
desenvolvimento Negócios • Risco
das operações • Tecnologia
Comitês • Responsabilidade Social
de Gestão
e Ambiental
ACIONISTAS
INVESTIDORES CLIENTES
FORÇA DE
FORNECEDORES TRABALHO
GOVERNO SOCIEDADE
A Petrobras desde de 2002 fez “lição de casa” para atender à SOX e vem
intensificando esforços na análise de seus impactos e na promoção dos ajustes no
modelo de governança da empresa. Todas as exigências em vigor foram
cumpridas.
Governança de TI
Segundo IT Governance Institute (www.itgi.org), a definição da Governança
de TI:
Guia: COSO
Governança Corporativa
Governança de TI
COBIT
- Otimizar custos;
A introdução de mecanismos automatizados na negociação da BOVESPA remonta aos anos 70, quando os boletos
foram substituídos por cartões perfurados e os negócios passaram a ser registrados de forma eletrônica.
Desde então, a BOVESPA vem acompanhando as principais inovações tecnológicas, investindo na melhoria
contínua de sua infraestrutura a fim de garantir alta performance e um ambiente altamente seguro e confiável.
Home Broker
MEGA BOLSA
Governança de TI
InfraEstrutura
Governança de TI
Desde 2004, a BOVESPA/CBLC adota um modelo de Governança de TI: gestão planejada de recursos humanos e materiais,
que propiciam o desenvolvimento de infraestruturas, sistemas e processos alinhados às melhores práticas internacionais e
às necessidades específicas dos negócios.
Desde sua implantação na BOVESPA/CBLC, vários avanços foram feitos, com benefícios para todos os participantes do
mercado.
A Governança de TI permite:
medir e auditar a execução e a qualidade dos serviços;
viabilizar o acompanhamento de contratos internos e externos; e
definir condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade.
Esta informações estão publicadas no site da Bovespa (www.bovespa.com.br) que proprietária legitima destas informações
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 31
Fundamentos:
Gestão de Riscos
Gestão de Risco e Controle Interno
Outras definições:
Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto
negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente.
Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar
oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar
favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da
organização canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos,
formulando planos que visam ao aproveitamento destes.
Eventos Externos
Acesso ao capital dados
Complexidade Disponibilidade de inadimplência Regulamentos
Pessoal: sistemas Concentração Sociais:
Capacidade dos Seleção de sistemas Liquidez Características
empregados Desenvolvimento Mercados financeiros demográficas
Atividade fraudulenta Alocação Desemprego Comportamento do
Saúde e segurança Manutenção Concorrência consumidor
Processo: Fusões / aquisições Privacidade
Capacidade Meio Ambiente: Terrorismo
Design Emissões e dejetos Tecnológicos:
Execução Energia Interrupções
Dependências / Desastres naturais Comércio eletrônico
fornecedores Desenvolvimento Dados externos
sustentável Tecnologias emergentes
Risco de crédito:
Risco de crédito se refere a uma possível incapacidade da instituição financeira, responsável
pela emissão de ativos financeiros usados em investimentos, de honrar seus compromissos
financeiros assumidos com os investidores. Essa situação pode ser causada por problemas
financeiros oriundos de uma má administração ou gestão, dificuldades com planos
econômicos, etc.
Risco Legal/Compliance
Fraquezas à mostra1
Ao cumprir a seção 404 da Lei Sarbanes-Oxley, Telemar e Copel revelam fragilidades nos
controles de seus balanços.
Nota:1 Revista Capital Aberto edição 48
Risco de Subscrição:
Este risco representa a possibilidade do montante dos sinistros a serem pagos pela
sociedade seguradora em um período futuro ser maior que o montante de prêmios a ser
recebido
PARIS, 24 Jan 2008 (AFP) - O Société Générale, um dos três maiores bancos franceses, revelou nesta quinta-feira ter
perdido € 7 bilhões (R$ 18,43 bilhões). Desse total, cerca de € 5 bilhões (R$ 13,16 bilhões) foram perdidos em
operações ilícitas que teriam sido feitas por um só de seus corretores. É a maior fraude da história financeira mundial.
Em plena tormenta nas Bolsas mundiais, o banco anunciou esta fraude interna de € 4,9 bilhões, aos quais somam-se € 2
bilhões de desvalorizações ligadas à crise dos "subprimes".
O funcionário acusado de ser responsável pela fraude, que operava em Paris e cuja identidade não foi revelada, foi
demitido.
Após terem sido suspensas a pedido do banco, as ações do Société Générale voltaram a ser negociadas e fecharam em
baixa de 4,1% nesta quinta-feira para € 75,81.
De acordo com as explicações do banco, a fraude foi descoberta no dia 19 de janeiro: um corretor, operando em uma
subdivisão de suas atividades de mercado, se aproveitou de "seu conhecimento profundo dos procedimentos de controle
para dissimular suas posições graças a uma montagem elaborada de transações fictícias".
O Société Générale liquidou depois suas posições, mas, levando-se em conta seu tamanho e "as condições do mercado
particularmente desfavoráveis", essa fraude teve um impacto negativo de € 4,9 bilhões sobre seu resultado líquido.
Durante uma entrevista coletiva à imprensa convocada com urgência, o presidente ao Société Générale, Daniel Bouton,
tentou se explicar sobre essa fraude gigantesca e pediu desculpas aos acionistas.
"Apenas um homem construiu uma empresa de fachada no interior do grupo, utilizando os instrumentos do Société
Générale e teve a inteligência de escapar de todos os procedimentos de controle", declarou.
Ele indicou que o corretor agiu ao longo de todo o ano de 2007 e que uma queixa foi apresentada contra ele.
O advogado de dezenas de acionistas do banco afirmou ter apresentado uma queixa por "estelionato, abuso de
confiança, falsidade ideológica, cumplicidade e receptação".
O Banco de França anunciou logo em seguida que uma investigação será iniciada para examinar as condições nas
quais essa fraude ocorreu.
Fonte: UOL/(AFP) PARIS, 24 Jan 2008:
DE PARA
Monitoramento de Risco é função Monitoramento de risco é atividade
dos auditores internos do CEO
Outras definições:
Definição (rfs):
Políticas, procedimentos, atividades e mecanismos desenvolvidos
para assegurar que a missão e os objetivos de negócios sejam
alcançados; proteger os ativos; e garantir a eficiência operacional.
O controle interno deve ter o papel preventivo para que os eventos
indesejáveis sejam prevenidos, detectados e corrigidos.
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 40
Gestão de Risco e Controle Interno Exercício:
Introdução:
O processo regulatório referente a controle internos tem um marco importante nos Estados Unidos por
ocasião da lei aprovada pelo Congresso Americano, em dezembro de 1987, chamada de Foreign
Corrupt Practices Act (FCPA). Essa lei restringe-se a sociedades anônimas por ações.
As empresas sob FCPA, são obrigadas a criar e implementar e manter sistemas de controle que
ofereçam garantias de que as transações serão registradas de conformidade com os princípios
contábeis.
Os auditores independentes através do AICPA, em SAS (Declaração Padrão de Auditoria) 55, pregam
que a administração deve estabelecer uma estrutura de controle interna composta por 3 elementos:
Ambiente de controle; Sistema Contábil e Procedimento de Controle.
Um estudo neste sentido foi feito pela Treadway Commission. A recomendação do Treadway
Commission, no sentido de desenvolver-se uma definição comum de controle interno com diretrizes
processuais, criou-se o COSO, Comitê das Organizações Patrocinadoras.
O modelo apresentado pelo COSO em 1992 e atualizado em 1994
(Internal Control – Integrated Framework), conhecido como COSO 1,
definiu o controle interno e elaborou critérios para a avaliação de
sistemas.
O COSO 1 responsabiliza pelo processo de Controle Interno o
Conselho Diretor (Board), a Administração (Directors) e os funcionários
da entidade.
Objetivos do COSO 1
Ele estabelece o processo como garantidor para a realização de objetivos das seguintes
categorias:
- Eficácia e eficiência de operações;
- confiabilidade dos relatórios financeiros
- cumprimento das leis e regulamentos pertinentes.
COSO 1 – Componentes:
Ambiente de Controle:
É a base para todos os demais componentes. Diz respeito a fatores
como ética, integridade, formas de conduta, políticas de recursos
humanos, estrutura da organização, forma de atuação e atenção do
Conselho de Administração e da alta administração quanto à cultura de
controle, atribuição adequada de autoridade e responsabilidade e
alocação de recursos
Avaliação de Risco:
Consiste da identificação e análise de risco (interno e externo) que são
significantes ao alcance dos objetivos da empresa. Esta avaliação deve
levar em consideração a severidade do risco, a freqüência com que
estes ocorrem e seu impacto. Definição de como a empresa
administrará tais riscos.
Atividade de Controle:
São as políticas e procedimentos que garantem que os planos e
diretrizes indicados pela administração são atingidos e ocorrem por
toda a empresa, em todos os níveis, incluindo todas as funções,
inclusive a aspecto de segurança física e lógica.
COSO 1 – Componentes:
Informação e Comunicação:
Os sistemas de informação produzem relatórios contendo informações
operacionais, financeiras e de compliance (conformidade) que tornam
possível a condução e controle do negócio.
Tratam de informações geradas tanto interna com externamente e que
serão publicadas internamente e/ou externamente.
Os sistemas de informação devem permitir o fluxo de informações por
toda a organização, dos níveis hierárquicos inferiores para os
superiores e vice-versa e com órgãos externos.
Monitoramento:
É monitoramento continuo sob a realização das operações, atividades
regulares de gerenciamento e supervisão de outras atividades
decorrentes de execução de tarefas pelas pessoas. As deficiências
encontradas ao longo do monitoramento devem ser comunicadas ao
gerente responsável e quando necessário ser comunicadas a alta
administração.
Introdução:
Em 2001, o COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management
Framework), conhecida como COSO 2.
O COSO 2, é um estudo complementar ao framework do „COSO‟ chamado Gerenciamento de Riscos
Corporativo (ERM - Enterprise Risk Management), que representa, um próximo passo para aquelas
empresas que estão preocupadas em, além de atender às demandas regulatórias, preservar a geração
de valor de suas empresas.
Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o apetite a risco da
organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo
mecanismos para gerenciar esses riscos.
Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização enfrenta uma
gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos
possibilita uma resposta eficaz a impactos inter-relacionados e, também,respostas integradas aos
diversos riscos.
Os objetivos:
Essa estrutura estabelece quatro categorias
de objetivos para a organização:
Níveis de Organização:
ERM considera atividades em
todos os níveis da organização:
- Entidade
- Divisão ou Subsidiária
- Unidade de Negócios
- Processo
O COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management Framework)
conhecida como COSO 2.
Fonte: www.coso.org
Componentes
Limitações:
O Principal responsável:
O presidente-executivo é o principal responsável e deve assumir a responsabilidade da iniciativa.
Cabe aos outros diretores executivos apoiar a filosofia de administração de riscos da empresa, incentivar a
observação a exposição ao risco e administrar os riscos dentro de suas esferas de responsabilidade,
conforme as tolerâncias a risco.
O Supervisor:
O Conselho de Administração executa importante atividade de supervisão do gerenciamento de riscos da
organização, estando ciente e de acordo com o grau de exposição da empresa.
Os participantes:
Os clientes, revendedores, parceiros de negócios ou comerciais, auditores externos, agentes
normativos e analistas financeiros freqüentemente fornecem informações úteis para a condução do
gerenciamento de riscos,porém não são responsáveis pela sua eficácia e nem fazem parte do
gerenciamento de riscos da empresa.
Resumindo:
O Controle Interno é parte integrante da Gestão de Risco Corporativo
(ERM).
Segundo o COSO a definição de controle interno: “Controle interno é um processo, desenvolvido
para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa”, nas seguinte
categorias:
- Eficácia e eficiência de operações;
- Confiabilidade nos registros contábeis e financeiros e
- Conformidade com as leis e regulamentos.
Controle
Interno
Comunicação
Identificação
Valor dos Ativos Ameaças Vulnerabilidades
(Assets) (Threats) (Vulnerabilities)
Riscos
Avaliação/Análise
Contramedidas
(Countermeasures) Resposta ao Risco
Monitoramento
Outras definições:
Definição (rfs):
Políticas, procedimentos, atividades e mecanismos desenvolvidos para
assegurar que a missão e os objetivos de negócios sejam alcançados;
proteger os ativos; e garantir a eficiência operacional. O controle interno deve
ter o papel preventivo para que os eventos indesejáveis sejam prevenidos,
detectados e corrigidos.
RESPOSTA - Controles elaborados para tomar ação corretiva e remediar os danos causados por
erros, fraudes, má-conduta e irregularidades. (Reativo)
Tipos de Controles:
AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de
julgamentos pessoais. Para garantir sua consistência, precisão e tempestividade, é preciso
ter um sistema seguro e confiável. (Maior eficácia)
Periodicidade:
Deve ser atrelado a ocorrência do evento, a cada evento, diário, semanal, quinzenal, mensal,
trimestral, semestral, anual. A periodicidade do controle deve ser compatível com a freqüência
do incidência dos eventos de risco cobertos pelo controle).
Riscos
Riscos
Controles
+ Tolerância Controles +
Riscos à Riscos Tolerância
Controles +
à Riscos
Tolerância
à Riscos
Quem fez
o lançamento ?
Como foi feito
lançamento ?
Em que data
foi feito o
lançamento ?
Existem
O por que documentos
do lançamento ? (evidências) ?
Controle eficiente:
O controle devem responder as seguintes
questões: - Quem, quando, como e por que
Evidencia (documentos probatórios)
Nota 1- Fonte: Relatório Enfoque 2005, elaborado pela Ernest & Young
A seção 906 exige uma certificação pelo Presidente (CEO) e Diretor Financeiro (CFO) acompanhe cada
relatório periódico que inclui as demonstrações financeiras
> A SEC adotou a regra exigindo que a certificação seja fornecida como parte de cada relatório anual e
trimestral as correspondentes alterações.
> O Presidente e Diretor Financeiro deverão certificar que avaliaram a eficácia dos controles internos e
dos procedimentos de divulgação da empresa dentro de 90 dias da data do relatório.
> As regras exigem que a certificação seja incluída em relatórios anuis nos formulários: 10-K, 10-KSB,
20-F e 40-F, relatórios trimestrais nos formulários: 10-Q e 10-QSB e alterações em quaisquer dos
relatórios acima mencionados.
A seção 404, exige que administração da empresa produza o Internal Control Report Financial
(ICRF) como parte do informe anual.
O informe deve afirmar a responsabilidade da administração em estabelecer e manter procedimentos
e uma estrutura adequada de controle interno para o informe financeiro.
O informe ainda precisa conter uma avaliação, na data do final do ano fiscal mais recente da empresa,
da efetividade dos procedimentos e da estrutura de controle interno do emitente do informe
financeiro
A firma de auditoria (externa), precisa atestar a avaliação de controle interno da administração.
A recomendação da SEC, é utilizar o COSO como guia para implementar o Sistema de Controle Interno
(SCI)
Nota:
Para 65%, há uma percepção de que a tecnologia da informação é a que poderá gerar um maior
volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A título de
comparação, pesquisa similar realizada em 2005 teve como resultado uma votação de 57% para TI, o
que indica que esta preocupação não é recente e se manteve no mesmo patamar.
Fonte: Síntese e Resultado da 9ª mesa de debates - Sox Update e Avaliação do Ambiente de Controle (COSO) KPMG – 2006/2007
A gravidade de uma deficiência de controle interno pode ser avaliada como um material
weakness ou significant deficiency, fundamentada no potencial de erros ou fraudes nas
demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que
esses erros ou fraudes tenham efetivamente ocorrido.
Deficiência Significante (Significant deficiency): Deficiência ou uma combinação de deficiências que
resulte em mais que uma remota possibilidade de erro ou omissão nas demonstrações financeiras
anuais ou interinas e que não possa ser identificada preventivamente ou detectada.
Fraqueza Material (Material weakness): Deficiência ou uma combinação de deficiências que resulte em
mais que uma remota possibilidade de erro ou omissão com efeito material nas demonstrações
financeiras anuais ou interinas e que não possa ser identificada preventivamente ou detectada
A gravidade de uma deficiência de controle interno pode ser avaliada como uma Fraqueza
Material (material weakness) , Deficiência de Controle (control deficiency) e Deficiência
Significante (significant deficiency), fundamentada no potencial de erros ou fraudes nas
demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que
esses erros ou fraudes tenham efetivamente ocorrido.
Exemplos de Fraqueza Material (SOX):
- Em razão de erros decorrentes do uso de planilhas eletrônicas para a elaboração das Demonstrações
Financeiras.
-Nos controles relativos a reconciliações em US GAAP, que originaram erros (republicações) nas
Demonstrações Financeiras de 2004 e 2005.
PRESIDÊNCIA DA CONGRESSO
REPÚBLICA NACIONAL
CGU TCU
PODER PODER
EXECUTIVO LEGISLATIVO
MINISTÉRIO
BR
PETROBRAS
Congresso Presidência da
Nacional República
CNPE
ANP MME
Controle
Externo BR CADE
MJ
(TCU)
MF
DEST MPOG
Controle MMA
Interno
(CGU)
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 79
Estudo de Caso: Controle
Gestão de Risco e Controle Interno
Tipos de Controle: Estado
Político-Legal Legitimidade
Legalidade Prévio Orçamento
Economicidade
Administrativo Eficiência Concomitante Acompanhamento
Eficácia
Atribuições:
“Planejar, executar e avaliar as atividades de auditoria interna e atender às solicitações da
alta administração e de órgãos externos de controle.”
Perspectiva de Mercado:
Zelar pela excelência dos controles das atividades da Petrobras, atendendo às
expectativas dos clientes.
• Conhecimento da Petrobras
• Presteza no atendimento
• Visão integrada dos Negócios
• Confidencialidade
• Diversidade de formação
• Agregar valor à Unidade auditada
Estrutura:
Auditoria
Interna
GERENCIAMENTO DE
RECURSOS
Auditoria
Auditoria de Auditoria de Auditoria de Auditoria de Auditoria
Corporativa e
E&P Abastecimento Finanças Gás e Energia Internacional
de Serviços
Aspectos legais:
ADMINISTRAÇÃO
Conselho de Administração
Diretoria
AUDITORES INDEPENDENTES
(Artigo 177, § 3º da Lei 6.404 de
1976)
CONTROLE EXTERNO
Faça uma revisão de toda vez que o custo de um controle for maior que o benefício
que ele traz;
Governança Corporativa
Governança do Governança de Conformidade
Negócios (Controle Interno e Risco)
Governança de TI
Planejamento Estratégico de TI
Projetos
Top Down
PMBok/PMI
Operacional e Tático
Fornecedores
Serviços de TI
Segurança da
de Software
Informação
Fábrica de
Processos
BPM
Qualidade
ISO9001 /
Seis Sigma
ITIL / CMMi/ ISO17799/ SAS70 /
ISO20000 Mps.br ISO27001 e-SCM
Arquitetura de TI
Recursos
COSO
COBIT
Gestão da Segurança
Controle Internos
da Informação Governança
de TI
Confidencialidade Processos
Integridade Evidências
Disponibilidade Guia de Auditoria
ISO 17799 /
ISO 27001 Cobit, ITIL, ISO 17799...
Para TI:
-Cobit
- ISO 17799 – Segurança da Informação
- ITIL
- ISO 20.000
- MOF
Para empresa:
- PMBok (para projetos)
- ISO 31000
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 89
Gestão de Risco e Controle Interno Cobit
Gestão
Controle
Auditoria
Entrega de Valor
Gerenciamento de Risco
Medição de Desempenho
Acompanhamento e Conhecimento dos riscos,
monitoramento da entendimento claro dos
implantação da estratégia, requisitos de compliance e das
do andamento dos projetos, tendências da empresa para
da utilização de recursos, do os riscos, transparência
desempenho dos processos, acerca dos riscos significantes
da entrega dos serviços, para empresa e incorporação
utilizando medições e de responsabilidade para o
indicadores de desempenho. gerenciamento dos riscos
Gerenciamento de Recursos
Otimização do investimentos e da gestão adequada de
recursos (aplicações, pessoas, informações e infra-estrutura),
essenciais para prover os subsídios de que a empresa
necessita para cumprir os seus objetivos
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 91
Gestão de Risco e Controle Interno Estrutura do COBIT
OBJETIVOS DE NEGÓCIOS E
OBJETIVOS DE GOVERNANÇA
ESTRUTURA
PO1 Definir um Plano
Estratégico de TI.
ME1 Monitorar e Avaliar o DO C O B I T INFORMAÇÃO PO2 Definir a Arquitetura da
Desempenho de TI. Informação.
ME2 Monitorar e Avaliar os PO3 Determinar o
Controles Internos. Eficiência Integridade Direcionamento
ME3 Assegurar a Conformidade Tecnológico.
Eficácia Disponibilidade PO4 Definir os Processos, a
Regulatória.
Conformidade Confidencialidade Organização e os
ME4 Fornecer Governança de Relacionamentos de TI.
TI. Confiabilidade PO5 Gerenciar o Investimento
de TI.
MONITORAR PLANEJAR PO6 Comunicar os Objetivos e
E AVALIAR E ORGANIZAR Direcionamento da
Diretoria.
PO7 Gerenciar os Recursos
RECURSOS Humanos de TI.
DS1 Definir e Gerenciar Níveis de DE TI PO8 Gerenciar a Qualidade.
Serviços. PO9 Avaliar e Gerenciar Risco de
TI .
DS2 Gerencia Serviços PO10 Gerenciar Projetos.
Terceirizados.
DS3 Manage performance and
capacity. Aplicações
DS4 Gerenciar o Desempenho e a Informação
Capacidade. Infra-estrutura AI1 Identificar as Soluções
DS5 Garantir segurança dos Pessoas Automatizadas.
sistemas. AI2 Adquirir e Manter Software
DS6 Identificar e Alocar Custos. ENTREGAR E ADQUIRIR E Aplicativo.
DS7 Educar e Treinar os SUPORTAR AI3 Adquirir e Manter Infra-
IMPLEMENTAR
Usuários. estrutura de Tecnologia.
DS8 Gerenciar a Central de AI4 Permitir Operação e Uso.
Serviço e Incidentes. AI5 Adquirir Recursos de TI.
DS9 Gerenciar a configuração. AI6 Gerenciar Mudanças.
DS10 Gerenciar os problemas. AI7 Instalar e Validar Soluções
DS11 Gerenciar os dados. e Mudanças.
DS12 Gerenciar o Ambiente Físico.
DS13 Gerenciar as Operações.
Principais Componentes:
Objetivos:
• Reduzir a probabilidade de ocorrência de incidentes de
segurança.
• Minimizar os danos / perdas causados à Organização.
• Recuperação em caso de incidente.
Definir
escopo
Compliance e Revisão
Certificação Documentação
Monitorar Gap
Compliance Analyses
Implantação da Inventário
Treinamento ISO 17799 de Ativos
Desenvolver Avaliação de
Procedimento Risco
Desenvolver Gestão de
Política Objetivo de Risco
Controle
PMBok versão 3
www.etcnologia.com.br
Rildo F Santos
rildo.santos@etecnologia.com.br
twitter: @rildosan
(11) 9123-5358 skype: rildo.f.santos
(11) 9962-4260 http://rildosan.blogspot.com/
Treinamentos:
http://etecnologia.ning.com/
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 103
Gestão de Risco e Controle Interno Notas:
Marcas Registradas:
Todos os termos mencionados e reconhecidos como Marca Registrada e/ou comercial são de
responsabilidade de seus proprietários. O autor informa não estar associada a nenhum produto e/ou
fornecedor apresentado neste material. No decorrer deste, imagens, nomes de produtos e fabricantes
podem ter sido utilizados, e desde já o autor informa que o uso é apenas ilustrativo e/ou educativo, não
visando ao lucro, favorecimento ou desmerecimento do produto/fabricante.
Melhoria e Revisão:
Este material esta em processo constante de revisão e melhoria, se você encontrou algum problema
ou erro envie um e-mail nós.
Criticas e Sugestões:
Nós estamos abertos para receber criticas e sugestões que possam melhorar o material, por favor
envie um e-mail para nós.
Imagens:
Google, Flickr e Banco de Imagem.
www.etcnologia.com.br
Rildo F Santos
rildo.santos@etecnologia.com.br
twitter: @rildosan
(11) 9123-5358 skype: rildo.f.santos
(11) 9962-4260 http://rildosan.blogspot.com/