Gesto de TI

Aula COSO Fernando Carvalho

Marcos Regulatrios
Atendimento s exigncias de legislao especficas
Lei Sarbanes-Oxley (SOx) CVM (Comisso de Valores Mobilirios) SUSEPE (Superintendncia de Seguros Privados) SPC (Servio de Proteo ao Crdito) Telecomunicaes (ANATEL) Basilia-II Resoluo 3380 (BACEN)

Lei Sarbanes-Oxley (SOx)

Regulamentao a partir de escndalos no mercado financeiro Americano (Enron, WorldCom e Tyco) Empresas que foradamente atendem a SOx: Petrobras GOL Linhas Areas SABESP CPFL (Companhia Paulista de Fora e Luz) TAM Linhas Areas Brasil Telecom Ultrapar (Ultragaz) Banco Bradesco Companhia Brasileira de Distribuio (Grupo Po de Acar) Banco Ita TIM Vale S.A. Vivo Participaes S.A. Companhia Energtica de Minas Gerais (CEMIG) Natura Cosmticos S.A.

Benefcios do SOx

Prejuzo por fraudes ou mal investimento Ajuda a controlar fraudes, mas ajuda tambm a controlar investimentos. Controle interno benefcio para administrao Auditoria interna causa eficincia

SOx
Controlar a criao, edio e versionamento dos documentos em um ambiente de acordo com os padres ISO, para controle de todos os documentos relativos seo 404; Cadastrar os riscos associados aos processos de negcios e armazenar os desenhos de processo; Utilizar ferramentas como Word e Excel para criao e alterao dos documentos da seo 404; Publicar em mltipos websites os contedos da seo 404; Gerenciar todos os documentos controlando seus perodos de reteno e distribuio; Digitalizar e armazenar todos os documentos que estejam em papel, ligados seo 404.

Seo 404
Exige: Estrutura de controles internos auditados por entidade independente. Esta estrutura foi planejada j pensando na implementao das normas indicadas pelo Committee of Sponsoring Organizations (COSO)

SOx
Escreva como faz Faa o que escreveu Escreveu demais o azar seu

Basilia-II
Definido padro de governana para bancos: Pilares:

Monitoramento de riscos:

Crdito, Operacional e de Mercado Validao de modelos internos Monitoramento Disciplina de mercado Exigir capital adicional Transparncia interna Divulgao de escopo de operaes Requistos mnimos: Info quali. e quant. / vrios meios

Superviso

Disciplina de mercado

Marcos Regulatrios

Instituies financeiras em geral Banco Central dos Bancos Centrais - Suia

Governana

Descrio

COSO - Comittee of Sponsoring Organizations of the Treadway Commission Organizao Norte Americana privada, fundada em 1985. Objetivo

Desenvolver e estudar assuntos gerenciais e de governana empresarial. Fornecer linhas guia ou diretrizes para os executivos.

Prepara a empresa para auditoria (setup)

reas de interesse

Governana Corporativa tica de Negcios Controles Internos Gesto de Riscos Corporativos Coibir e garantir identificao de Fraudes Relatrios Financeiros Controle interno corporativo Elaborar um processo para garantir que sejam atingidos os objetivos das empresas.

Vantagens

Encorajar a adeso poltica traada pela administrao. Verificar a exatido e a fidedignidade de seus dados contbeis Promover a eficincia operacional Proteger

Patrimnio Objetivos e metas de desempenho Rentabilidade Segurana Qualidade dos ativos

Conceitos Bsicos
Controles Internos: So um processo (instrumento para uma determinada finalidade) So influenciados pelas pessoas. No existem somente polticas, manuais, formulrios mas sobretudo pessoas, em todos os nveis de uma organizao. Podem fornecer somente uma razovel segurana, e no uma segurana absoluta, para a diretoria de uma corporao. So centrados na realizao de objetivos em uma ou mais categorias que podem ser separadas ou sobrepostas.

Controles Internos

Consistem em polticas e procedimentos Desenhados pela alta administrao Visa assegurar que as operaes da empresa esto alinhadas s metas e aos objetivos definidos.

Verses

ICIF

(Internal Control Integrated Framework) Objetivos maiores so auditoria e controle interno Adotado pela maioria das empresas (Enterprise Risk Management Integrated Framework) Maior enfase em controle de riscos:

ERMIF

Estabelecimento de Objetivos, Identificao de Eventos, Avaliao de Riscos e Respostas ao Riscos

COSO - ICIF (Mais Utilizado)

Ambiente de Controle (Control Environment) Postura da organizao e conscientizao das pessoas Avaliao de Riscos (Risk Assessment) Identificao e analise de riscos relevantes para alcanar os objetivos definidos Atividades de Controle (Control Activities) Polticas e processos em todos os nveis para garantir a observncia das diretrizes e medidas de preveno dos riscos Informaes e Comunicaes (Information and Communication) Fluxos das informaes e comunicaes dentro da corporao Monitoramento (Monitoring) Processos de monitoramento e avaliao do sistema e dos demais processos

Matriz ICIF

COSO - Ambiente de Controle

Abrange toda a estrutura de controles internos Aborda os seguintes temas:

Integridade e valores ticos Comprometimento com a competncia Independncia do Conselho de Administrao e do Comit de Auditoria Filosofia e estilo operacional da administrao Estrutura organizacional Transmisso de autoridade e responsabilidade Polticas de Recursos Humanos

COSO - Avaliao de gerenciamento de risco

Envolve a identificao e a anlise pela Administrao dos riscos mais relevantes para o alcance dos objetivos do negcio Documenta objetivos de alto e baixo nveis organizacionais Identifica riscos e medidas de recuperao de todos.

COSO - Avaliao de gerenciamento de risco

Nveis observados:

Entidade Atividade foras e fraquezas (ambiente interno) oportunidades e ameaas (ambiente externo)

Nvel de Entidade esto alinhados com

COSO - Avaliao de gerenciamento de risco

Nvel de Atividades
Relacionado com vendas, produo, contas a pagar, entre outras Ordens de Risco em atividades Objetivos Operacionais (Operations Objective) seguir s estratgias Objetivos de Relatrios Financeiros (Financial Reporting Objectives) - garantia da correo dos dados nestes relatrios Objetivos de Conformidade (Compliance Objectives) - atendimento leis e normas

COSO - Avaliao de gerenciamento de risco

Devem ser executados os seguintes controles: Estimao da significncia do risco; Avaliao da probabilidade (ou freqncia) da ocorrncia do risco; Considerao de como o risco deve ser gerenciado Devem so criadas estruturas para antecipar, identificar e reagir a mudanas de rotinas ou atividades

COSO - Atividade de Controle

Direcionar cada objetivo de controle Visa atenuar os riscos identificados So polticas, procedimentos e prticas adotados para assegurar que os objetivos operacionais sejam atingidos e as estratgias para atenuar riscos sejam executadas Categoria de atividades

atividades operacionais relatrios financeiros conformidade

COSO - Atividade de Controle

Exemplos:
Revises de Monitoramento Processamento de Informaes Controles Fsicos Indicadores de Performance Segregao de Funes

COSO - Informao e comunicao

Levar estatgias objetivos e metas para os nveis mais baixos Levar anlises, resultados, deficincias e denncias para os nveis mais altos Levar informaes tambm para partes externas, prevendo clientes, fornecedores, auditores e investidores.

COSO - Informao e comunicao

Qualidade da Informao:

O contedo apropriado

a informao necessria? est disponvel quando requerida? a ltima disponvel? os dados esto corretos? pode ser acessada facilmente pelas pessoas interessadas?

A informao tempestiva

A informao atualizada

A informao acurada

A informao acessvel

COSO - Quanto Informao

Obteno de informaes internas e externas e fornecimento alta administrao de relatrios indicando a performance da organizao com relao a objetivos estabelecidos; Fornecer informao detalhada e tempestiva pessoa certa de modo a permiti-la cumprir suas responsabilidades de forma eficaz (treinamento); Desenvolvimento de sistemas de informao alinhados aos objetivos a nvel de entidade e a nvel de atividade; O suporte administrativo a sistemas de informao eficientes demonstrado pela disponibilidade de recursos financeiros e humanos.

COSO - Quanto Comunicao

Efetividade com a qual as obrigaes dos funcionrios e suas responsabilidades so comunicadas; Estabelecimento de canais de comunicao para pessoas (internas e externas organizao) que queiram denunciar suspeitas de impropriedades; Receptividade da administrao a sugestes de empregados referentes a melhorias em geral; Adequabilidade da comunicao detalhada e tempestiva atravs da organizao, inclusive entre departamentos, de forma a permitir que todos cumpram suas obrigaes de forma eficaz; Abertura e efetividade de canais de comunicao junto a clientes, fornecedores e outras fontes externas; Extenso na qual agentes externos tomam conhecimento dos padres ticos da organizao; Tempestividade de ao e acompanhamento da administrao em resposta a comunicaes recebidas de clientes, vendedores, rgos reguladores e outras entidades externas.

COSO - Monitoramento

Processo para estimar e avaliar a qualidade dos controles internos durante avaliaes contnuas e especiais. Monitoramento contnuo diminui a necessidade de avaliao especial. Executado por:

Pela prpria administrao Pelos funcionrios Por partes externas (Clientes, Fornecedores, Parceiros)

COSO - Monitoramento
Afeta a efetividade do monitoramento contnuo:

Extenso na qual comunicaes de partes externas corroboram informaes geradas internamente, ou indicam problemas; Nvel de atendimento s recomendaes das auditorias externa e interna no que tange ao fortalecimento dos controles; Comparao peridica entre as quantidades registradas e os ativos fsicos; Extenso na qual treinamentos, seminrios e reunies fornecem feedback administrao a respeito de se os controles esto operando eficazmente; Se os funcionrios so periodicamente requisitados a declarar se compreendem e aplicam o cdigo de conduta da entidade; Efetividade da auditoria interna.

COSO - Monitoramento

Avaliao especial: Avaliar a efetividade dos controles internos (selfcheck) Mensal ou trimestral Comunicao das deficincias para qual nvel? Existem mecanismos para capturar e reportar as deficincias identificadas nos controles internos? So adequados os protocolos utilizados para reportar as deficincias? adequado o acompanhamento das aes corretivas?

COSO - ERMIF

Ambiente interno Definio de objetivos (nova) Identificao de Eventos (nova) Avaliao de riscos Resposta a riscos (nova) Atividades de Controle Informao e Comunicao Monitoramento

Matriz ERMIF

Alinhamento Estratgico
Alinhamento esttico - Derivao da Estratgia de TI a partir da Planejamento Estratgico ou Plano de Negcios Alinhamento dinmico - Derivao da Estratgia de TI a partir das mudanas dinmicas nas reas de negcio.

Perguntas
A implantao do COBIT como modelo de governana de TI de uma empresa ou organizao propicia, como um dos seus benefcios, o cumprimento dos requisitos do COSO (Committee of Sponsoring Organizations of the Treadway Commission) para controle de ambientes de TI. Certo ou Errado?

Perguntas
Em uma reunio com consultores externos, uma grande empresa, sujeita Lei Sarbanes-Oxley (SOX), recebeu a indicao para adotar, como apoio ao processo de adequao, os seguintes frameworks de controle: a) ICOFR e COBIT. b) ITIL e ICOFR. c) COCOA e COBIT. d) COSO e COCOA. e) COSO e COBIT. obs: ICOFR Internal Controls Over Financial Reporting

Perguntas
Considere as questes a seguir. I - Quais decises devem ser tomadas para garantir a gesto e o uso eficazes de TI? II - Quem deve tomar as decises para garantir a gesto e o uso eficazes de TI? III - Como sero tomadas e monitoradas as decises para garantir a gesto e o uso eficazes de TI? A governana de TI aborda a(s) questo(es) (A) I, apenas. (D) II e III, apenas. (B) I e II, apenas. (E) I, II e III. (C) I e III, apenas.

Referncias

PAULO EDUARDO MOURA VITOLA (2005) ADAPTAO DAS EMPRESAS SEO 404 DA LEI SARBANES-OXLEY (ESTUDO DE CONTROLES INTERNOS) UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL http://www.fraudes.org/showpage1.asp?pg=319 http://en.wikipedia.org/wiki/Committee_of_Sponsoring_Organizations_of_the_Treadway_Commission http://en.wikipedia.org/wiki/COBIT