compliance auditoria interna · outubro de 2011, as ações caíram de 86 dólares para 30...

Rio de Janeiro, 18 de outubro de 2019

Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS

Presidente Brasiliano INTERISK

®Brasiliano INTERISK – O valor da Inteligência

Objetivos e Divisão de Atividades:

Compliance

Riscos e Controles Internos

Auditoria Interna

1. Objetivos da Palestra

2. Brasiliano INTERISK e Currículo do Facilitador

3. Contexto do Mercado nesta Quarta Revolução Industrial

4. Governança Corporativa e as Funções de Compliance, Riscos/Controles Internos e

Auditoria Interna

5. Modelo de Governança das 3 Linhas de Defesa – Efeito Cebola

6. Conclusão


Sumário

Apresentar a aplicação integrada do compliance, riscos, controles internos e

auditoria interna, no Modelo de Governança Corporativa, de tal forma que

haja um cobrimento de brechas, denominado de “Efeito Cebola” – Proteção

em Camadas


1. Objetivo da Palestra


A Brasiliano INTERISK é uma empresa de SOFTWARE em Gestão de Riscos

Corporativos, que oferece a consultoria e treinamento integrados com a

ferramenta INTERISK.

A Brasiliano INTERISK está em um processo “dual”, progredindo para sistemas,

de forma cadenciada e disciplinada, mantendo ainda, suas divisões de consultoria

e treinamento ativas.

Possui muita vivência, nacional e internacional, em desenhar e implantar soluções

em Riscos Corporativos. A experiência em diversos segmentos de mercado teve

início em 1989.

Quem é a Brasiliano INTERISK


Abrangência do nosso trabalho e nosso diferencial

Áreas

Disciplinas de Riscos

Risco Financeiro

Inteligência Empresarial

Risco de Comunicação

e imagem

Riscos de Ativos

Riscos Legais e Conformidade

Riscos Estratégico

Risco da Informação e Cibernético

Riscos de Incêndio

Riscos de Fraude,

Corrupção e Suborno

Risco Operacional

Lavagem de Dinheiro

Risco Saúde e Segurança Ocupacional

Riscos de Segurança Corporativa

Risco de Meio Ambiente

Risco de Projeto

Riscos Sociais Sustentabilidade

Riscos Alimentares

Riscos de Qualidade / Produto ou

Prestação de

Serviço

Riscos GeoPolíticos

Riscos de Segurança

Pública


Módulos 1. Gestão de Riscos Corporativos - GRC

2. Gestão de Não Conformidades - NC

3. Gestão de Continuidade de Negócios - GCN

4. Auditoria Baseada em Riscos – ABR

5. Gestão de Perdas – GDP

6. Demandas Regulatórias

7. Segurança Pública – SP

8. Cenários Prospectivos - CE

9. Sistema de Compliance - SC

10. Governança Corporativa - GC


Alguns clientes Brasiliano INTERISK



Linhas de Transmissão

UTE Pecém

Lajeado Energia Porto do Pécem


Clientes Software INTERISK

Lajeado Energia UTE Pecém

Porto do Pécem

Linhas de Transmissão

PROF. DR. ANTONIO CELSO RIBEIRO BRASILIANO, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS

• Membro da Galeria dos Imortais da Academia Brasileira de Ciências Econômicas, Políticas e Sociais – ANE –

Academia Nacional de Economia, ocupando a cátedra 190.

•É Presidente da Brasiliano INTERISK e idealizador do Software - Inteligência em Riscos

Corporativos INTERISK;

• Profissional com experiência nacional e internacional, com mais de 30 anos de mercado, nas áreas de

governança, riscos, compliance, auditoria, controles internos e segurança corporativa, com vivência nos

países: Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México;

• Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique –

UNIVERSITÉ PARIS – EST ( Marne- La- Vallée) – Paris – França;

• Master Degree - Diplome D´Etudes Approfondies (DEA) en Information Scientifique et Technique

Veille Technologique –UNIVERSITÉ TOULON – Toulon - França;

• Especializado em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da

Seguridad Empresarial Internacional pela Universidad Pontifícia Comillas de Madrid – Espanha - DSE;

Planejamento Empresarial pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos

de Pessoal do Exército – CEP – Exército Brasileiro;

• Bacharel em: Ciências Militares, graduado pela Academia Militar das Agulhas Negras

e em Administração de Empresas, graduado pela Universidade Mackenzie;

• Certificações: Certificação Internacional pela Corporación Euro-Americana de Seguridad – CEAS – Espanha em

Especialista em Investigação Empresarial – CIEIE, Certificación Profisional de Seguridad Internacional – CPSI e Certificación

Internacional Gestión de Riesgos – CIGR; pelo IIA Global (Institute of Internal Auditors) Risk Management Assurance

– CRMA; pela Associação Brasileira de Segurança Orgânica - ABSO; Especialista em Segurança Empresarial – CES

• Autor de 17 livros versando sobre Governança, Compliance, Gestão e Análise de Riscos, entre os mais recentes :

Inteligência em Riscos: Gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018 – Método

Avançado Brasiliano; Mundo VICA – Volátil, Incerto, Complexo, Ambíguo; Estamos Preparados?; Fraud Risk Assessment –

FRA – Gestão de Risco de Fraude.

• Professor Convidado: do IPT da USP do Programa de Mestrado; da Fundação Dom Cabral para Cursos de Governança e

Gestão de Riscos; Atual Coordenador Técnico e Professor do MBA - Gestão de Riscos Corporativos em convênio com a

Brasiliano INTERISK e Faculdade de Engenharia de São Paulo – FESP e a Faculdade Brasileira de Tributação - EAD;

Idealizador, Coordenador e Professor do Curso Avançado em Segurança Empresarial – Master Business Security – MBS,

curso este que foi pioneiro no segmento de riscos corporativos, e hoje se encontra na 56ª Turma.

• Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de

Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio – Segurança da Sociedade.


3. Contexto Atual - Mercado e Mundo Corporativo

Era Digital, Pós - Digital e Conectividade neste século XXI

Disruptiva, Veloz,

Ágil

A Revolução Industrial 4.0 integra as tecnologias físicas

e lógicas, como Inteligência Artificial, Robótica,

Computação Cognitiva, Analytics e Internet das Coisas

(IoT). HÁ INTERCONECTIVIDADE EM TUDO!

As outras revoluções industriais vieram com

inovações tecnológicas, com o objetivo de

trazer maior produtividade e eficiência aos

processos.

As empresas necessitam quebrar dogmas da administração,

assumir riscos, serem ousadas para serem competitivas

Uma transformação com uma velocidade cada vez maior....

O Facebook, demorou 07 anos;

O WeChat , apenas 01 ano;

Pókemon Go, aplicativo de jogo, em realidade aumentada, 19 dias

Os celulares quando foram lançados demoraram 12 anos para atingir 50 milhões de

pessoas

A GESTÃO NÃO PODEM RELATAR O QUE ACONTECEU, MAS O QUE PODERÁ VIR A ACONTECER, FUTURO!

ANTECIPAÇÃO

1. Aceitar

2. Não pensar demais 3. Mover-se

Ambiente Pós Digital ou Conectivo exige dos executivos que a velocidade

seja mais importante que a eficácia....

V U C A

Volatidade

Incerteza

Complexidade

Ambiguidade

Visão Velocidade

Agilidade Abundância

Entendimento Não ortodoxia – Não Dogmatizar

Colaboração Entender a conectividade

Co-Criação Interdependência

Ambiente extremamente turbulento

Pensamento Fora da Caixa – INOVAÇÃO CONSTANTE

Outubro de 2011, as ações caíram de 86 dólares para 30 centavos!

Caso Enron, Worldcom, Arthur Andersen

Caso Enron em números: • Em 10 anos a Enron passou de US$ 10 bi em ativos para US$ 65 bi, em 24

dias decretou falência. • Antes do escândalo, a Enron era a 7ª maior empresa dos EUA, avaliada em

US$ 70 bi. • US$ 2 bi em fundos de pensão desapareceram. • 20 mil empregados perderam o emprego.

Fevereiro de 1995 Nick Leeson

Janeiro de 2008 Jerôme Kerviel

Fraudes Bancárias

Novembro de 1995

Novembro de 2010

Novembro de 2004 Edemar Cid Ferreira

Fraudes Bancos Brasileiros

Uma Comissão de inquérito dos Estados Unidos atribui o desastre a:

FALHAS DE GESTÃO, QUE INCAPACITAVA OS INDIVÍDUOS ENVOLVIDOS NA IDENTIFICAÇÃO, AVALIAÇÃO, COMUNICAÇÃO E TRATAMENTO DOS RISCOS DE FORMA ADEQUADA!

Quando Tony Hayward tornou-se CEO da BP em 2007, ele jurou fazer segurança sua prioridade máxima. Dentre as novas

regras que ele instituiu, a necessidade de que todos os funcionários usassem tampas em xícaras de café durante a

caminhada e abstivessem de escrever mensagens de texto enquanto dirigiam.

A Importância de uma Adequada Gestão de Riscos

BP - British Petroleum, em 2010

O Escândalo dos Derramamentos de Petróleo BP

Abril 2010: A explosão da plataforma do Deepwater Horizon provocou o maior desastre ambiental do 21º século. A produtora de gás e petróleo, BP, possui as piores práticas ambientais, segurança e saúde, os quais provocaram prejuízos e custos que excederam, de longe, $25 bilhões de dólares, e destruíram o valor das ações em mais de $ 100 bilhões de dólares.

Consequência direta: - Queda do valor das ações + 50% - Credibilidade da diretoria e Petrobrás - Paralização de obras - Ações na justiça

Fraude - Petrobrás

O Escândalo da Corrupção da Petrobrás

Março 2014: Os executivos e a principal gestão da Companhia de Gás & Petróleo estatal do Brasil foram acusados de propina a oficiais, assim como desvio de dinheiro para uso próprio. Nas investigações criminais, mais de 80 gestores e políticos foram acusados de lavagem de dinheiros e suborno de mais de $8 bilhões de dólares.

6. Conflito de Interesse

Fraude - Petrobrás

6. Conflito de Interesse

O Clube das Empreiteiras nas Obras de Infra estruturas do Brasil

“ ATÉ 2018, QUEREMOS LEVAR O GRUPO AO TOPO DA INDÚSTRIA GLOBAL” Martin Winterkorn - Presidente em 2011na montadora no Tennessee - USA

Ações caíram 34% Multas podem chegar até 18 bilhões de dólares

Fraude - VW - 2015

O Escândalo das Emissões da Volkswagen

Setembro 2015: A Agência de Proteção Ambiental dos EUA flagrou a VW trapaceando nos testes de emissões de diesel, para passar, em falso, pelos níveis máximos permitidos. Os Modelos à diesel possuíam um software instalado para exibir, fraudulentamente, que os carros eram mais ambientalmente amigáveis do que realmente eram. Mais de 11 milhões de carros tiveram de ser reajustados, as multas regulatórias se acumularam em mais de $15 milhões de dólares e as ações criminosas custaram mais bilhares. Os gestores de alto perfil, e o CEO, foram demitidos.

O Escândalo das Contas Falas da Wells Fargo

Setembro 2016: Ao longo do período de 2011 a 2016, os funcionários do Retail Banking criaram 1,5 milhões de contas de depósito falsas e emitiram 0,5 milhões de cartões de créditos falsos, sem o conhecimento ou permissão dos clientes relatados. Os funcionários recorreram à fraude para cumprir as cotas de crescimento desafiadoras. O banco pagou $185 milhões em multas e despediu 5.300 funcionários. alto perfil, e o CEO, foram demitidos.

O Presidente pediu desculpas e assumiu o erro, mas não adiantou....

Fraude - Wells Frago - 2016

O executivo-chefe da Toshiba, Hisao Tanaka, renunciou ao cargo nesta terça-feira (21/07), um dia

depois de uma investigação externa afirmar que ele e outros executivos da empresa foram

responsáveis por um escândalo de contabilidade pelo qual a companhia japonesa de produtos

eletrônicos ampliou artificialmente seus lucros em mais de US$ 1,2 bilhão ao longo de sete anos.

Em um esforço para deixar para trás o que o painel independente descreveu como um problema

"sistêmico", a Toshiba anunciou uma grande reorganização da diretoria, com a saída de 16 membros do

conselho. Isso inclui Tanaka, que era executivo-chefe desde 2013, e seu antecessor, Norio Sasaki, que

vinha atuando como vice-presidente. Sasaki, por sua vez, informou hoje que renunciou ao cargo que

ocupava em um painel de consultores do primeiro-ministro do Japão, Shinzo Abe.

O presidente da Toshiba, Masashi Muromachi, vai atuar como executivo- chefe interinamente e, segundo

a empresa, mais mudanças na diretoria serão anunciadas até o fim deste mês. Em um relatório de 300

páginas que se tornou público hoje, a investigação externa contratada pela Toshiba afirmou que os três

últimos executivos-chefes da empresa tiveram papel ativo na elevação artificial do lucro operacional da

companhia desde 2008.

Segundo o relatório, os executivos pressionaram intensamente as unidades de negócios da Toshiba - que vão desde computadores

pessoais até semicondutores e reatores nucleares - a alcançarem metas de lucro irrealistas. Algumas vezes a diretoria emitia as metas

pouco antes do fim de um trimestre ou um ano, encorajando os diretores das unidades a "esquentarem" os registros. "Os procedimentos

impróprios de contabilidade foram realizados continuamente como uma política da diretoria", diz o relatório.

"Era impossível para qualquer um ir contra essa intenção em meio à cultura corporativa da Toshiba", acrescenta o

documento. O vice-primeiro-ministro do Japão, Taro Aso, expressou decepção com o episódio. "Estou totalmente

desapontado porque isso pode afetar a confiança do investidor no mercado japonês", disse.

Fraude - Toshiba - 2015

Envolvendo a Presidência e Diretoria

A Importância de uma Adequada Gestão de Riscos Rompimento das Barragens Mariana

Outubro 2015 – Risco Operacional - Consequência Estratégica

Hydro Alunorte – Barcarena – Pará

2018 – Vazamento Tóxico – hoje Sem autorização de licença para Operação

4. Governança Corporativa

Compliance Riscos e Controle Interno


4. Governança Corporativa – Sistema

4. Governança Corporativa – Função

A cada um dos mecanismos de governança foi associado um conjunto de

componentes que contribuem direta, ou indiretamente, para o alcance dos

objetivos . São eles:


6. Governança Corporativa – Componentes dos Mecanismos

Controle

• gestão de riscos e controle interno (C1);

• auditoria interna (C2);

• accountability e transparência (C3).

4. Governança Corporativa – Visão Holística – Sistema de Governança

4. Governança – Componentes – Controle – Gestão de Riscos e Controles Internos

Termos relacionados a gestão de riscos e controle interno

• Risco é o efeito da incerteza sobre os objetivos da

organização, Abrange eventos positivos, com o potencial

de agregar valor, e negativos, com o potencial de

destruir valor.

4. Governança – Componentes – Controle – Gestão de Riscos e Controles Internos

• Controle interno é um processo integrado e dinâmico

efetuado pela direção e pelo corpo de colaboradores,

Estruturado para enfrentar riscos e fornecer razoável

segurança de que, na consecução da missão da entidade,

os seguintes objetivos gerais serão alcançados: (1) execução ordenada, ética,

econômica, eficiente e eficaz das operações; (2) cumprimento das obrigações de

accountability; (3) cumprimento das leis e dos regulamentos aplicáveis; (4)

salvaguarda dos recursos, para evitar perdas, mau uso e dano (INTOSAI, 2004).

4. Governança - Componentes – Controle – Gestão de Riscos e Controles Internos

• Evento: incidente ou ocorrência, proveniente de fontes

internas ou externas, que afeta a implementação da

Estratégia ou a realização de objetivos (INTOSAI, 2007).

4. Governança – Componentes – Controle – Auditoria Interna

Prática C2.1 - Estabelecer a função de auditoria

interna.

Prática C2.2 - Prover condições para que a auditoria interna seja

independente e proficiente.

Prática C2.3 - Assegurar que a auditoria interna adicione valor à

organização.

Termos relacionados a auditoria interna

• Estatuto de auditoria interna: documento formal que define o propósito, a

autoridade e a responsabilidade da atividade de auditoria interna. O estatuto de

auditoria interna estabelece a posição da atividade de auditoria interna dentro

da organização; autoriza o acesso aos registros, ao pessoal e às propriedades

físicas relevantes para o desempenho dos trabalhos de auditoria; e define o

escopo das atividades de auditoria interna (IIA, 2011).

• Proficiente: que detém os conhecimentos, as habilidades e outras

competências requeridas para o desempenho eficaz das responsabilidades

profissionais (IIA, 2011, item 1210).

• Zelo profissional devido: zelo e habilidades esperados de um auditor

interno razoavelmente prudente e competente (IIA, 2011, item 1220).

4. Governança – Componentes – Controle – Auditoria Interna

Termos relacionados a auditoria interna

• Estatuto de auditoria interna: documento formal que define o propósito, a

autoridade e a responsabilidade da atividade de auditoria interna. O estatuto de

auditoria interna estabelece a posição da atividade de auditoria interna dentro

da organização; autoriza o acesso aos registros, ao pessoal e às propriedades físicas relevantes

para o desempenho dos trabalhos de auditoria; e define o escopo das atividades de auditoria

interna (IIA, 2011).

• Proficiente: que detém os conhecimentos, as habilidades e outras competências requeridas

para o desempenho eficaz das responsabilidades profissionais (IIA, 2011, item 1210).

• Zelo profissional devido: zelo e habilidades esperados de um auditor interno razoavelmente

prudente e competente (IIA, 2011, item 1220).

4. Governança – Componentes – Controle – Accountability

Prática C3.1 - Dar transparência da organização às partes

interessadas, admitindo-se o sigilo, como exceção, nos

termos da lei.

Prática C3.2 - Prestar contas da implementação e dos resultados dos

sistemas de governança e de gestão, de acordo com a legislação

vigente e com o princípio de accountability.


Prática C3.3 - Avaliar a imagem da organização e a

satisfação das partes interessadas com seus serviços e

produtos.

Prática C3.4 - Garantir que sejam apurados, de ofício, indícios de

irregularidades, promovendo a responsabilização em caso de

comprovação.


Termos relacionados a accountability e transparência

• Accountability: conjunto de mecanismos e procedimentos que levam os

decisores governamentais a prestar contas dos resultados de suas ações,

garantindo-se maiores transparência e exposição das políticas públicas.

Promoção da transparência por meio de informações claras e justas (IIA,

2011). A accountability envolve, além do dever e da responsabilidade de

prestar contas, o desejo de fazê-lo de forma voluntária.


Termos relacionados a accountability e transparência

• Transparência: divulgação oportuna de todas as questões

relevantes relacionadas à organização, inclusive situação financeira,

desempenho, composição e governança da organização (SLOMSKI, 2008).

Transparência nas informações, especialmente nas de alta relevância, que

impactem os negócios e que envolvam resultados, oportunidades e riscos. A

transparência deve situar-se dentro dos limites de exposição que não sejam

conflitantes com a salvaguarda de informações (MATIAS-PEREIRA, 2010).

14 Dezembro de 2011

5. Modelo de Governança das Três Linhas de Defesa

Dezembro de 2011 - Adaptação da

Guidance on the 8th EU Company Law

Directive da ECIIA (Confederação

Europeia dos Institutos de Auditoria

Interna) / /FERMA (Federação

Europeia de Associações de

Gerenciamento de Riscos), artigo 41

Normas imposta pela legislação

europeia aplicáveis às empresas em

toda a União Europeia.

O conselho de administração é responsável pela fiscalização da gestão de riscos da empresa e pelo

framework de controle.

Todos na empresa desempenham uma função na gestão eficaz de riscos, mas a responsabilidade

primária para a gestão e o controle dos riscos é delegada ao nível de gestão adequado dentro da

empresa.

O Presidente da empresa possui responsabilidade final para o framework da gestão de riscos e do

controle interno.


11 Perguntas Chaves:

1. Há tempo suficiente disponível na agenda do comitê executivo para apresentar os resultados das

revisões da gestão de riscos, do controle interno e da auditoria interna?

2. A gestão de riscos e os processos de controle estão alinhados com os objetivos da empresa e de

acordo com as políticas em vigor?

3. A independência da gestão de riscos, do controle interno e da auditoria interna está garantida, para

que o comitê executivo seja informado dos principais riscos e atividades de controle?

4. As recomendações da auditoria são estabelecidas e implementadas com informação e processos de

comunicação transparentes?



5. O comitê executivo está informado dos principais riscos da organização a cada nível?

6. O planejamento de auditoria leva os processos de controle crítico e os principais riscos em

consideração?

7. A empresa possui uma estratégia de riscos? Quem está no comando dessa estratégia? A empresa

definiu a sua tolerância*, apetite* e perfil* de riscos? Existe uma comunicação e compreensão clara

dessa estratégia e procedimentos de riscos?

8. Como os principais riscos ou falhas de controle são escalados dentro da empresa e para quem são

relatados? A empresa identifica e registra os riscos novos e emergentes?



9. Existe uma comunicação adequada com o comitê executivo e acesso direto a ele garantido ao chefe

da auditoria interna? O comitê executivo está informado dos principais riscos da organização a cada

nível?

10. A auditoria interna avalia as primeiras e segundas linhas de defesa?

11. A auditoria interna emite uma opinião anual sobre o controle interno e os sistemas de gestão de

riscos?


O modelo apresenta um novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de

gerenciamento de riscos, e é aplicável a qualquer organização - não importando seu tamanho ou complexidade.

Mesmo em empresas em que não haja uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de Três Linhas

de Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de

riscos.

O modelo de Três Linhas de Defesa é uma forma

simples e eficaz de melhorar a comunicação do

gerenciamento de riscos e controle por meio do

esclarecimento dos papéis e responsabilidades

essenciais.


A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e

controle diariamente. A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando o desenvolvimento e a

implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e

objetivos.

Deve haver controles de gestão e de supervisão adequados em prática, para garantir a conformidade e para enfatizar

colapsos de controle, processos inadequados e eventos inesperados.

Como primeira linha de defesa, os gerentes

operacionais gerenciam os riscos e têm propriedade

sobre eles. Eles também são os responsáveis por

implementar as ações corretivas para resolver

deficiências em processos e controles.


Uma função (e/ou comitê) de gerenciamento de riscos que facilite

e monitore a implementação de práticas eficazes de gerenciamento de riscos por parte da gerência operacional e

auxilie os proprietários dos riscos a definir a meta de exposição ao risco e a reportar adequadamente informações

relacionadas a riscos em toda a organização.

Segunda Linha como supervisora e facilitadora

da primeira linha de defesa.

Dupla Função!


As responsabilidades dessas funções incluem:

1.Apoiar as políticas de gestão, definir papéis e responsabilidades e

estabelecer metas para implementação.

2.Fornecer estruturas de gerenciamento de riscos.

3.Identificar questões atuais e emergentes.

3.Identificar mudanças no apetite ao risco implícito da organização.

4.Auxiliar a gerência a desenvolver processos e controles para gerenciar riscos e questões.

Como funções de gestão, elas podem intervir diretamente, de

modo a modificar e desenvolver o controle interno e os

sistemas de riscos.

Portanto, não pode oferecer análises verdadeiramente

independentes aos órgãos de governança acerca do

gerenciamento de riscos e dos controles internos.


A auditoria interna provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos

controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os

objetivos de gerenciamento de riscos e controle

Os auditores internos fornecem ao órgão de governança e à

alta administração avaliações abrangentes baseadas no

maior nível de independência e objetividade dentro da

organização.


Padrão 2120 – Gerenciamento de riscos

A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria do processo de

gerenciamento de riscos.

Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é um julgamento

resultante da avaliação do auditor interno de que:

Os objetivos organizacionais apoiam e se alinham com a missão da organização.

São identificados e avaliados riscos significativos.

São selecionadas respostas de riscos apropriadas, com alinhamento do apetite de riscos.

As informações dos riscos relevantes são capturadas e comunicadas em tempo hábil em toda a

organização, permitindo que o pessoal, a administração e o conselho executem suas

responsabilidades.


IMPLEMENTAÇÃO

A implementação do Padrão 2120, o gestor de auditoria e toda a atividade de auditoria interna,

deve demonstrar sua compreensão dos processos de gerenciamento de riscos da organização

e buscar oportunidades de melhoria.

Através de conversas com a gerência sênior e o conselho, o CAE considera o apetite de risco,

tolerância ao risco e cultura de risco da organização.

A atividade de auditoria interna deve alertar o gerenciamento para novos riscos, além de riscos

que não foram adequadamente tratados, e fornecer recomendações e planos de ação

para uma resposta adequada ao risco.


IMPLEMENTAÇÃO

Analisa o plano estratégico, o plano de negócios e as políticas da organização para ter discussões

com o conselho e a alta administração, o CAE obtem uma visão para avaliar se os objetivos

estratégicos da organização apoiam e alinham com sua missão, visão e apetite de risco.

Para manter-se atualizado sobre possíveis exposições e oportunidades de risco, a atividade de

auditoria interna também pode pesquisar novos desenvolvimentos e tendências relacionadas à

indústria da organização, bem como processos que podem ser usados para monitorar, avaliar e

responder a riscos e oportunidades considerados estratégicos.


CONSIDERAÇÕES PARA DEMONSTRAR CONFORMIDADE

Documentos que podem demonstrar conformidade com o Padrão 2120 incluem a carta de auditoria interna, que documenta

as funções e responsabilidades da atividade de auditoria interna relacionadas ao gerenciamento de riscos e o plano de

auditoria interna.

Além disso, a conformidade pode ser evidenciada por atas de reuniões em que os elementos do padrão - como as

recomendações de gerenciamento de riscos da atividade de auditoria interna - foram discutidos entre o CAE, o conselho e a

alta administração, ou reuniões entre a atividade de auditoria interna e relevantes Comitês, forças-tarefa e gerenciamento

sênior chave.

As avaliações de risco realizadas pela atividade de auditoria interna e os planos de ação para abordar os riscos, demonstram a

melhoria dos processos de gerenciamento de risco.


Pg. 9


AVALIAÇÃO DO PROCESSO DE GR

O gerenciamento de riscos é um componente crítico do sistema de controle interno, de forma que

os processos deficientes de gerenciamento de riscos são um indicador de que o sistema de

controle interno da organização pode ser deficiente.

Três formas de processos de avaliação que podem ser utilizados na avaliação de um processo de

gerenciamento de riscos:

• Abordagem dos elementos do processo

• Abordagem dos princípios chave

• Abordagem do modelo de maturidade



AUDITORIA BASEADA EM RISCOS - ABR



1. Comunicação e Consulta

Início

Durante

Término

Partes Interessadas, 1ª,2ª , Alta Direção, Conselho de Administração e Comitês.




2. Contexto Interno e Externo




Processo

Avaliado

3. Identificação dos Processos Críticos - BIA




Análise do Gestor Análise do Auditor

3. Identificação dos Processos Críticos - BIA




3. Identificação dos Processos Críticos – BIA (Gestor)

Identificação dos Processos Críticos – BIA (Auditor)




4. Risco Inerente - Contextualização




Análise do Gestor

Análise do Auditor

4. Risco Inerente - Contextualização




4. Risco Inerente - Matriz de Risco (Gestor)




4. Risco Inerente - Matriz de Risco (Auditor)




5. Risco Residual - Controles Chaves




6. Testes de Controles - Avaliação dos Controles

G G A




Risco

Avaliado

Controle

Avaliado

6. Testes de Controles - Avaliação dos Controles




6. Testes de Controles - Parecer dos Controles




Análise do Gestor

Análise do Auditor

6. Testes de Controles - Avaliação do Risco Residual




6. Risco Residual - Matriz de Risco (Gestor)

Risco Residual - Matriz de Risco (Auditor)




7. Plano de Ação




7. Plano de Ação

Gestor




8. Monitoramento e Análise Crítica

Processo Crítico x Risco Inerente Crítico x Controles

Chaves = Risco Residual dentro do Apetite ao Risco




Resultado:

1) Valida o Processo de GRC

2) Testa a Eficácia dos Controles Chaves

3) Sugere Plano de Ação para

o Gestor, tendo em vista, a Ineficácia do Controle

4) Comunica e Relaciona com os

Comitês, Conselho e Diretoria

5) Assessora as Gerências da Primeira e Segunda Linha

Cic

lo A

nu

al

Produtos:

Processos Críticos

Especiais

Contínuas



As responsabilidades do diretor-presidente incluem

certificar-se de que todos os componentes do GRCorp

estejam implementados.

O diretor-presidente geralmente cumpre com as suas

atribuições:

• Reunindo-se periodicamente com os diretores responsáveis pelas principais áreas funcionais – vendas,

marketing, produção, finanças, recursos humanos – para revisar suas responsabilidades, inclusive a forma

como administram riscos. O diretor-presidente adquire conhecimento dos riscos inerentes às operações, às

respostas a risco e às melhorias de controles necessárias, bem como à condição das iniciativas em

andamento.

• De posse dessas informações, o diretor-presidente estará em condições de monitorar as atividades e os riscos

em relação ao apetite a riscos da empresa.


O comitê de auditoria tem como objetivos, entre

outros da área financeira, mas os específicos de

riscos são:

• Supervisionar a adequação dos processos relativos ao gerenciamento de riscos e ao

sistema de controles internos, em linha com as diretrizes estabelecidas pelo CA;

• Supervisionar as atividades dos auditores internos e independentes.


O Conselho de Administração deve:

• Avaliar os riscos estratégicos da empresa;

• Definir seu papel e o dos comitês de assessoramento na

supervisão dos riscos;

• Avaliar se o GRCorp da empresa (incluindo pessoas e

processos) é adequado e tem recursos

• suficientes;

• Discutir com a diretoria executiva o nível de efetividade do sistema de controles internos da organização, assim como

fornecer orientações para o seu aprimoramento constante;

• Definir, junto aos executivos, os tipos, os formatos e a periodicidade da informação sobre riscos e controles internos que

necessita para acompanhamento;

• Monitorar de forma contínua os riscos que podem impactar os objetivos da organização.


ABR , otimiza tempo de coleta de dados, cerca

de 60%, foca em análise, interpretação e

verificação.

EFEITO CEBOLA – MODELO DE GOVERNANÇA DAS 3 LD

6. Conclusão

Contatos

Prof. Dr. Antonio Celso Ribeiro Brasiliano - Presidente da Brasiliano INTERISK

[email protected]

www.brasiliano.com.br

Telefone: +55 11 5531 6171

compliance auditoria interna · outubro de 2011, as ações caíram de 86 dólares para 30...

Documents