Gestão de Risco e Controle Interno Com COSO

Gestão de Risco e Controle Interno
www.etcnologia.com.br
Rildo F Santos
rildo.santos@etecnologia.com.br
twitter: @rildosan
(11) 9123-5358 skype: rildo.f.santos
(11) 9962-4260 http://rildosan.blogspot.com/
As melhores práticas para Gestão

Versão 2.0 | Rildo F Santos
de Risco e Controle 2009/2010
(rildo.santos@etecnologia.com.br)
Interno com COSO®
© Direitos Reservados
Sobre o autor: Rildo F. Santos
Coach e Consultor de Gestão de Negócios, Inovação e Tecnologia para a Gestão 2.0, a Gestão Ágil.
A Gestão Ágil ajuda as empresas a responder mais rápido as demandas de negócio e mudanças. A Gestão 2.0,
abrange Planejamento Estratégico, Gestão por Processos Ágeis, Gestão de Projetos Ágeis, Tecnologia da Informação
(Métodos Ágeis), Inovação e Liderança.
Minha Experiência:
Tenho mais de 10.000 horas de experiência em Gestão de Negócios, Gestão de Inovação, Governança e Engenharia de
Software. Formado em Administração de Empresas, Pós-Graduado em Didática do Ensino Superior e Mestre em Engenharia
de Software pela Universidade Mackenzie.
Fui instrutor de Tecnologia de Orientação a Objetos, UML e Linguagem Java na Sun Microsystems e na IBM.
Conheço Métodos Ágeis (SCRUM, Lead, FDD e XP), Arquitetura de Software, SOA (Arquitetura Orientado a Serviço),
RUP/UP - Processo Unificado, Business Intelligence, Gestão de Risco de TI entre outras tecnologias.
Sou professor de curso de MBA da Fiap e fui professor de pós-graduação da Fasp e IBTA.
Possuo fortes conhecimentos de Gestão de Negócio (Inteligência de Negócio, Gestão por Processo, Inovação, Gestão de
Projetos e GRC - Governance, Risk and Compliance), SOX, Basel II e PCI;
E experiência na implementação de Governança de TI e Gerenciamento de Serviços de TI. Conhecimento dos principais
frameworks e padrões: ITIL, Cobit, ISO 27001 e ISO 15999;
Desempenhei diversos papéis como: Estrategista de Negócio, Gerente de Negócio, Gerente de Projeto, Arquiteto de Software,
Projetista de Software e Analista de Sistema em diversos segmentos: Financeiro, Telecomunicações, Seguro, Saúde,
Comunicação, Segurança Pública, Fazenda, Tecnologia, Varejo, Distribuição, Energia e Petróleo e Gás.
Possuo as certificações: CSM - Certified SCRUM Master, CSPO - Certified SCRUM Product Owner , SUN Java Certified
Instrutor, ITIL Foundation e sou Instrutor Oficial de Cobit Foundation e Cobit Games;
Sou membro do IIBA-International Institute of Business Analysis (Canada)
Onde estou:
Twitter: @rildosan
Blog: http://rildosan.blogspot.com/
Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 2

Comentário inicial:
O objetivo principal desta apresentação é prover informações sobre a Gestão de

Risco Corporativo e Controle Interno.
A Gestão de Risco deve ser considerada como parte integrante da estratégia de

organização para que os eventos de riscos não causem desvios ou impactos
sobre os objetivos. Sistema de Controle Interno deve ser utilizado para melhorar a
eficiência operacional e atender requisitos legais.
Também será discutido o COSO® 1 que é um guia de referencia (“framework”) de

melhores práticas de Controle Interno e COSO® 2 ERM que é guia de referencia
(“framework”) de melhores práticas para a Gestão de Risco Corporativo.
Gestão de Risco e Controle Interno Conteúdo:
1-Introdução: 4 - Controle Interno:
A importância da Gestão de Risco Corporativo - Definição
- Prevenção, Detecção e Resposta
2-Fundamentos - Lista de Controle Interno
- Definição de Governança Corporativa - Peso dos Controle Interno
- Estudo de Caso: Implantação da Governança Corporativa - Características de um Controle eficiente
- Definição de Governança de TI - Benefícios de uma Estrutura de Controles Internos
- Estudo de Caso: Implantação da Governança de TI Consistente
- Definição de Gestão de Risco - Novo Papel da Auditoria Interna
- Definições de Risco - Exemplo: SOX
- Novo paradigma da Gestão de Risco - Deficiência de Controle Interno
- Definição de Controle Interno - Estudo de Caso
- Melhores práticas
3- Framework Coso - Componentes & Objetivos Apêndice A: Tecnologia da Informação (TI) e Gestão de
Risco Corporativo (ERM)
3.1 - Visão geral do Framework Coso 1 - Controle Interno
- Introdução
- Objetivos Apêndice B: Frameworks, Guias, Normas e
- Componentes Melhores Práticas para Gestão de Risco:
- Cobit
3.2 - COSO 2 - ERM (Enterprise Risk Management): - ITIL
- Ambiente Interno - MOF
- Fixação de Objetivos - ISO 20000
- Identificação de Eventos - PMBok
- Avaliação de Riscos - ISO 31000
- Resposta aos Riscos
- Atividades de Controle Estudo de Caso
- Informação e Comunicação
- Monitoramento
- Funções e Responsabilidades
- Limitações do Gerenciamento de Riscos Corporativos
Estudo de Caso
Melhores Práticas

A importância da Gestão de Risco Corporativo

Gestão de Risco e Controle Interno Introdução
A importância da Gestão de Risco Corporativo
A origem da palavra risco é controvertida. Alguns autores afirmam que ela deriva de “resecare” (cortar),
empregada para descrever geografias agudas como as dos recifes que tinham o poder de afundar navios.
Como a navegação sempre foi uma atividade importante para o desenvolvimento humano, era
aconselhável evitar o “risco” de perder as embarcações e suas cargas. Outra possível origem é indicada
por Peter Bernstein no livro Desafio aos Deuses. Segundo o autor, “risco” vem do italiano “risicare”, que
significa “ousar”. No sentido de incerteza, é derivada do latim “risicu” e “riscu”.
As primeiras técnicas de gestão de risco foram implantadas pelas seguradoras – justamente com as
apólices para navios. No século 20, entre as décadas de 60 e 80, o setor financeiro se dedicou ao
aperfeiçoamento das ferramentas de controle de risco, entusiasmados pela possibilidade de “prever” o
futuro e evitar perdas previsíveis no presente. Em 1994, o JP Morgan lançou o Value at Risk (VaR), cálculo
amplamente utilizado pelas instituições financeiras para medir o risco probabilístico de um portfólio de
aplicações financeiras. É muito mais complexo, porém, dimensionar e avaliar riscos quando a régua não
pode ser simplesmente numérica, como no caso dos bancos.
Em 2002, depois de escândalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox)
têm obrigado as empresas a investir no controle de riscos. A obrigação estende a todas as empresas
listadas na Bolsa de New York, inclusive as brasileiras, são obrigadas pela SOX a informar anualmente a
quais riscos estão expostas e quais são as ferramentas de controle e gerenciamento utilizadas.
O Acordo de Basiléia II, que também é resultante de escândalos financeiros, no Brasil, a resolução 3380
do Bacen, obriga a implementação da Gestão de Risco Operacional a todos os bancos brasileiros, com
objetivo de atender o acordo.
Por obrigação, ou não, o fato é que o gerenciamento de risco se difunde entre as empresas de todo o
mundo.
Baseado no artigo da Revista Amanhã - http://amanha.terra.com.br/edicoes/229/capa04.asp

Gestão de Risco e Controle Interno Introdução
Principais motivadores da Gestão de Risco:
> Compliance
> Eficiência Operacional
Aumentar Eficiência Compliance Estratégia

(atender requisitos legais e
Operacional (Parte da estratégia)
regulatórios)
1975 – quebra dos bancos Herstatt, da

Alemanha e Franklin National, de Nova
York.
2001 – Enron – 7a. Maior empresa dos > 1975 - Comitê da Basiléia
EUA, gigante americana do setor de
energia, pediu concordata em dezembro de 1993 – Bank of Credit and Commerce
2001, após ter sido alvo de uma série International faliu em meio a escândalos
denúncias de fraudes contábeis e fiscais. de fraude e lavagem de dinheiro
Com uma dívida de US$ 13 bilhões, o 1995 – Barings faliu depois de 233
grupo arrastou consigo a Arthur Andersen, Gestão de Risco anos de existência
que fazia a sua auditoria. > 1997 – Comitê Basiléia edita os 25
2001 – WorldCom. A fraude ocorreu Princípios – Instituição de Controles
porque a empresa registrou como Internos
investimentos (ativo em seu balanço
patrimonial) o que era despesa 1995-98 – Askin Capital, Orange County,
(demonstrativo de resultados), distorcendo Chemical Bank entre outros
SOX Basel II
totalmente os dados de suas contas. > 1998 – Comitê Basiléia edita mais 13
Em 30 julho de 2002, George W. Bush Princípios – Gestão de Riscos
assinou de “O Ato Sarbanes-Oxley”, com (5 componentes)
objetivo de garantir a integridade das > 1998 – Res.Bacen 2.554– Controles
informações financeiras (dar proteção aos ISO 17799 Internos
investidores) > 2001 – Novo Acordo da Basiléia
Segurança da Informação
Fraudes Contábeis Escândalos
e Financeiras Financeiros

Gestão de Risco e Controle Interno Compliance: SOX
Neste milênio os investidores perderam 37 bilhões dólares
Objetivo SOX: Garantir a integridade das informações financeiras

· Responsabilidade
Em 30 julho de 2002, dopresidente
PresidenteGeorge
(CEO) W.
e do Diretor
Bush Financeiro
assinou de “O (CFO) na “certificação” que
Ato Sarbanes-Oxley”, das muda de
demonstrações
forma radical as financeiras;
leis aplicadas a empresas que tem ações negociadas na bolsa americana.
· Transferência para um comitê de auditoria, composto de membros não executivos do Conselho da
Administração, de muitos poderes e responsabilidades que eram anteriormente dos diretores-executivos;
· Maior transparência na divulgação das informações financeiras.
Visão Geral da Lei Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Principais Seções (artigos):

Seção 302 e 906 – Tratam de certificações dos relatórios anuais contendo as demonstrações
financeiras (20-F e 40-F) por parte dos administradores (CEO e CFO), sob penalidades de
responsabilidade civil e criminal.
Seção 404, 407, 408 e 409 – Tratam sobre os aspectos de controle interno, fiscalização
da SEC sobre informação pública, código de ética para diretores financeiros e
publicação de alterações operacionais e/ou financeiras. Determina a emissão de
relatório especial, com parecer, entregue à SEC, que ateste a realização anual de
avaliação e de controles e processos internos que são a base de relatórios
financeiros.
Seção 802 - Penalidades criminais pela alteração de documentos.
Empresas brasileiras com ações ou títulos na Bolsa de New York (NYSE)

Gestão de Risco e Controle Interno Compliance: Segurança da Informação
RESOLUÇÃO NORMATIVA – RN n° 114, DE 26 DE OUTUBRO DE 2005.

Estabelece padrão obrigatório para a troca de informações entre operadoras de plano privado de assistência à saúde e prestadores
de serviços de saúde sobre os eventos de saúde, realizados em beneficiários de plano privado de assistência à saúde e dá outras
providências.
Art. 1° A presente Resolução estabelece padrão obrigatório para troca de informações em saúde suplementar (TISS) entre
operadoras de plano privado de assistência à saúde e prestadores de serviços de saúde sobre os eventos de saúde realizados em
beneficiários de plano privado de assistência à saúde, e mecanismos de proteção à informação em saúde suplementar.
A privacidade das informações individuais, entre as quais se incluem aquelas referentes ao estado de saúde de cada beneficiário, é
preocupação presente nos mais variados setores da sociedade e se expressa em variados diplomas legais, desde o Código Penal
Brasileiro, de 1942, até as resoluções do Conselho Federal de Medicina, incluindo diplomas da própria Agência Nacional de Saúde
Suplementar.
Por envolver informações que devem ser mantidas sob sigilo, a implantação da Troca de Informações em Saúde Suplementar -TISS -
pressupõe a observância de normas já existentes, originárias de órgãos competentes para tal fim.
Entre os procedimentos de segurança recomendados pela ANS para a implantação do TISS, e que portanto, devem ser
obrigatoriamente seguidos por quaisquer operadoras e prestadores, estão as normas técnicas estabelecidas na Resolução CFM n.º
1639, de 10 de julho de 2002, e nas resoluções da ANS (RN nº 21, de 12 de dezembro de 2002, e na RDC nº 64, de 10
de abril de 2001 ).
Tais medidas proporcionam as garantias administrativas, técnicas e físicas de proteção ao acesso à informação trocada.
Obriga-se, ainda, para o alcance dos objetivos de segurança e privacidade, a observação, ao menos, dos requisitos do Nível
de Garantia de Segurança 1 (NGS-1), descritos no "Manual de Requisitos de Segurança, Conteúdo e
Funcionalidades para Sistemas de Registro Eletrônico em Saúde" (RES), em conformidade com a norma NBR
ISO/IEC 17799 - Código de Prática para a Gestão da Segurança da Informação.
Para as entidades que utilizarem webservices como padrão de comunicação é recomendado a utilização do Nível de
Garantia de Segurança 1 (NGS-1) e o Nível de Garantia de Segurança 2 (NGS-2).
Operadoras de Plano de Saúde
Fonte: http://www.ans.gov.br/portalv4/site/home/default.asp

Gestão de Risco e Controle Interno Compliance: Segurança da Informação
CVM (Comissão de Valores Mobiliários)

Instrução 391/2003:
Art. 31. O administrador do fundo deverá divulgar a todos os cotistas e à CVM, qualquer ato ou fato relevante atinente ao fundo.
Parágrafo único. Entre as informações referidas acima, não se incluirão informações sigilosas referentes às companhias emissoras
de títulos e valores mobiliários integrantes da carteira do fundo, obtidas pelo administrador sob compromisso de
confidencialidade ou em razão de suas funções regulares enquanto membro ou participante dos órgãos de administração ou
consultivos da companhia.
Instrução 380/2002:
Art. 3º - As corretoras eletrônicas devem fazer constar em suas páginas na rede mundial de computadores, de forma clara, precisa e
em linguagem acessível ao público investidor:
IV - as características do sistema de segurança mantido pela corretora, incluindo uso de senhas e assinaturas eletrônicas;
Art. 4º - As corretoras eletrônicas devem estabelecer, em suas páginas na rede mundial de computadores, uma seção ou um atalho para a
educação dos investidores, contendo, entre outras informações que sua administração julgue relevantes:
IV - os riscos operacionais do uso da rede mundial de computadores e de sistemas eletrônicos de negociação para a compra e venda
de valores mobiliários;
DA SEGURANÇA DOS SISTEMAS

Art. 7º - Compete às corretoras eletrônicas garantir a segurança e o sigilo de toda a informação sobre seus clientes, suas ordens de
compra ou venda de valores mobiliários e sua carteira de valores mobiliários, bem como sua comunicação com os clientes, devendo
utilizar elevados padrões tecnológicos de segurança de rede.
Art. 8º - As corretoras eletrônicas são responsáveis pela operacionalidade de seus sistemas, ainda que os mesmos sejam mantidos
por terceiros.
DA AUDITORIA PERIÓDICA PELA ENTIDADE AUTO-REGULADORA

Art. 14 - As entidades auto-reguladoras que administrem sistemas eletrônicos de negociação com recebimento de ordens por meio da rede
mundial de computadores devem realizar uma auditoria periódica semestral, em todas as corretoras eletrônicas, com a emissão de
relatório correspondente sobre os sistemas utilizados pelas corretoras eletrônicas, verificando se:
estão sendo regularmente prestadas aos clientes as informações previstas no art. 3º desta Instrução;
Corretoras Eletrônicas
Gestão de Risco e Controle Interno Compliance: Gestão de Risco Operacional
Susep FL. 2 da CIRCULAR SUSEP No 344, de 21 de

Circular 249/04 - Implantar controles internos de junho de 2007.
suas atividades
- de seus sistemas de informações
- do cumprimento de normas legais ....
- “Os controles devem ser efetivos e
Parágrafo único. Os estudos deverão abranger
consistentes com a natureza, complexidade
todos os produtos
e risco das operações”
comercializados pelas pessoas mencionadas
Característica dos controles internos:
no caput deste artigo e serão validados
• definição de responsabilidades
anualmente pela auditoria interna.
• segregação de atividades
• meios de identificação de potenciais áreas de Art. 5o Com base nos estudos citados no art.
conflito 4o desta Circular, no prazo constante do art. 9o
• avaliação dos fatores que afetam a desta Circular, deverá ser desenvolvida e
realização dos implementada, na forma da legislação vigente,
objetivos estrutura de controles internos específicos,
• canais de comunicação com funcionários validada pela auditoria interna, para tratar dos
• acompanhamento sistemático das atividades riscos identificados.
• testes periódicos de segurança de sistemas
de informação
Empresas de Seguros

Acordo de Basiléia II (Resolução 3380 – Bacen)
A Resolução 3.380 do Banco Central do Brasil,
publicada em 29/junho/2006, prevê a implantação
de área de Gerenciamento de Risco Operacional
em todas as Instituições Financeiras.
Em seu Art.5º. § único, determina que os serviços
terceirizados, relevantes para o funcionamento da
instituição, também devem ser monitorados, da
mesma forma prevista para os demais processos
da organização.
Serviços Terceirizados relevantes vão desde a

Compensação de Cheques, processamento do
SPB, Data Centers, Redes de Caixas Eletrônicos,
Processadoras de Cartões de Débito e Crédito e
outros até o desenvolvimento de softwares e
utilização de Aplicativos comercializados por
terceiros.
Bancos Resolução nº 3.380 do Banco Central.

A 3380 reflete o acordo de Basiléia 2, que exige de bancos de todo o mundo o
acompanhamento e controle de riscos operacionais e de mercado. A maior parte dos
investimentos voltados aos projetos para atender a resolução irá para TI.

Acordo de Basiléia II (Resolução 3380 – Bacen)
Basiléia II, depois do Risco de Crédito
Risco de Mercado e Risco Operacional
Três Pilares de Basiléia

• Exigência de Patrimônio Líquido MÍNIMO em
função dos Riscos de Crédito, de Mercado e
Operacional
Patrimônio Líquido/Soma dos Ativos Poderados
pelos Riscos >= 8% (Ratio Mc Donough)
• Processo de Supervisão Prudencial (O Banco
deve poder justificar o seu Patrimônio Liquido, sua
Gestão de Riscos).
As autoridades de controle – Banco Central -
devem garantir que o índice de Mc Donough é
respeitado e tomar medidas se ele não o é.
• Disciplina do Mercado (O Banco deve publicar
periodicamente, informações especificas, para
justificar a correlação entre o Patrimônio Liquido e
o seu Perfil de Risco)
Bancos Resolução nº 3.380 do Banco Central.

A 3380 reflete o acordo de Basiléia 2, que exige de bancos de todo o mundo o
acompanhamento e controle de riscos operacionais e de mercado. A maior parte dos
investimentos voltados aos projetos para atender a resolução irá para TI.

Gestão de Risco e Controle Interno Eficiência Operacional
26/03/2009 - PREGÃO
ELETRÔNICO ECONOMIZA R$3,8
BILHÕES PARA OS COFRES
PÚBLICOS EM 2008
O Governo Federal economizou R$

3,8 bilhões com o pregão eletrônico
em 2008. Esse valor corresponde a
uma redução de 24% entre o valor
de referência (o valor máximo que o
Governo está disposto a pagar na
aquisição de um bem ou na
contratação de um serviço) e o que
efetivamente foi pago pelos órgãos
públicos.
No ano passado essa modalidade

respondeu por R$ 12,2 bilhões
(73,7%) do valor de bens e serviços
comuns licitados e por 33.972
processos de compra (79,4%) dos
procedimentos. O pregão é
destinado à contratação de bens e
http://www.comprasnet.gov.br/
serviços comuns - aqueles cuja
especificação é facilmente
reconhecida pelo mercado. Em
Eficiência Operacional:
2008 o Governo Federal licitou ao - Racionalizar e integrar os processos de trabalho
todo R$ 16,6 bilhões de bens e - Reduzir custos operacionais
serviços comuns.
- Obter ganhos de produtividade das pessoas
- Gerenciar rotinas de trabalho
Governo Federal
Gestão de Risco e Controle Interno Motivação:
> Aumentar a eficiência operacional
> Compliance (requisitos legal

e/ou de regulamentação)
> Mitigação de riscos > Redução de Custos

operacionais
Melhor Governança e Compliance: Melhor Gestão sobre os recursos:

- Maior transparência (CVM, SEC, TCU..) - Ganhos de eficiência operacionais
- Aderência aos normativos regulatórios, - Redução de risco
leis e etc.
Gestão de Risco e Controle Interno GRC (Governança, Risco e Compliance)
Governança
Gestão de Risco
Políticas, Diretrizes e Controle
Compliance
A Integração de Governança Corporativa, Gestão de Risco e Compliance (GRC) é

melhor prática para a Gestão de Risco Corporativo
Gestão de Risco e Controle Interno Modelo GRC:
e quais processos seguir

Tolerância
Quem decide
Governança
ao Risco
Tomada de Decisão Compliance com

Risco (Risk tradeoff Planejamento Estratégico regras de
decisions) (visão, missão e valores), Governança
Políticas e Diretrizes
Risco Compliance
Tomada de Decisão Risco
Gerenciamento de Risco Aderência leis,
(identificar, analisar regulamentações, políticas,
e mitigar risco) Impacto de não atender ao padrões, contrato, melhores
Compliance práticas e frameworks

Gestão de Risco e Controle Interno Desafio: Como implantar a Gestão de Risco ?
101, 102...
Mudança Cultura....
Para ter sucesso na implantação: Para se obter resultados:

- Disseminar a cultura do Risco; - Trabalhar a expectativa;
- Fazer um bom planejamento; - Preparar a mudança (choque do novo);
- Utilizar ferramentas de produtividade; - Premiar o bom desempenho;
- Utilizar as melhores práticas; - É necessário recursos, esforços,
- Trabalhar a comunicação, motivação comprometimento e dedicação...
e conscientização;
- Capacitar as pessoas.

Gestão de Risco e Controle Interno Fundamentos:
Governança Corporativa, definição:
Governança Corporativa é o sistema pelo qual as sociedades são

dirigidas e monitoradas, envolvendo os relacionamentos entre
Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria
Independente e Conselho Fiscal. As boas práticas de governança
corporativa têm a finalidade de aumentar o valor da sociedade, facilitar
seu acesso ao capital e contribuir para a sua perenidade1.
Exigências: Benefícios:
“Você pagaria a mais pelas ações de
Governança quem adota práticas de governança ?
Leis Corporativa - 76% disseram que sim e destas a
Transparência maioria afirmou que pagaria 24% a
Regulamentos mais pelas ações.”
Equidade
Fonte: McKinsey com empresas da América Latina
Normas Prestação de Conta
Compliance2
Controles
Ética
Transparência = Credibilidade
Notas: 1 - Fonte: Instituto Brasileiro de Governança Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis

Governança Corporativa
Governança de Negócio Governança de Compliance

Compulsória Espontânea
NYSE BACEN Bovespa/CVM

Planejamento Estratégico (BSC) Agências
Reguladoras
SOX Basel II N1 N2
Resultado & Desempenho
Gestão de Risco e Controles Internos
Direcionadores Estratégicos
Governança significa o ato de conduzir uma nação, uma empresa, comunidade ou família através de uma liderança
escolhida pelos componentes destas entidades de forma natural ou eletiva.
O objetivo de um conjunto de boas práticas de Governança Corporativa adequada aos interesses dos stakeholders (partes
interessadas) é regulamentar a relação dos administradores com os shareholders (acionistas), sócios, empregados, clientes,
financiadoras, governo e sociedade.
As boas práticas em Governança Corporativa incluem aspectos de publicação de informações simétricas (disclosure)
como parte da prestação de contas inerente ao poder atribuído (accountability), sustentabilidade e equidade de direitos.
No aspecto legal, a Governança Corporativa é um mecanismo que visa garantir aos fornecedores de recursos financeiros,
shareholders, um justo retorno do seu investimento
É formado por conjunto de normas que devem guiar o comportamento dos diretores, administradores e acionistas
controladores, com objetivo de maximizar o valor da empresa e que definem as obrigações e responsabilidades
Fundamentos:
Estudo de Caso: Implantação da Governança Corporativa
Fonte:
Fonte:
GESTÃO DE RISCOS E CONTROLES INTERNOS
Apresentação: Auditoria Interna da Petrobrás
PEDRO GAUZISKI DE ARAUJO FIGUEREDO
JOSÉ RICARDO ALMEIDA DA ROSA
GERÊNCIA GERAL DE CONTROLES INTERNOS
Petrbrás - 2004
PETROBRAS FONAI, MAIO/2006
Foto está publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm

Estudo de Caso: Implantação da Governança Corporativa na Petrobrás
A Petrobras é uma empresa de economia mista, que opera nas áreas de exploração, produção,
refino, comercialização e transporte de petróleo e seus derivados no Brasil e no exterior.
Criada em 1953 pelo governo de Getúlio Vargas, é hoje uma das vinte maiores empresas petrolíferas do
mundo. Em 2005, a Petrobras obteve lucro de 23,7 bilhões de reais e é o maior da história da empresa,
além do maior lucro já registrado por uma companhia da América Latina de capital aberto. O valor
equivale a um crescimento de 40% em relação ao ano anterior. O aumento da produção de petróleo,
maior carga processada de óleo pesado nacional, maior utilização da capacidade de refino e aumento de
preços são alguns dos responsáveis pelo resultado recorde. Seus sucessivos lucros são um dos grandes
pilares na manutenção do superávit primário brasileiro.
Em 2006 a Petrobras entrou para o seleto grupo das empresas que têm um valor de mercado em
bolsa superior a 100 bilhões de dólares.
A Petrobras é referência internacional na exploração de petróleo em águas profundas.
Em busca da Governança. Principais reformas estatutárias em 2002:
Histórico:
Lei 6.404 de 1976 - Lei das
A - Adequá-lo às modificações da Lei das S.A. Sociedades por Ações
Sujeição às Normas da CVM
– Comissão de Valores
B - Buscar uma aproximação com as práticas de Mobiliários (art. 235, § 1º);
Governança Corporativa estabelecidas pela Bovespa
C - Aperfeiçoar as práticas de governança corporativa

Modelo Governança Corporativa: Estrutura
Comitês do CA:
Conselho Fiscal
Conselho de Comitês • Auditoria

Definições Administração do CA • Meio Ambiente
estratégicas e • Remuneração e Sucessão
supervisão
Auditorias Relatores Comitês de Gestão:
• Abastecimento
• E&P
Presidente
• Gás e Energia
• Recursos Humanos
Diretoria Executiva
• SMS
Diretores • Análise de Organização e
Gestão
Execução da • Tecnologia da Informação
estratégia e Comitê de • Controles Internos
desenvolvimento Negócios • Risco
das operações • Tecnologia
Comitês • Responsabilidade Social
de Gestão
e Ambiental
Foto está publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm

Estudo de Caso: Implantação da Governança Corporativa na Petrobras
Modelo Governança Corporativa: Instrumentos
Regulamenta o objeto, a administração e o funcionamento da
Estatuto Social Petrobras, bem como o relacionamento entre os acionistas.
Estabelece diretrizes sobre:

Diretrizes de Governança
- Princípios de atuação e funcionamento do CA
- Consulta aos preferencialistas em questões relevantes
Trata de políticas corporativas envolvendo:

Código de Boas Práticas
- Divulgação de informações sobre ato ou fato relevante
- Negociação com valores mobiliários
- Indicação para cargos de administração de subsidiárias,
coligadas e controladas
- Conduta de administradores e funcionários da administração
superior
- Relacionamento com investidores
Regulamentam as atribuições e a operacionalização das reuniões
Regimentos Internos dos órgãos:
- Conselho de Administração
- Comitês do Conselho de Administração
- Comitê de Negócios
- Comitês de Gestão
Código de Ética Base para a utilização dos mecanismos da boa governança

(Código de Conduta) corporativa. Considera um Código de Conduta para empregados
e todos que mantêm relacionamento com a Companhia.

Modelo Governança Corporativa: Partes interessadas
ACIONISTAS
INVESTIDORES CLIENTES
FORÇA DE
FORNECEDORES TRABALHO
GOVERNO SOCIEDADE

Modelo Governança Corporativa: Lei Sarbanes-Oxley

A Petrobras possui American Depositary Receipts, - ADR‟s nível 3, títulos
negociados na Bolsa de Nova Iorque (NYSE). A Companhia está, portanto, se
adaptando às inúmeras exigências da SOX.
 Formalização dos Controles e Procedimentos de Divulgação de Informação,

documento interno que inclui todos os controles criados para garantir a exatidão das
informações divulgadas nos relatórios e fatos relevantes publicados.
 Criação de mecanismo interno visando o envolvimento e responsabilização de todos
os níveis hierárquicos na prestação de informações - Matriz de responsabilidade.
 Certificação das informações divulgadas ao mercado pelo Presidente e pelo Diretor
Financeiro (Form 20-F: exercícios fiscais de 2002 e 2003)
 Divulgação no Form 20-F sobre a existência de dois especialistas financeiros no
Conselho de Administração.
A Petrobras desde de 2002 fez “lição de casa” para atender à SOX e vem
intensificando esforços na análise de seus impactos e na promoção dos ajustes no
modelo de governança da empresa. Todas as exigências em vigor foram
cumpridas.

Governança de TI
Segundo IT Governance Institute (www.itgi.org), a definição da Governança
de TI:
“É uma estrutura de relacionamentos e processos para dirigir e controlar a

organização para atingir os objetivos corporativos, adicionando valor, ao mesmo
tempo que equilibra os riscos em relação ao retorno da TI e seus processos“
Exigências
Governança Guias
Leis Corporativa
Transparência Cobit
Regulamentos Governança
Equidade ITIL
de TI MOF
Normas Prestação de Conta
PMBok
Compliance
Controles Ética
Guia: COSO
COBIT - Control Objectives for Information and Related Technology – www.isaca.org

Governança de Negócio Governança de Compliance

Compulsória Espontânea
NYSE BACEN Bovespa/CVM

Planejamento Estratégico (BSC) Agências
Reguladoras
SOX Basel II N1 N2
Resultado & Desempenho
Direcionadores Estratégicos Gestão de Risco e Controles Internos
Direcionadores Estratégicos
Governança de TI
COBIT
Serviços de TI Projetos Fábrica SW OutSourcing Segurança

ITIL/ISO 20k PMI/PMBok CMMi/MPS.br e-SCM/SAS70 ISO 27001
Melhores Práticas,Padrões, Normas e Área de Conhecimento

Governança de TI:
Objetivos:
- Simplificar/Democratizar as decisões de TI;
- Simplificar as operações e/ou serviços de TI;
- Melhorar o nível de qualidade dos serviços de TI;
- Estabelecer e manter relacionamento com clientes e fornecedores;
- Maximizar uso de recursos;
- Otimizar custos;
- Gestão de Riscos (Identificar, Analisar e Responder);
- Estabelecer e manter a conformidade com as leis e regulamentos;
- Promover a integração entre o Negócio e a TI;
- Gerar valor para empresa.

Gestão de Risco e Controle Interno Estudo de Caso. Governança de TI:
Quem já implantou a Governança de TI

Estudo de Caso
www.bovespa.com.br
A introdução de mecanismos automatizados na negociação da BOVESPA remonta aos anos 70, quando os boletos
foram substituídos por cartões perfurados e os negócios passaram a ser registrados de forma eletrônica.
Desde então, a BOVESPA vem acompanhando as principais inovações tecnológicas, investindo na melhoria
contínua de sua infraestrutura a fim de garantir alta performance e um ambiente altamente seguro e confiável.
Home Broker
MEGA BOLSA
Governança de TI
InfraEstrutura
Governança de TI
Desde 2004, a BOVESPA/CBLC adota um modelo de Governança de TI: gestão planejada de recursos humanos e materiais,
que propiciam o desenvolvimento de infraestruturas, sistemas e processos alinhados às melhores práticas internacionais e
às necessidades específicas dos negócios.
Desde sua implantação na BOVESPA/CBLC, vários avanços foram feitos, com benefícios para todos os participantes do
mercado.
A Governança de TI permite:
medir e auditar a execução e a qualidade dos serviços;
viabilizar o acompanhamento de contratos internos e externos; e
definir condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade.
Vantagens da Governança de TI:

Alinhamento da estratégia da área de TI com as das áreas de negócio;
Maior capacidade e agilidade para novos modelos de negócios ou ajustes nos modelos atuais;
Manutenção dos riscos do negócio sob controle;
Medição e melhoria contínua da performance de TI;
Maior transparência das atividades de TI.
Esta informações estão publicadas no site da Bovespa (www.bovespa.com.br) que proprietária legitima destas informações
Fundamentos:
Gestão de Riscos
Identificação Análise/Avaliação Resposta Risco

do Risco do Risco ao Risco Mitigado
Não Identificação Exposição Ocorrência Materialização

do Risco ao Risco do evento do Risco

Definição de Risco (segundo COSO 2):

A possibilidade de que um evento ocorra e afete desfavoravelmente a
realização dos objetivos.
Evento:
Incidente ou ocorrência, a partir de fontes internas ou externas a um
entidade (uma organização ou empresa), capaz de afetar a realização dos
objetivos.
Oportunidade:
A possibilidade que um evento ocorrerá e afetará de forma favorável
realização dos objetivos
Outras definições:
Definição de Risco (rfs):

Risco é qualquer evento que pode afetar a habilidade de empresa a
alcançar seus objetivos
Abrangendo (agentes de riscos):

Perigo: Coisas ruins que acontecem
Incerteza: Coisas que não ocorrem como esperado
Oportunidade: Coisas boas que acontecem
Definição (segundo ISO/IEC Guide 73):

O risco pode ser definido como a combinação da probabilidade de um
acontecimento e das suas consequências

Evento: Riscos e Oportunidades:
Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto
negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente.
Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar
oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar
favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da
organização canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos,
formulando planos que visam ao aproveitamento destes.
Categorias dos Eventos:

Infraestrutura: Tecnologia: Econômicos: Políticos:
Disponibilidade de bens Integridade de dados Disponibilidade de Mudanças de governo
Capacidade dos bens Disponibilidade de capital Legislação
Eventos Internos
Emissões de crédito, Política pública
Eventos Externos
Acesso ao capital dados
Complexidade Disponibilidade de inadimplência Regulamentos
Pessoal: sistemas Concentração Sociais:
Capacidade dos Seleção de sistemas Liquidez Características
empregados Desenvolvimento Mercados financeiros demográficas
Atividade fraudulenta Alocação Desemprego Comportamento do
Saúde e segurança Manutenção Concorrência consumidor
Processo: Fusões / aquisições Privacidade
Capacidade Meio Ambiente: Terrorismo
Design Emissões e dejetos Tecnológicos:
Execução Energia Interrupções
Dependências / Desastres naturais Comércio eletrônico
fornecedores Desenvolvimento Dados externos
sustentável Tecnologias emergentes

Fundamentos:
Tipos de Riscos:
Risco de mercado:
O Risco de Mercado é de fácil entendimento pois está relacionado com a variação do valor
dos ativos (bens, serviços, índices, commodities). É o risco de ganhar ou perder quantia
financeiros pela simples mudança dos preços dos ativos no mercado financeiro. Por exemplo:
Considere que uma pessoa (um investidor) que comprou 1000 ações preferenciais da
Petrobras ao preço unitário de R$ 75,00 desembolsando R$ 75.000,00.
Quanto esta carteira valerá ao final do dia de amanhã, decorrente das alterações no valor
desta ação ? Como o valor dos ativos negociados é determinado pelo mercado, a incerteza
em relação ao valor futuro do ativo (cuja oscilação pode representar perdas ou ganhos) é o
que caracteriza então o Risco de Mercado .
Risco de crédito:
Risco de crédito se refere a uma possível incapacidade da instituição financeira, responsável
pela emissão de ativos financeiros usados em investimentos, de honrar seus compromissos
financeiros assumidos com os investidores. Essa situação pode ser causada por problemas
financeiros oriundos de uma má administração ou gestão, dificuldades com planos
econômicos, etc.
Risco Legal/Compliance
Fraquezas à mostra1
Ao cumprir a seção 404 da Lei Sarbanes-Oxley, Telemar e Copel revelam fragilidades nos
controles de seus balanços.
Nota:1 Revista Capital Aberto edição 48
Risco de Subscrição:
Este risco representa a possibilidade do montante dos sinistros a serem pagos pela
sociedade seguradora em um período futuro ser maior que o montante de prêmios a ser
recebido

Risco Operacional (RO):
Risco Operacional é o risco associado à operação de uma empresa.
Definição de Risco Operacional (segundo Jorion, 1998):

São perdas potenciais resultantes de sistemas inadequados, má administração, controles defeituosos
ou falha humana, a qual inclui o risco de execução, correspondente a situações em que as operações
não são executadas, resultando em atrasos ou penalidades; o risco de execução relaciona-se a
qualquer problema nas operações de back-office, relativas ao registro de transações e reconciliações
de operações.
Também incluem fraude e a necessidade de proteger os sistemas contra acesso não autorizado e
violações.
Exemplos: Falhas de sistemas, prejuízos decorrente de desastre naturais ou acidentes
Definição de Risco Operacional (segundo Chouhy, 1998):

É o risco de eventos externos, ou deficiências de controles internos e sistema de informação,
resultarem em perdas, estando associado ao erro humanos, falhas em sistemas e procedimentos e
controles inadequados.
Exemplo de Risco Operacional (classes ou sub-tipo):

- Risco de reputação;
- Risco de Liquidação;
- Risco Humano;
- Risco de Controle Interno Inadequado ou falto de controle;
- Risco Tecnologia Inadequada ou Insuficiente;
- Risco Sistêmico;
- Risco de Imagem;
- Risco de Fraude.

Risco Operacional, um exemplo:
Corretor é acusado de rombo de R$ 13,16 bi em banco francês, na maior fraude da história
PARIS, 24 Jan 2008 (AFP) - O Société Générale, um dos três maiores bancos franceses, revelou nesta quinta-feira ter
perdido € 7 bilhões (R$ 18,43 bilhões). Desse total, cerca de € 5 bilhões (R$ 13,16 bilhões) foram perdidos em
operações ilícitas que teriam sido feitas por um só de seus corretores. É a maior fraude da história financeira mundial.
Em plena tormenta nas Bolsas mundiais, o banco anunciou esta fraude interna de € 4,9 bilhões, aos quais somam-se € 2
bilhões de desvalorizações ligadas à crise dos "subprimes".
O funcionário acusado de ser responsável pela fraude, que operava em Paris e cuja identidade não foi revelada, foi
demitido.
Após terem sido suspensas a pedido do banco, as ações do Société Générale voltaram a ser negociadas e fecharam em
baixa de 4,1% nesta quinta-feira para € 75,81.
De acordo com as explicações do banco, a fraude foi descoberta no dia 19 de janeiro: um corretor, operando em uma
subdivisão de suas atividades de mercado, se aproveitou de "seu conhecimento profundo dos procedimentos de controle
para dissimular suas posições graças a uma montagem elaborada de transações fictícias".
O Société Générale liquidou depois suas posições, mas, levando-se em conta seu tamanho e "as condições do mercado
particularmente desfavoráveis", essa fraude teve um impacto negativo de € 4,9 bilhões sobre seu resultado líquido.
Durante uma entrevista coletiva à imprensa convocada com urgência, o presidente ao Société Générale, Daniel Bouton,
tentou se explicar sobre essa fraude gigantesca e pediu desculpas aos acionistas.
"Apenas um homem construiu uma empresa de fachada no interior do grupo, utilizando os instrumentos do Société
Générale e teve a inteligência de escapar de todos os procedimentos de controle", declarou.
Ele indicou que o corretor agiu ao longo de todo o ano de 2007 e que uma queixa foi apresentada contra ele.
O advogado de dezenas de acionistas do banco afirmou ter apresentado uma queixa por "estelionato, abuso de
confiança, falsidade ideológica, cumplicidade e receptação".
O Banco de França anunciou logo em seguida que uma investigação será iniciada para examinar as condições nas
quais essa fraude ocorreu.
Fonte: UOL/(AFP) PARIS, 24 Jan 2008:

Fundamentos:
Novo paradigma na Gestão de Riscos:
Velho Paradigma Novo Paradigma

DE PARA
Risco é determinado pela Risco é constante
intencionalidade
Oportunidades são perseguidas Oportunidades são quantificadas em

impulsivamente termos de risco e retorno
Somente a Auditoria é responsável Alta gestão (CEO) são os principais

responsáveis
Controles precisam focalizar riscos Controles precisam focalizar riscos do

financeiros e resultados somente negócio de todo tipo
Foco nas ações corretivas Foco nas ações preventivas
As pessoas são as fontes primárias Os processos são a fonte primárias de

de risco riscos.

Fundamentos:
Novo paradigma na Gestão de Riscos:
Velho Paradigma Novo Paradigma
DE PARA
Monitoramento de Risco é função Monitoramento de risco é atividade
dos auditores internos do CEO
Risco é um fator negativo a ser

controlado Risco é uma oportunidade
Os risco são gerenciados O gerenciamento de risco é integrado

separadamente e corporativo
Responsabilidade pelo gestão de Gestão de risco é responsabilidade de

risco é delegada a níveis inferiores um gerente de linha sênior
Mensuração do risco é subjetiva Risco é quantificado
Funções de gerenciamento de riscos Gestão de riscos é construído

são desestruturadas e divergentes dentro do sistema de gerenciamento
corporativo

Definição de Controle Interno (Segundo o COSO 2):
O Controle Interno é parte integrante da Gestão de Risco Corporativo
(ERM).
Segundo o COSO a definição de controle interno:
“Controle interno é um processo, desenvolvido para garantir, com
razoável certeza, que sejam atingidos os objetivos da empresa”, nas
seguinte categorias:
- Eficácia e eficiência de operações;
- Confiabilidade nos registros contábeis e financeiros e
- Conformidade com as leis e regulamentos.
Definição (P.N. Migliavacca):

Controle Interno define-se como o planejamento organizacional e
todos os métodos e procedimentos adotados dentro de uma
empresa, a fim de salvaguardar seus ativos, verificar a adequação e
o suporte dos dados contábeis, promover a eficiência operacional e
encorajar a aderência às políticas definidas pela direção.
Definição (rfs):
Políticas, procedimentos, atividades e mecanismos desenvolvidos
para assegurar que a missão e os objetivos de negócios sejam
alcançados; proteger os ativos; e garantir a eficiência operacional.
O controle interno deve ter o papel preventivo para que os eventos
indesejáveis sejam prevenidos, detectados e corrigidos.
Gestão de Risco e Controle Interno Exercício:
Um fabricante e importador de calçados, estabeleceu a missão de tornar-se líder na

indústria de calçados femininos de alta qualidade. Para realizar esse objetivo, começou a
fabricar produtos que aliavam estilo, conforto e durabilidade, usando técnicas mais
avançadas e materiais de fornecedores estrangeiros rigorosamente selecionados.
Empresa analisou o ambiente operacional externo e identificou fatores sociais e seus

respectivos eventos, como a mudança da faixa etária de seu principal mercado consumidor
e as tendências para roupas de trabalho. Os eventos originados por fatores econômicos
incluíam flutuações de moeda estrangeira e oscilações nas taxas de juros. Os fatores
tecnológicos internos indicavam um sistema obsoleto de gestão de distribuição e, os
fatores internos de pessoal, de treinamento inadequado em marketing.
Além de constatados no âmbito da organização, os eventos também devem ser

identificados no nível da atividade. Esse procedimento contribui para orientar o enfoque do
gerenciamento de riscos às principais unidades de negócios ou funções, como vendas,
produção, marketing, tecnologia da informação, distribuição, pesquisa e desenvolvimento.
Quais são as categorias de eventos (risco) que podemos encontrar no texto:


4- Visão geral do Framework Coso 1 - Controle Interno

- Componentes & Objetivos

Gestão de Risco e Controle Interno COSO 1 – Framework Integrado de Controle Interno
Introdução:
O processo regulatório referente a controle internos tem um marco importante nos Estados Unidos por
ocasião da lei aprovada pelo Congresso Americano, em dezembro de 1987, chamada de Foreign
Corrupt Practices Act (FCPA). Essa lei restringe-se a sociedades anônimas por ações.
As empresas sob FCPA, são obrigadas a criar e implementar e manter sistemas de controle que
ofereçam garantias de que as transações serão registradas de conformidade com os princípios
contábeis.
Os auditores independentes através do AICPA, em SAS (Declaração Padrão de Auditoria) 55, pregam
que a administração deve estabelecer uma estrutura de controle interna composta por 3 elementos:
Ambiente de controle; Sistema Contábil e Procedimento de Controle.
Um estudo neste sentido foi feito pela Treadway Commission. A recomendação do Treadway
Commission, no sentido de desenvolver-se uma definição comum de controle interno com diretrizes
processuais, criou-se o COSO, Comitê das Organizações Patrocinadoras.
O modelo apresentado pelo COSO em 1992 e atualizado em 1994
(Internal Control – Integrated Framework), conhecido como COSO 1,
definiu o controle interno e elaborou critérios para a avaliação de
sistemas.
O COSO 1 responsabiliza pelo processo de Controle Interno o
Conselho Diretor (Board), a Administração (Directors) e os funcionários
da entidade.
O COSO 1, o framework (conjunto de melhores práticas de

controles internos corporativos). Foi largamente adotado para
atender os requisitos da SOX.

Objetivos do COSO 1
Ele estabelece o processo como garantidor para a realização de objetivos das seguintes
categorias:
- confiabilidade dos relatórios financeiros
- cumprimento das leis e regulamentos pertinentes.
O COSO 1 sugere também que a avaliação do

processo de controle interno deva ser pontual ao longo
do tempo (exemplo: semestral, anual...).
O modelo define ainda que um sistema de controle

interno deve ter 5 componentes relacionados:
1 – Ambiente de controle (com foco na estrutura
organizacional e as relações com o ambiente externo);
2 – Avaliação de risco;
3 – Atividade de controle (políticas e procedimentos);
4 – informações e comunicações;
5 – Monitoramento.

COSO 1 – Componentes:
Ambiente de Controle:
É a base para todos os demais componentes. Diz respeito a fatores
como ética, integridade, formas de conduta, políticas de recursos
humanos, estrutura da organização, forma de atuação e atenção do
Conselho de Administração e da alta administração quanto à cultura de
controle, atribuição adequada de autoridade e responsabilidade e
alocação de recursos
Avaliação de Risco:
Consiste da identificação e análise de risco (interno e externo) que são
significantes ao alcance dos objetivos da empresa. Esta avaliação deve
levar em consideração a severidade do risco, a freqüência com que
estes ocorrem e seu impacto. Definição de como a empresa
administrará tais riscos.
Atividade de Controle:
São as políticas e procedimentos que garantem que os planos e
diretrizes indicados pela administração são atingidos e ocorrem por
toda a empresa, em todos os níveis, incluindo todas as funções,
inclusive a aspecto de segurança física e lógica.

COSO 1 – Componentes:
Informação e Comunicação:
Os sistemas de informação produzem relatórios contendo informações
operacionais, financeiras e de compliance (conformidade) que tornam
possível a condução e controle do negócio.
Tratam de informações geradas tanto interna com externamente e que
serão publicadas internamente e/ou externamente.
Os sistemas de informação devem permitir o fluxo de informações por
toda a organização, dos níveis hierárquicos inferiores para os
superiores e vice-versa e com órgãos externos.
Monitoramento:
É monitoramento continuo sob a realização das operações, atividades
regulares de gerenciamento e supervisão de outras atividades
decorrentes de execução de tarefas pelas pessoas. As deficiências
encontradas ao longo do monitoramento devem ser comunicadas ao
gerente responsável e quando necessário ser comunicadas a alta
administração.


Gestão de Risco e Controle Interno COSO 2 – Gerenciamento de Riscos Corporativo
Introdução:
Em 2001, o COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management
Framework), conhecida como COSO 2.
O COSO 2, é um estudo complementar ao framework do „COSO‟ chamado Gerenciamento de Riscos
Corporativo (ERM - Enterprise Risk Management), que representa, um próximo passo para aquelas
empresas que estão preocupadas em, além de atender às demandas regulatórias, preservar a geração
de valor de suas empresas.
COSO 2, o framework (conjunto de melhores práticas de

gerenciamento de risco corporativos). Foi largamente
adotado para atender os requisitos do Basel 2.

A ERM (Enterprise Risk Management) Gestão de Risco Corporativos é um processo

conduzido em uma organização pelo Conselho de Administração(CA), diretoria e demais
empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em
toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de
modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia
razoável do cumprimento dos seus objetivos.
A premissa inerente a gestão de riscos corporativos é que toda organização

existe para gerar valor às partes interessadas. Todas as organizações
enfrentam incertezas, e o desafio de seus administradores é determinar até
que ponto aceitar essa incerteza, assim como definir como essa incerteza
pode interferir no esforço para gerar valor às partes interessadas. Incertezas
representam riscos e oportunidades, com potencial para destruir ou agregar
valor.
A gestão de riscos corporativos possibilita aos administradores tratar com

eficácia as incertezas, bem como os riscos e as oportunidades a elas
associadas, a fim de melhorar a capacidade de gerar valor.
O valor é maximizado quando a organização estabelece estratégias e

objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de
retorno de investimentos e os riscos a elas associados, e para explorar os
seus recursos com eficácia e eficiência na busca dos objetivos da
organização.
Componentes

O gerenciamento de riscos corporativos tem por finalidade:
Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o apetite a risco da
organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo
mecanismos para gerenciar esses riscos.
Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos possibilita o

rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir,
compartilhar e aceitar os riscos.
Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor capacidade para

identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou
prejuízos associados.
Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização enfrenta uma
gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos
possibilita uma resposta eficaz a impactos inter-relacionados e, também,respostas integradas aos
diversos riscos.
Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a organização

posiciona-se para identificar e aproveitar as oportunidades de forma proativa.
Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possibilita à

administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a
alocação desse capital.

COSO 2: Os Objetivos & Níveis de Organização:
Os objetivos:
Essa estrutura estabelece quatro categorias
de objetivos para a organização:
Estratégicos – referem-se às metas no nível

mais elevado. Alinham-se e fornecem apoio à
missão.
Operações – têm como meta a utilização
eficaz e eficiente dos recursos.
Comunicação – relacionados à confiabilidade
dos relatórios.
Conformidade – fundamentam-se no
cumprimento das leis e dos regulamentos
pertinentes.
Níveis de Organização:
ERM considera atividades em
todos os níveis da organização:
- Entidade
- Divisão ou Subsidiária
- Unidade de Negócios
- Processo

COSO 2: Os componentes chaves
- Ambiente Interno: ambiente no qual a empresa opera
- Estabelecimento de Objetivos: objetivos alinhados à

missão
- Identificação de Evento: eventos que possam afetar

os objetivos
- Avaliação de Risco: como a empresa avalia seus

riscos
- Resposta ao Risco: alinhar os riscos com os

objetivos
- Atividades de Controle: políticas e procedimentos

para assegurar que os objetivos sejam executados
- Informação e Comunicação: ocorre de maneira

ampla, fluindo vertical e horizontalmente
- Monitoramento: é realizado mediante atividades

gerenciais contínuas

O COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management Framework)
conhecida como COSO 2.
Existe um relacionamento direto entre os objetivos, que

uma organização empenha-se em alcançar, e os
componentes do gerenciamento de riscos corporativos, que
representam aquilo que é necessário para o seu alcance.
Esse relacionamento é apresentado em uma matriz

tridimensional em forma de cubo.
As quatro categorias de objetivos (estratégicos,

operacionais, de comunicação e conformidade) estão
representadas nas colunas verticais.
Os oito componentes nas linhas horizontais
e as unidades de uma organização na terceira dimensão.

Cubo Coso
Essa representação ilustra a capacidade de manter o
enfoque na totalidade do gerenciamento de riscos de uma
organização, ou na categoria de objetivos, componentes,
unidade da organização ou qualquer um dos subconjuntos.

Componentes do Gerenciamento de Riscos Corporativos
O gerenciamento de riscos corporativos é constituído de 8 componentes inter-

relacionados, pela qual a administração gerência a organização, e estão
integrados com o processo de gestão. Esses componentes são:
Ambiente Interno – o ambiente interno compreende o tom de uma organização e

fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal,
inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os
valores éticos, além do ambiente em que estes estão.
Fixação de Objetivos – os objetivos devem existir antes que a administração possa

identificar os eventos em potencial que poderão afetar a sua realização. O
gerenciamento de riscos corporativos assegura que a administração disponha de um
processo implementado para estabelecer os objetivos que propiciem suporte e estejam
alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos.
Identificação de Eventos – os eventos internos e externos que influenciam o

Componentes cumprimento dos objetivos de uma organização devem ser identificados e classificados
entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos
de estabelecimento de estratégias da administração ou de seus objetivos.
Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e

o impacto como base para determinar o modo pelo qual deverão ser administrados.
Esses riscos são avaliados quanto à sua condição de inerentes e residuais.
Fonte: www.coso.org

Componentes do Gerenciamento de Riscos Corporativos (continuação)
Resposta a Risco – a administração escolhe as respostas aos riscos - evitando,

aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para
alinhar os riscos com a tolerância e com o apetite a risco.
Atividades de Controle – políticas e procedimentos são estabelecidos e

implementados para assegurar que as respostas aos riscos sejam executadas com
eficácia.
Informações e Comunicações – as informações relevantes são identificadas,

colhidas e comunicadas de forma e no prazo que permitam que cumpram suas
responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo,
fluindo em todos níveis da organização.
Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são

feitas as modificações necessárias. O monitoramento é realizado através de
atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.
Componentes

A abrangência da Gestão de Risco Corporativo:
Segundo o COSO 2, o Controle Interno é parte integrante do

Gerenciamento de Riscos Corporativos.
A estrutura do gerenciamento de riscos corporativos abrange o

controle interno, originando dessa forma uma conceituação e uma
ferramenta de gestão mais eficiente. O controle interno é definido e
descrito sob o título “Controle Interno – Estrutura Integrada”.
Em razão do fato da estrutura ter resistido ao tempo e ser base

das normas, dos regulamentos e das leis existentes, o documento
permanece vigente como fonte de definição e marco para as
estruturas de controles internos. Enquanto que apenas algumas
porções do texto de “Controle Interno – Estrutura Integrada” estão
sendo reproduzidas na presente estrutura, a sua totalidade da
mesma está incorporada como referência.

Limitações:
O gerenciamento de riscos corporativos pode oferecer

importantes benefícios para a empresa, mas ele está sujeito a
limitações.
As limitações originam-se do fato de que o julgamento

humano, no processo decisório, pode ser falho, as decisões
de respostas a risco e o estabelecimento dos controles
necessitam levar em conta os custos e benefícios relativos.
Podem ocorrer falhas causadas por erro ou

engano humano, os controles podem ser anulados
por conluio entre duas ou mais pessoas, e a
administração tem o poder de recusar-se a aceitar
as decisões de gestão de riscos.
Essas limitações impedem que o Conselho de Administração

e a diretoria executiva tenham absoluta garantia da realização
dos objetivos da organização.

Funções e Responsabilidades:
Todos são responsáveis:

Para que o Gerenciamento de Risco Corporativo tenha resultados eficazes, todos os colaboradores de uma
empresa devem ter consciência da importância da gestão de risco e assumir uma parcela de
responsabilidade no gerenciamento.
O Principal responsável:
O presidente-executivo é o principal responsável e deve assumir a responsabilidade da iniciativa.
Cabe aos outros diretores executivos apoiar a filosofia de administração de riscos da empresa, incentivar a
observação a exposição ao risco e administrar os riscos dentro de suas esferas de responsabilidade,
conforme as tolerâncias a risco.
Responsáveis pelo suporte:

Geralmente, cabe ao diretor de riscos, CRO, diretor-financeiro, auditor interno e outros,
responsabilidades fundamentais de suporte.
Os outros membros da organização são responsáveis pela execução do gerenciamento de riscos em
cumprimento das diretrizes e dos protocolos estabelecidos.
O Supervisor:
O Conselho de Administração executa importante atividade de supervisão do gerenciamento de riscos da
organização, estando ciente e de acordo com o grau de exposição da empresa.
Os participantes:
Os clientes, revendedores, parceiros de negócios ou comerciais, auditores externos, agentes
normativos e analistas financeiros freqüentemente fornecem informações úteis para a condução do
gerenciamento de riscos,porém não são responsáveis pela sua eficácia e nem fazem parte do
gerenciamento de riscos da empresa.

Resumindo:
(ERM).
Segundo o COSO a definição de controle interno: “Controle interno é um processo, desenvolvido
para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa”, nas seguinte
categorias:
Controle
Interno

Gestão de Risco é um processo sistemático que tem como objetivo identificação,
avaliação / analise, resposta (ação), comunicação e monitoramento de riscos.
Comunicação
Identificação
Valor dos Ativos Ameaças Vulnerabilidades
(Assets) (Threats) (Vulnerabilities)
Riscos
Avaliação/Análise
Contramedidas
(Countermeasures) Resposta ao Risco
Monitoramento

Gestão de Risco e Controle Interno Melhores Práticas
Risk Officer:
A implantação do Escritório de Gestão de Risco tem como
objetivo ajudar e facilitar o gerenciamento de risco
corporativo.
CRO (Chefe do Escritório de Risco) é uma nova função que

foi criado para atender a demanda por Gestão de Risco e
Compliance, como as leis e regulamentações, o Acordo de
Basiléia, Sarbanes-Oxley e etc
Uma das prioridades do CRO é assegurar-se de que a

organização esteja completamente em conformidade com os
regulamentos e leis.
Gestor de Risco (CRO – Chief Risk Officer).

The Chief Risk Officer (CRO) or
Chief Risk Management Officer (CRMO)


Controle Interno
O Que os Executivos Deveriam Questionar?
• Quais as melhores práticas de controle e gestão de riscos?
Existem sistemas de controle e gestão que indiquem eventuais
falhas de controle (exemplos: fraudes, irregularidades, má-
conduta...)?
• Nossos processos e controles para divulgação nos asseguram

que todas as informações relevantes foram identificadas,
quantificadas e reportadas?
• Nossa estrutura de Governança Corporativa está compatível às

necessidades?
– Código de Ética (Código de Conduta);
– Conselho de Administração;
– Comitê de Auditoria;
– Comitê Fiscal; e
– Parâmetros de razoabilidade para bônus e lucros.

Controle Interno
Revisão:
Definição de Controle Interno (Segundo o COSO 2):
(ERM).
Segundo o COSO a definição de controle interno:
“Controle interno é um processo, desenvolvido para garantir, com
razoável certeza, que sejam atingidos os objetivos da empresa”, nas
seguinte categorias:
Definição (P.N. Migliavacca):

Controle Interno define-se como o planejamento organizacional e todos os
métodos e procedimentos adotados dentro de uma empresa, a fim de
salvaguardar seus ativos, verificar a adequação e o suporte dos dados
contábeis, promover a eficiência operacional e encorajar a aderência às
políticas definidas pela direção.
Definição (rfs):
Políticas, procedimentos, atividades e mecanismos desenvolvidos para
assegurar que a missão e os objetivos de negócios sejam alcançados;
proteger os ativos; e garantir a eficiência operacional. O controle interno deve
ter o papel preventivo para que os eventos indesejáveis sejam prevenidos,
detectados e corrigidos.

Controle Interno
Prevenção, Detecção e Resposta
Uma abordagem efetiva, direcionada à fraude em negócios e gerenciamento de

risco e má-conduta, é uma abordagem que é focada em três objetivos: Prevenção,
Detecção e Reposta
Controles:
 PREVENTIVO - Previnem o acontecimento de erros, fraudes, má-conduta ou irregularidades e
minimizam os riscos na fonte. (Pró-ativo). (Maior eficácia)
 DETECTIVO - Detectam erros, fraudes, má-conduta e irregularidades quando eles ocorrem,

geralmente são difíceis de definir ou prever. (Reativo).
 RESPOSTA - Controles elaborados para tomar ação corretiva e remediar os danos causados por
erros, fraudes, má-conduta e irregularidades. (Reativo)
Tipos de Controles:
 AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de
julgamentos pessoais. Para garantir sua consistência, precisão e tempestividade, é preciso
ter um sistema seguro e confiável. (Maior eficácia)
 MANUAL - Controles manuais executados por pessoas.
Periodicidade:
 Deve ser atrelado a ocorrência do evento, a cada evento, diário, semanal, quinzenal, mensal,
trimestral, semestral, anual. A periodicidade do controle deve ser compatível com a freqüência
do incidência dos eventos de risco cobertos pelo controle).

Controle Interno.
Lista de Controle Interno:
Alçadas:
Delimitação de atuação ou influência de gestor
Conciliação:
Comparação de informações de origens distintas, o foco identificar inconsistências
Normatização interna:
Estabelecimento formal de normas internas
Segregação de funções:
Separação de funções conflitantes ou funções que possam ter conflito de interesses
Validação:
Exame de procedimentos relacionados a algumas atividades com objetivo de validar as
informações
Controle de Acesso:
Controle na entrada e saída de pessoas, equipamentos e produtos
Autorização:
Autorização formal para execução de uma operação ou uma atividade
Monitoramento:
Acompanhamento de processo, operação ou atividade de modo avaliar sua correta
adequação com os objetivos

Controle Interno
O peso dos controles:
Ausência de Controles Controles em Excesso Controles Adequados
Riscos
Riscos
Controles
+ Tolerância Controles +
Riscos à Riscos Tolerância
Controles +
à Riscos
Tolerância
à Riscos
Exposição a Exposição a Controles Internos

Riscos Inaceitáveis Custos Excessivos Eficientes

Controle Interno
Características de um Controle eficiente:
Quem fez
o lançamento ?
Como foi feito
lançamento ?
Em que data
foi feito o
lançamento ?
Existem
O por que documentos
do lançamento ? (evidências) ?
Controle eficiente:
O controle devem responder as seguintes
questões: - Quem, quando, como e por que
Evidencia (documentos probatórios)

Gestão de Risco e Controle Interno Controle Interno
Benefícios de uma Estrutura de Controles Internos Consistente:
Controle Interno Consistente: Controle Interno Inconsistente:

 Reduz potencial para fraudes  Aumenta a exposição a fraudes
 Conquista (ou reconquista) a  Informações financeiras imprecisas
confiança dos investidores  Publicidade desfavorável
 Observa leis e regulamentações  Impacto negativo nos valores das
ações
 Reduz o risco de perda de
recursos  Sanções de órgãos de controle
 Processos ou outras ações legais
 Otimiza decisões de negócio com
maior qualidade  Perda de ativos
 Decisões de negócio sub-
 Identifica operações ineficientes otimizadas
 Minimiza denúncias
Perfil das fraudes  Em geral, as fraudes descobertas1:

 São descobertas através de Controles Internos (42%) ou, em menor escala,
através de denúncias (28%) identificadas (de funcionários) ou de auditoria
interna (21%)
Nota 1- Fonte: Relatório Enfoque 2005, elaborado pela Ernest & Young

Controle Interno
O Novo Papel da Auditoria Interna:
O papel da auditoria interna é um elemento chave em atividades de controle,
suportando a abordagem da administração para prevenir, detectar e responder
à fraude, erros, irregularidades e má-conduta.
Um das funções da Auditoria Interna é o de examinar a efetividade dos

controles (realização de testes substantivos), Gestão de Risco, Sistemas,
Salvaguarda de Ativos, Contabilidade e Governança.
No geral, a auditoria interna deve ser responsável por:
- Planejar e conduzir a testes que avaliam efetividade dos controles;
- Ajudar a organização na avaliação das fraquezas dos controle e auxiliar a encontrar conclusões quanto
a estratégias apropriadas para mitigar estes riscos;
- Comunicar o comitê de auditoria sobre a avaliação dos controles internos e das auditorias,
investigações e atividades relacionadas.
Comparação:
Enfoque Tradicional Enfoque com Foco em Riscos
• Foco nos controles. • Foco nos riscos.

• Testes com base em programa de trabalho • Testes com base no levantamento das
padrão. informações.
• Testes de todos os controles. • Testes focalizados, somente dos controles
que minimizam os riscos relevantes.
• Riscos avaliados com base na experiência • Padronização do processo de avaliação de
do auditor. riscos.
• Maior parte do tempo gasto em revisão e • Maior parte do tempo gasto em
consolidação. levantamento e análise de informações.
Controle Interno
Exemplo: A SOX, tem duas seções sobre certificação: 302 e 906.
A seção 302 determina um conjunto de procedimentos internos desenhados para garantir a

evidenciação financeira.
A seção 906 exige uma certificação pelo Presidente (CEO) e Diretor Financeiro (CFO) acompanhe cada
relatório periódico que inclui as demonstrações financeiras
> A SEC adotou a regra exigindo que a certificação seja fornecida como parte de cada relatório anual e
trimestral as correspondentes alterações.
> O Presidente e Diretor Financeiro deverão certificar que avaliaram a eficácia dos controles internos e
dos procedimentos de divulgação da empresa dentro de 90 dias da data do relatório.
> As regras exigem que a certificação seja incluída em relatórios anuis nos formulários: 10-K, 10-KSB,
20-F e 40-F, relatórios trimestrais nos formulários: 10-Q e 10-QSB e alterações em quaisquer dos
relatórios acima mencionados.
A seção 404, exige que administração da empresa produza o Internal Control Report Financial
(ICRF) como parte do informe anual.
O informe deve afirmar a responsabilidade da administração em estabelecer e manter procedimentos
e uma estrutura adequada de controle interno para o informe financeiro.
O informe ainda precisa conter uma avaliação, na data do final do ano fiscal mais recente da empresa,
da efetividade dos procedimentos e da estrutura de controle interno do emitente do informe
financeiro
A firma de auditoria (externa), precisa atestar a avaliação de controle interno da administração.
A recomendação da SEC, é utilizar o COSO como guia para implementar o Sistema de Controle Interno
(SCI)

Controle Interno
SOX: Papéis e Responsabilidades:
Administração É responsável pelos controles internos e pela

preparação das demonstrações financeiras
Auditoria Interna É responsável por testar e monitorar os controles

internos
É responsável por certificar a apresentação das

Auditoria Externa demonstrações financeiras e a avaliação efetuada
pela Administração para suportar a certificação da
eficácia dos controles internos
Comitê de Auditoria Supervisionar os processos e os participantes

Controle Interno:
SOX: Lições Aprendidas:
Questão: Fraquezas Materiais nos Controles Internos
Para quais dos itens abaixo há o a) Tecnologia da

Informação
maior risco de serem reportadas é
esperado o maior volume de 7; 7% b) Reconhecimento de
0; 0% receita
fraquezas materiais 4; 4%
c) Gerenciamento do
nos controles internos? 7; 7% Imobilizado
a) Tecnologia da Informação 2; 2% d) Compras e contas a
b) Reconhecimento de receita pagar
4; 4%
c) Gerenciamento do Imobilizado e) Impostos
d) Compras e contas a pagar 7; 7% f) Recursos Humanos

e) Impostos
4; 4% 65; 65% g) Tesouraria
f) Recursos Humanos
h) Encerramento e
g) Tesouraria apresentação das
h) Encerramento e apresentação das demonstrações
financeiras
demonstrações financeiras
i) Outros
i) Outros
Nota:
Para 65%, há uma percepção de que a tecnologia da informação é a que poderá gerar um maior
volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A título de
comparação, pesquisa similar realizada em 2005 teve como resultado uma votação de 57% para TI, o
que indica que esta preocupação não é recente e se manteve no mesmo patamar.
Fonte: Síntese e Resultado da 9ª mesa de debates - Sox Update e Avaliação do Ambiente de Controle (COSO) KPMG – 2006/2007

Controle Interno
Deficiência de Controle Interno:
A gravidade de uma deficiência de controle interno pode ser avaliada como um material
weakness ou significant deficiency, fundamentada no potencial de erros ou fraudes nas
demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que
esses erros ou fraudes tenham efetivamente ocorrido.
Deficiência Significante (Significant deficiency): Deficiência ou uma combinação de deficiências que
resulte em mais que uma remota possibilidade de erro ou omissão nas demonstrações financeiras
anuais ou interinas e que não possa ser identificada preventivamente ou detectada.
Fraqueza Material (Material weakness): Deficiência ou uma combinação de deficiências que resulte em
mais que uma remota possibilidade de erro ou omissão com efeito material nas demonstrações
financeiras anuais ou interinas e que não possa ser identificada preventivamente ou detectada
Exemplos de Fraqueza Material (SOX):

- Em razão de erros decorrentes do uso de planilhas eletrônicas para a elaboração das Demonstrações
Financeiras.
-Nos controles relativos a reconciliações em US GAAP, que originaram erros (republicações) nas
Demonstrações Financeiras de 2004 e 2005.
Exemplos de Deficiência Significante (SOX):

- Nos controles internos em razão do não registro de um contrato segundo regras do SFAS 133.
- Relacionada à republicações das Demonstrações Financeiras de 2004 e 2005 devido a erros de
Classificação.

Controle Interno
Deficiência de Controle Interno:
A gravidade de uma deficiência de controle interno pode ser avaliada como uma Fraqueza
Material (material weakness) , Deficiência de Controle (control deficiency) e Deficiência
Significante (significant deficiency), fundamentada no potencial de erros ou fraudes nas
demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que
esses erros ou fraudes tenham efetivamente ocorrido.
Exemplos de Fraqueza Material (SOX):
- Em razão de erros decorrentes do uso de planilhas eletrônicas para a elaboração das Demonstrações
Financeiras.
-Nos controles relativos a reconciliações em US GAAP, que originaram erros (republicações) nas
Demonstrações Financeiras de 2004 e 2005.
Exemplos de Deficiência Significante (SOX):

- Nos controles internos em razão do não registro de um contrato segundo regras do SFAS 133.
- Relacionada à republicações das Demonstrações Financeiras de 2004 e 2005 devido a erros de
classificação.

Estudo de Caso: Controle
Tipos de Controle:
1. CONTROLE DO ESTADO – Constituição Federal

Controle Externo – Tribunal da Contas da União (TCU)
Controle Interno – Controladoria-Geral da União da Presidência da
República (CGU-PR)
2. CONTROLE INTERNO DA PRÓPRIA ORGANIZAÇÃO

Auditoria Interna
3. CONTROLE DOS ACIONISTAS - Lei de S.A.

Assembleia Geral, Auditoria Independente e Conselho Fiscal

Tipos de Controle: Estado
CONTROLE INTERNO CONTROLE EXTERNO
PRESIDÊNCIA DA CONGRESSO
REPÚBLICA NACIONAL
CGU TCU
PODER PODER
EXECUTIVO LEGISLATIVO
MINISTÉRIO
BR
PETROBRAS

Congresso Presidência da
Nacional República
CNPE
ANP MME
Controle
Externo BR CADE
MJ
(TCU)
MF
DEST MPOG
Controle MMA
Interno
(CGU)
Quanto aos Objetivos: Quanto ao Momento:
Político-Legal Legitimidade
Legalidade Prévio Orçamento
Economicidade
Administrativo Eficiência Concomitante Acompanhamento
Eficácia
Programático Efetividade Prestação de Contas

A Posteriori e Avaliação

Tipos de Controle: Interno (Auditoria Interna)
Auditoria Interna
Atribuições:
“Planejar, executar e avaliar as atividades de auditoria interna e atender às solicitações da
alta administração e de órgãos externos de controle.”
Perspectiva de Mercado:
Zelar pela excelência dos controles das atividades da Petrobras, atendendo às
expectativas dos clientes.
• Conhecimento da Petrobras
• Presteza no atendimento
• Visão integrada dos Negócios
• Confidencialidade
• Diversidade de formação
• Agregar valor à Unidade auditada

Tipos de Controle: Interno (Auditoria Interna)
Auditoria Interna
Estrutura:
Auditoria
Interna
GERENCIAMENTO DE
RECURSOS
Auditoria
Auditoria de Auditoria de Auditoria de Auditoria de Auditoria
Corporativa e
E&P Abastecimento Finanças Gás e Energia Internacional
de Serviços
Aspectos legais:
Art. 14. As entidades da Administração Pública Federal indireta deverão organizar a

respectiva unidade de auditoria interna, com o suporte necessário de recursos humanos
e materiais, com o objetivo de fortalecer a gestão e racionalizar as ações de controle.
Decreto nº 3.591, de 6/SET/00 – Dispõe sobre o Sistema de Controle Interno do Poder

Executivo Federal e dá outras providências
Tipos de Controle: Acionistas
ASSEMBLÉIA GERAL (Artigos 121 e 122, III

da Lei 6.404 de 1976)
CONTROLE FINAL
ADMINISTRAÇÃO
Conselho de Administração
Diretoria
CONSELHO FISCAL (Artigos 161 a 165

da Lei 6.404 de 1976)
CONTROLE INTERNO
AUDITORES INDEPENDENTES
(Artigo 177, § 3º da Lei 6.404 de
1976)
CONTROLE EXTERNO

Controle Interno:
Melhores Práticas na implantação de Sistema de Controle Interno:
Evite os controles manuais. Opte por controles automatizados;
Implemente os controles do tipo preventivo;
Defina a quantidade de controle adequado;
Evite o controle do controle;
Faça uma revisão de toda vez que o custo de um controle for maior que o benefício
que ele traz;
As melhores práticas recomendam a adoção da Gestão de Risco;
Adote os melhores guias, frameworks, padrões e normas;
Implemente o ciclo de melhoria continua, PDCA, nos controles;
[SOX] Foco nos controles internos de TI (Seção 404)

Tecnologia da Informação (TI) e Gestão de Risco

Corporativo (ERM)

Gestão de Risco e Controle Interno Modelo de Governança de TI
Governança do Governança de Conformidade
Negócios (Controle Interno e Risco)
Estratégico BSC COSO

Cobit
Governança de TI
Planejamento Estratégico de TI
Projetos
Top Down
PMBok/PMI
Operacional e Tático
Fornecedores
Serviços de TI
Segurança da
de Software
Informação
Fábrica de
Processos
BPM
Qualidade
ISO9001 /
Seis Sigma
ITIL / CMMi/ ISO17799/ SAS70 /
ISO20000 Mps.br ISO27001 e-SCM
Arquitetura de TI
Recursos

Gestão de Risco e Controle Interno Gestão de Risco de TI
Governança de TI & COSO 2
Mudança de Visão
Ontem: Gestão de Segurança da Informação
Hoje: Gestão de Risco (Segurança da Informação + Controle Interno)
COSO
COBIT
Gestão de Risco Corporativo (ERM) Governança

Corporativa
Gestão de Risco de TI
Gestão da Segurança
Controle Internos
da Informação Governança
de TI
Confidencialidade Processos
Integridade Evidências
Disponibilidade Guia de Auditoria
ISO 17799 /
ISO 27001 Cobit, ITIL, ISO 17799...

Gestão de Risco de TI
As melhores práticas:
Seguir as recomendações, utilizar as melhores

práticas, padrões e frameworks.
No caso de compliance SOX. A SEC (entidade que
regula o mercado americano) recomenda utilizar: COSO
(como padrão de referência para os controles internos) e
o COBIT (como padrão de referência para sistemas de
informação) e como Framework para implantação da
Governança de TI.
Para o Gerenciamento de Serviços de TI recomenda-

se o modelo ITIL e/ou ISO 20000
Para a Gestão da Segurança da Informação é recomendado

a ISO 17799 ou ISO 27001.
Para Maturidade do Processo de Desenvolvimento de Software é recomendado

CMMi e Mps.br
Para a Gestão de Projetos é recomendado as práticas do PMBok (PMI),

lembre-se que a Gestão de Projetos abrange todas áreas da empresa.
Para a Gestão de Relacionamento com Fornecedores de TI recomenda-se o padrão

e-SCM. No caso de SOX o SAS70.
Para TI:
-Cobit
- ISO 17799 – Segurança da Informação
- ITIL
- ISO 20.000
- MOF
Para empresa:
- PMBok (para projetos)
- ISO 31000
Gestão de Risco e Controle Interno Cobit
Cobit é um framework que tem um conjunto de

componentes que representam as melhores praticas para
Governança de TI, Controle de TI, Auditoria de TI e
Conformidade com leis e regulamentações.
Principais características do Cobit:

- Orientado ao Negócio - Baseado em Controles
- Orientado a Processos - Guiado por mensurações
Evolução: A Governança
Governança
Gestão
Controle
Auditoria
Cobit 1 Cobit 2 Cobit 3 Cobit 4
1996 1998 2000 2005 Modelo de Governança

Gestão de Risco e Controle Interno Cobit
Governança de TI segundo ITGI (Cobit)
Modelo de Governança de TI:
Garantia da ligação entre o negócio e planos de TI, Execução da proposição de valor através do
manutenção e validação da proposição de valor da tempo, assegurando que TI entregue os
TI, alinhada com as operações da empresa benefícios prometidos de acordo com estratégia,
Alinhamento Estratégico concentrando-se em otimizar custos e em
comprovar o valor intrínseco de TI
Entrega de Valor
Gerenciamento de Risco
Medição de Desempenho
Acompanhamento e Conhecimento dos riscos,
monitoramento da entendimento claro dos
implantação da estratégia, requisitos de compliance e das
do andamento dos projetos, tendências da empresa para
da utilização de recursos, do os riscos, transparência
desempenho dos processos, acerca dos riscos significantes
da entrega dos serviços, para empresa e incorporação
utilizando medições e de responsabilidade para o
indicadores de desempenho. gerenciamento dos riscos
Gerenciamento de Recursos
Otimização do investimentos e da gestão adequada de
recursos (aplicações, pessoas, informações e infra-estrutura),
essenciais para prover os subsídios de que a empresa
necessita para cumprir os seus objetivos
Gestão de Risco e Controle Interno Estrutura do COBIT
OBJETIVOS DE NEGÓCIOS E
OBJETIVOS DE GOVERNANÇA
ESTRUTURA
PO1 Definir um Plano
Estratégico de TI.
ME1 Monitorar e Avaliar o DO C O B I T INFORMAÇÃO PO2 Definir a Arquitetura da
Desempenho de TI. Informação.
ME2 Monitorar e Avaliar os PO3 Determinar o
Controles Internos. Eficiência Integridade Direcionamento
ME3 Assegurar a Conformidade Tecnológico.
Eficácia Disponibilidade PO4 Definir os Processos, a
Regulatória.
Conformidade Confidencialidade Organização e os
ME4 Fornecer Governança de Relacionamentos de TI.
TI. Confiabilidade PO5 Gerenciar o Investimento
de TI.
MONITORAR PLANEJAR PO6 Comunicar os Objetivos e
E AVALIAR E ORGANIZAR Direcionamento da
Diretoria.
PO7 Gerenciar os Recursos
RECURSOS Humanos de TI.
DS1 Definir e Gerenciar Níveis de DE TI PO8 Gerenciar a Qualidade.
Serviços. PO9 Avaliar e Gerenciar Risco de
TI .
DS2 Gerencia Serviços PO10 Gerenciar Projetos.
Terceirizados.
DS3 Manage performance and
capacity. Aplicações
DS4 Gerenciar o Desempenho e a Informação
Capacidade. Infra-estrutura AI1 Identificar as Soluções
DS5 Garantir segurança dos Pessoas Automatizadas.
sistemas. AI2 Adquirir e Manter Software
DS6 Identificar e Alocar Custos. ENTREGAR E ADQUIRIR E Aplicativo.
DS7 Educar e Treinar os SUPORTAR AI3 Adquirir e Manter Infra-
IMPLEMENTAR
Usuários. estrutura de Tecnologia.
DS8 Gerenciar a Central de AI4 Permitir Operação e Uso.
Serviço e Incidentes. AI5 Adquirir Recursos de TI.
DS9 Gerenciar a configuração. AI6 Gerenciar Mudanças.
DS10 Gerenciar os problemas. AI7 Instalar e Validar Soluções
DS11 Gerenciar os dados. e Mudanças.
DS12 Gerenciar o Ambiente Físico.
DS13 Gerenciar as Operações.

Gestão de Risco e Controle Interno ITIL v3
ITIL v3 :: Serviços, Processos e Funções
Adaptado do original de David Pultorak

Gestão de Risco e Controle Interno MOF – Microsoft Operations Framework
O MOF é um guia de melhores práticas para Ciclo de Serviços de TI.

Gestão de Risco e Controle Interno ISO 20000
Processos de Entrega de Serviços

Gestão de Gestão de Gestão da Segurança
Capacidade Nível de Serviço da Informação
Continuidade Apresentação dos Orçamento e

de Serviços Resultados dos serviços Contabilidade dos
e Gestão de (Service Reporting) Serviços
Disponibilidade
Processos de Controle
Gestão de Configuração
Processos
de Gestão de Mudança
Processos de
Liberação Processos de
Relacionamento
Resolução Gestão de Relacionamento

com o Negócio
Gestão de
Liberação Gestão de Incidentes
Gestão de Fornecedores
Gestão de Problemas

Gestão de Risco e Controle Interno ISO 17799 (Segurança da Informação)
Principais Componentes:
Disponibilidade – Acesso contínuo e ininterrupto. A

informação deve estar disponível para a pessoa certa e
no momento em que ela precisar.
Integridade – Proteger a informação contra qualquer

tipo de alteração sem a autorização explícita do autor da
mesma
Confidencialidade – Visa manter o sigilo, o segredo ou

a privacidade das informações, evitando que pessoas,
entidades ou programas não autorizados tenham acesso
às mesmas.
Autenticidade (não repudio) - Garante ao receptor da

informação a origem informada. Assegura que o acesso
à informação não possa ser realizado por terceiros em
nome do receptor ou que se utilizem do nome do
originador para enviar informações.
Objetivos:
• Reduzir a probabilidade de ocorrência de incidentes de
segurança.
• Minimizar os danos / perdas causados à Organização.
• Recuperação em caso de incidente.

ISO 17799 (Segurança da Informação)
Modelo de Implementação:
Definir
escopo
Compliance e Revisão
Certificação Documentação
Monitorar Gap
Compliance Analyses
Implantação da Inventário
Treinamento ISO 17799 de Ativos
Desenvolver Avaliação de
Procedimento Risco
Desenvolver Gestão de
Política Objetivo de Risco
Controle

Gestão de Risco e Controle Interno ISO 17799 (Segurança da Informação)
Componentes do ISO 17799
• 1. Objetivo da norma • 7. Segurança física e do ambiente

• 2. Termos e definições • 8. Gerenciamento de operações e
comunicações
• 3. Política de segurança
• 9. Controle de acesso
• 4. Segurança organizacional
• 10. Desenvolvimento de sistemas.
• 5. Classificação e controle dos ativos
de informação • 11. Gestão de continuidade de negócios
• 6. Segurança de pessoas • 12. Conformidade
ISO 17799 – Segurança Organizacional

Infra estrutura de segurança: indica que uma estrutura organizacional deve
ser criada para iniciar e implementar as medidas de segurança.
Segurança no acesso de prestadores de serviço: garantir a segurança dos

ativos acessados por prestadores de serviços.
Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos

de terceirização de serviços computacionais cláusulas para segurança

Gestão de Risco e Controle Interno PMBok ®. Gerenciamento de Risco
Definição de Risco1:
“Um evento ou condição incerta que, se ocorrer, tem um efeito positivo ou negativo nos objetivos
de um projeto”.
1 - Segundo o PMBok (Glossário)
Processos do Gerenciamento dos Riscos:

Inclui os processos para maximizar a probabilidade e as conseqüências dos eventos positivos e
minimizar a probabilidade e as conseqüências dos eventos adversos aos objetivos do projeto.
PMBok versão 3

Gestão de Risco e Controle Interno ISO 31000 – Gerenciamento de Risco
Processo de Gestão de Riscos

Comentário final:
Está preparado para implementar a Gestão de Risco e suas melhores práticas ?
Se quiser ajuda, fale comigo:
Rildo F Santos
twitter: @rildosan

Gestão de Risco e Controle Interno Nossos Treinamentos
Treinamentos:
- Implementação da Controle Interno com as práticas da COSO®
- Workshop de Gestão de Risco com COSO®
- Fundamentos da Gestão de Risco e Controle e Interno com COSO
- Workshop de Gestão de Risco para TI

Gestão de Risco e Controle Interno Quer Mais ?
Gostou quer mais, gostaria de receber outros materiais sobre o mesmo tema e novas versões deste
material...
Envie um e-mail para com subject: “Quero entrar na comunidade” para rildo.santos@etecnologia.com.br
que te enviaremos um convite para participar da nossa comunidade
http://etecnologia.ning.com/
Gestão de Risco e Controle Interno Notas:
Marcas Registradas:
Todos os termos mencionados e reconhecidos como Marca Registrada e/ou comercial são de
responsabilidade de seus proprietários. O autor informa não estar associada a nenhum produto e/ou
fornecedor apresentado neste material. No decorrer deste, imagens, nomes de produtos e fabricantes
podem ter sido utilizados, e desde já o autor informa que o uso é apenas ilustrativo e/ou educativo, não
visando ao lucro, favorecimento ou desmerecimento do produto/fabricante.
Melhoria e Revisão:
Este material esta em processo constante de revisão e melhoria, se você encontrou algum problema
ou erro envie um e-mail nós.
Criticas e Sugestões:
Nós estamos abertos para receber criticas e sugestões que possam melhorar o material, por favor
envie um e-mail para nós.
Imagens:
Google, Flickr e Banco de Imagem.
Rildo F dos Santos (rildo.santos@etecnologia.com.br)

Gestão de Risco e Controle Interno Licença:

Rildo F Santos
twitter: @rildosan
As melhores práticas para Gestão

Versão 2.0 | Rildo F Santos
de Risco e Controle 2009/2010
(rildo.santos@etecnologia.com.br)
Interno com COSO®
© Direitos Reservados

Gestão de Risco e Controle Interno Com COSO

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gestão de Risco e Controle Interno Com COSO

Uploaded by

Copyright:

Available Formats

Gestão de Risco e Controle Interno

Gestão de Risco e Controle Interno

As melhores práticas para Gestão

Sou membro do IIBA-International Institute of Business Analysis (Canada)

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 2

O objetivo principal desta apresentação é prover informações sobre a Gestão de

A Gestão de Risco deve ser considerada como parte integrante da estratégia de

Também será discutido o COSO® 1 que é um guia de referencia (“framework”) de

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 4

A importância da Gestão de Risco Corporativo

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 5

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 6

Aumentar Eficiência Compliance Estratégia

1975 – quebra dos bancos Herstatt, da

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 7

Neste milênio os investidores perderam 37 bilhões dólares

Objetivo SOX: Garantir a integridade das informações financeiras

Visão Geral da Lei Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)

Principais Seções (artigos):

Seção 802 - Penalidades criminais pela alteração de documentos.

Empresas brasileiras com ações ou títulos na Bolsa de New York (NYSE)

RESOLUÇÃO NORMATIVA – RN n° 114, DE 26 DE OUTUBRO DE 2005.

Operadoras de Plano de Saúde

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 9

CVM (Comissão de Valores Mobiliários)

DA SEGURANÇA DOS SISTEMAS

DA AUDITORIA PERIÓDICA PELA ENTIDADE AUTO-REGULADORA

Susep FL. 2 da CIRCULAR SUSEP No 344, de 21 de

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 11

Serviços Terceirizados relevantes vão desde a

Bancos Resolução nº 3.380 do Banco Central.

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 12

Três Pilares de Basiléia

Bancos Resolução nº 3.380 do Banco Central.

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 13

O Governo Federal economizou R$

No ano passado essa modalidade

> Aumentar a eficiência operacional

> Compliance (requisitos legal

> Mitigação de riscos > Redução de Custos

Melhor Governança e Compliance: Melhor Gestão sobre os recursos:

A Integração de Governança Corporativa, Gestão de Risco e Compliance (GRC) é

e quais processos seguir

Tomada de Decisão Compliance com

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 17

Para ter sucesso na implantação: Para se obter resultados:

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 19

Governança Corporativa, definição:

Governança Corporativa é o sistema pelo qual as sociedades são

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 20

Governança de Negócio Governança de Compliance

NYSE BACEN Bovespa/CVM

Foto está publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 22

Em busca da Governança. Principais reformas estatutárias em 2002:

C - Aperfeiçoar as práticas de governança corporativa

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 23

Conselho de Comitês • Auditoria

Foto está publicada no http://cadastro.petrobras.com.br/progefe/home/ident_empresa.cfm

Versão 2.0 | Rildo F Santos (rildo.santos@etecnologia.com.br) 2009/2010 © Direitos Reservados 24

Estabelece diretrizes sobre:

Trata de políticas corporativas envolvendo:

Código de Ética Base para a utilização dos mecanismos da boa governança