9º CONGRESSO FEBRABAN DE AUDITORIA INTERNA E COMPLIANCE UNIVERSALIZAÇÃO DOS CONTROLES INTERNOS

Transcrição

1 9º CONGRESSO FEBRABAN DE AUDITORIA INTERNA E COMPLIANCE UNIVERSALIZAÇÃO DOS CONTROLES INTERNOS 31 de Outubro de 2008

2 Índice 1. Principais marcos regulatórios que impactam controles internos 2. O papel da área de Controles Internos no atual contexto da integração das ações de governança, gestão de riscos e compliance 3. GRC - ERM e Monitoramento Contínuo de Controles Internos - utilização para otimização de controles internos e dos custos de compliance 4. A estrutura da Petrobras no gerenciamento de riscos e controles internos 5. Experiência da Petrobras na adaptação às novas regras SEC e PCAOB (Audit Standard n.5) 6. Alguns dos principais impactos da Nova Lei das S.A. (11.638) na estruturação dos controles internos 7. Os desafios de alinhamento de controles internos 2

3 3 1. Principais marcos regulatórios que impactam controles internos

4 Marcos Regulatórios Foreign Corruption Practice Act (FCPA) Basel I Accord G-30 CoCo Turnbul I Resolução BACEN ISO COSO Kun Trag CobIT Sarbanes-Oxley Partnering Against Corruption Initiative (PACI) COSO II ERM Open Compliance & Ethics Group (OCEG) Measurement and Metrics Guide S&P's ERM na Avaliação de Rating??? Federal Deposit Insurance Corporation (FDIC) CadBury Basel I Amendment Basel II (US) The New Basel Capital Accord Novas Regras SEC / PCAOB ANZ Proposal for Extractive Global Compact anewcapital Industries da ONU IFRS Phase 2 (Basel II) Adequacy Initiative (EITI) Transparency Globalmente (Liderança Responsável) 4

5 Pacto Global Criação Criado em 1999, pelo o Secretário-Geral da ONU, Kofi Annan, durante o Fórum Econômico de Davos. Objetivo Mobilizar as lideranças da comunidade empresarial internacional para apoiarem as Nações Unidas na promoção de valores fundamentais nas áreas do meio ambiente e dos direitos humanos e trabalhistas. 5

6 Pacto Global Visão Geral O Pacto Global (Global Compact) está baseado na transparência e no incentivo às empresas, à força de trabalho e à sociedade civil para que iniciem e compartilhem ações substantivas direcionadas à prática dos Princípios nos quais o mesmo se baseia, sem ser um instrumento regulador ou fiscalizador das empresas. O Pacto Global não é um instrumento regularizador ou um código de conduta, mas uma plataforma baseada em valores que visam a promover a educação institucional. Utiliza o poder da transparência e do diálogo para identificar e divulgar novas práticas que tenham como base princípios universais, como são aqueles dos direitos humanos. 6

7 Pacto Global Os 10 Princípios As empresas devem: Direitos Humanos Princípio 1: apoiar e respeitar a proteção de direitos humanos reconhecidos internacionalmente; Princípio 2: assegurar-se de que não estejam sendo cúmplices de abusos e violações de direitos humanos. Trabalho Princípio 3: apoiar a liberdade de associação e o reconhecimento efetivo do direito à negociação coletiva; Princípio 4: abolir todas as formas de trabalho forçado ou compulsório; Princípio 5: erradicar efetivamente o trabalho infantil; e Princípio 6: eliminar a discriminação em relação ao empregado e ao cargo. Meio Ambiente Princípio 7: adotar uma abordagem preventiva aos desafios ambientais; Princípio 8: desenvolver iniciativas para promover maior responsabilidade ambiental; e Princípio 9: incentivar o desenvolvimento e difusão de tecnologias limpas que não agridam o meio ambiente. Anticorrupção Princípio 10: comprometer-se com o combate à corrupção em todas as suas formas. 7

8 Pacto Global no Brasil 2000 O Instituto Ethos de Empresas e Responsabilidade Social conduziu um processo de engajamento das empresas brasileiras no desafio proposto pelo ex-secretário Geral das Nações Unidas, Kofi Annan, às empresas de todo mundo: o Pacto Global Foi lançado o evento denominado Diálogo Empresarial sobre os Princípios do Pacto Global. Contou com a presença de mais de 300 representantes de empresas, de organizações da sociedade civil, do meio acadêmico, de jornalistas e de agências das Nações Unidas Foi criado o Comitê Brasileiro do Pacto Global (CBPG), integrando instituições representativas: setor privado, sociedade civil organizada, academia e organizações das Nações Unidas Ocorreu o evento histórico Global Compact Leaders Summit A liderança da rede se dissipou e as atividades do Pacto Global foram inexpressivas O ex-chefe das redes do Pacto Global, Manuel Escuedro, veio ao Brasil e convidou o CBPG para uma reunião mobilizadora, com o intuito de planejar e reiniciar as atividades de PG no Brasil Ocorreu o segundo evento Global Compact Leaders Summit com forte participação de empresas brasileiras. 8

9 Partnering Against Corruption Initiative (PACI) Visão Geral Empresas multisetoriais e multinacionais trabalharam, num esforço conjunto, com o World Economic Forum, Transparency International e o Basel Institue on Governance no desenvolvimento destes Princípios para Combater Subornos Trabalhando Contra a Corrupção. O objetivo destes Princípios PACI é de fornecer uma estrutura para boas práticas empresariais e estratégias de gerenciamento de risco para combater o suborno. Pretende-se que prestem assistência a empresas ao: eliminar subornos; demonstrar seu compromisso de combater o suborno; dar uma contribuição positiva para a melhoria dos padrões empresariais da integridade, transparência e prestação de contas onde quer que elas operem. Os Princípios PACI derivaram de princípios gerais anti-suborno da indústria, desenvolvidos em 2002, pela Transparency International e a coalizão de interesses do setor privado, organizações não governamentais e sindicatos. 9

10 Partnering Against Corruption Initiative (PACI) Princípios Empresarias A empresa deverá proibir o suborno em qualquer forma Suborno é a oferta, promessa ou entrega, bem como pedido ou aceitação, de qualquer vantagem indevida, tanto indireta como indiretamente, de ou para um funcionário público, um candidato e/ou partido político, qualquer funcionário de setor privado. A empresa deverá se comprometer com a continuação ou implementação de um Programa eficaz para combater o suborno Um Programa eficaz é a soma dos esforços anti-suborno de uma empresa, especificamente incluindo seu código de ética, políticas e procedimentos, processos administrativos, treinamento, orientação e supervisão. Este compromisso visa o desenvolvimento e administração de um Programa de conformidade interno que efetivamente faça da política anti-corrupção da empresa uma parte fundamental de sua prática diária. 10

11 The Extractive Industries Transparency Initiative (EITI) Visão Geral A EITI é uma iniciativa voluntária, apoiada por uma coligação de empresas, governos, investidores e organizações da sociedade civil. Apóia os esforços de países ricos em recursos, para uma melhor administração, através da publicação completa e da verificação dos pagamentos das empresas e os rendimentos do governo no setor de petróleo, gás e outros minerais. Muitos países são ricos em petróleo, gás e minerais, e estudos demonstram que quando a administração e boa, tais recursos podem gerar grandes rendimentos que contribuem para o crescimento econômico e para a redução da pobreza. Porém, quando a administração é fraca, estes poderão contrariamente causar pobreza, corrupção e conflito. 11

12 Foreign Corrupt Practices Act (FCPA) - Visão Geral Foreign Corrupt Practices Act (FCPA) é uma lei americana, de 1977, que estabelece punições criminais, pelo pagamento à representantes governamentais estrangeiros, na obtenção de vantagens indevidas. Representantes governamentais estrangeiros incluem: Qualquer representante do governo no exterior. Qualquer partido político estrangeiro ou partido oficial Qualquer candidato a cargo político no exterior Empregados de empresas estatais são, ou devem ser considerados, representantes governamentais. Violações à FCPA podem ocorrer dentro de: Operações no exterior Joint Ventures Fornecimento de recursos Alfândega Transações envolvendo outro país 12

13 Foreign Corrupt Practices Act (FCPA) - Componentes Anti-suborno Pagamento direto ou indireto (em qualquer espécie de valor) para ajudar na obtenção ou manutenção de negócios, ou no direcionamento de uma pessoa a um negócio. Aplicável a qualquer pessoa ou entidade americana, em qualquer localidade, emissor estrangeiro, ou pessoa estrangeira atuando em território americano, na oferta, pagamento ou autorização de pagamento à qualquer oficial estrangeiro com o intuito de auxiliar a entidade na obtenção ou manutenção de negócios, ou no direcionamento de uma pessoa a um negócio. Práticas contábeis Manter livros e registros atualizados; Manter controles internos adequados; Prevenir fatalidade em desembolsos e transações ; Aplicável a qualquer emissor, assim definido pela SEC. 13

14 Foreign Corrupt Practices Act (FCPA) Riscos de Não-Compliance Indivíduos podem sofrer detenção ou multas civis e criminais. Companhias estão sujeitas a : Multas civis e/ou criminais; Desapropriação de lucros; Reputação em risco; Proibição de contratos governamentais; Impacto negativo nos negócios (inclusive perda de transações); Conseqüências indesejáveis, inclusive litígios; Investigações; Perda de executivos através de desistência ou demissão; Supervisão forçada de compliance por especialistas externos. 14

15 Estruturas para Controles Internos COSO Committee of Sponsoring Organizations Elaborado em 1992; Foco em Relatórios Financeiros (Auditoria Externa); Diretrizes de alto nível. COCO Criteria of Control Modelo de controles desenvolvido pelo Criteria of Control Committee of Canadian Institute of Chartered Accountants, em 1995; Concentra-se nos valores comportamentais como a base fundamental para os controles internos de uma companhia, e não na estrutura e nos procedimentos de controle. Turnbull Diretrizes para Diretores sobre o código combinado de Governança Corporativa; O Turnbull exige que as companhias identifiquem, avaliem e administrem seus riscos significativos e avaliem a eficácia do sistema de controles internos relacionado. COSO ERM Modelo de estrutura de controle interno; Utilizado como estrutura para os controles internos das organizações que o utilizam para medir a eficiência dos sistemas de controles internos. CobiT Modelo de estrutura de controles internos para Tecnologia da Informação (TI), orientado para o entendimento e o gerenciamento dos riscos associados, além de assegurar a integridade da informação e dos sistemas de informação. 15

16 Estruturas para Controles Internos - Comparativo Atendimento das diretrizes às melhores práticas de estrutura de controles internos: Pacto Global Partnering Against Corruption Initiative The Extractive Industries Transparency Initiative Foreign Corruption Practice Act COSO Atende Parcialmente Atende Atende Atende COCO Atende Parcialmente Atende Atende Atende Turnbull Atende Parcialmente Atende Atende Atende COSO ERM Atende Parcialmente Atende Atende Atende CobiT Atende Parcialmente Atende Atende Atende O Pacto Global possui princípios universais morais e éticos que estão relacionados aos princípios da Organização (missão, visão, código de ética). No que diz respeito ao princípio de Anti-Corrupção, uma estrutura eficiente de controles internos é capaz de atender às melhores práticas de mercado e mitigar o risco relacionado. 16

17 Fraude no Mercado Brasileiro 86% das empresas consideram fraude uma ameaça 76% das empresas já foram vitimas de fraude devido a ausência de mecanismos internos de prevenção; 43% das perdas financeiras foram geradas por roubo de ativos e falsificação; 79% das fraudes foram geradas por altos níveis hierárquicos, que acabam dando o mau exemplo; Após os eventos ocorridos nos EUA, Ética, Gerenciamento do Risco Corporativo e Responsabilidade Social, estão altamente valorizados por funcionários e clientes. Fonte: Pesquisas sobre fraudes no mercado brasileiro Mapa das fraudes (Em %) Não 15% Não sabe 9% Empresa já foi vítima? Fonte: Jornal Valor Econômico Fonte: Jornal valor Econômico Qual é a posição da pessoa envolvida na fraude? 48 Sim 76% Estagnante 22% 2 Presidente e Diretor Supervisor Decrescente 14% 19 Tendência futura do nível de fraudes 31 Gerente Pessoal de Suporte Crescente 64% 17

18 18 2. O papel da área de Controles Internos no atual contexto da integração das ações de governança, gestão de riscos e compliance

19 O Papel de Controles Internos Os objetivos da implementação de controles nas organizações, incluem: Otimizar os processos internos das organizações, com o objetivo de buscar alternativas viáveis para a redução de custos e aumento de receitas; Desenvolver e implementar processos, para atender aos objetivos de negócios da organização; Adotar critérios de medição de resultados baseado em resultados concretos e na identificação de vantagens competitivas; Avaliar o nível de exposição dos riscos dos processos e os respectivos controles existentes, apontando eventuais melhorias nos controles de forma que os riscos estejam devidamente minimizados e gerenciados; Racionalizar processos, visando eliminar eventuais duplicidades, retrabalhos e atividades improdutivas, bem como oportunidades de automatização. 19

20 O Papel de Controles Internos Resultado esperado de um sistema de controle interno: Ajuda a organização a alcançar seus objetivos pela mitigação de riscos relevantes; Diminui a possibilidade de danos na reputação de uma organização; Ajuda a assegurar que a empresa está cumprindo as leis e regulamentações; Ajuda a garantir a salvaguarda dos bens, exatidão e fidedignidade dos registros; Mantém a exposição a riscos dentro dos limites aceitos pela organização. 20

21 Análise Risco X Controle Ao avaliar a estrutura de controles existente, é necessário considerar o grau de tolerância aos riscos definido pela Alta Administração. Ausência de Controles Controles em Excesso Controles Adequados Riscos Riscos Controles + Tolerância a Riscos Controles + Tolerância a Riscos Riscos Controles + Tolerância a Riscos Exposição a Riscos Inaceitáveis Exposição a Custos Excessivos Controles Internos Eficientes 21

22 Análise Incerteza X Risco e Oportunidade A INCERTEZA TRAZ TANTO O RISCO QUANTO A OPORTUNIDADE O desafio é determinar quanta incerteza o gestor do processo esta disposto a aceitar, mantendo o foco em seus objetivos estratégicos e operacionais. 22

23 23 3. GRC - ERM e Monitoramento Contínuo de Controles Internos - utilização para otimização de controles internos e dos custos de compliance

24 Razão da Gestão de Riscos Corporativa? Preservar / Incrementar o valor da organização Melhores Práticas reduzindo probabilidade/exposição a eventos que causem perdas melhorando resposta a riscos, reduzindo perdas reduzindo o custo de capital, via percepção de melhor perfil de risco pelo mercado Atender exigências legais e societárias SOX e obrigações CVM, SEC, etc. 24

25 Definições Gestão de Riscos Corporativa (ERM) Conceitos fundamentais: é um processo; desempenhado por pessoas, em todos os níveis da organização; alinhado com a estratégia (atendimento dos objetivos); aplicado em toda a organização, considerando uma visão de portfolio; com propósito de identificar eventos que possam afetar essa entidade; e gerenciar os riscos para que se mantenha dentro do nível tolerado. Enterprise Risk Management Framework Committee of Sponsoring Organizations of The Tradeway Commission (COSO) 25

26 Tendências e Movimentos do Mercado As empresas estão buscando aproveitar a estrutura de riscos e controles montada para atendimento à SOX, migrando para o ERM (Enterprise Risk Management), para alcançar melhorias na eficiência. Fonte: Pesquisa global com 435 executivos pela Economist Inteligence Unit, publicada pela KPMG no documento The evolution of risks and controls, nov/2007 Com ERM ou planejando implantar em 3 anos Sem ERM ou não sabe 26

27 Tendências e Movimentos do Mercado S&P está passando, a partir do último trimestre de 2008, a avaliar o grau de maturidade do processo ERM das empresas como um dos itens do seu processo de definição de ratings, incluindo as visões de Políticas, Infra-estrutura e Metodologia, o que inclui a atuação de Controles Internos sobre a mitigação de riscos. Fitch e Moody s estão se preparando para análise semelhante. O grau de maturidade de ERM integrada pode passar a influenciar o custo de captação de capital e o investment grade, o que está impulsionando as empresas no sentido de estudar formas de integração para alcançar uma gestão de riscos e controles estruturada, sendo que a maioria está adotando uma visão de COSO-ERM. 27

28 Tendências e Movimentos do Mercado Posicionamento do S&P sobre ERM 28 Fonte: Standard & Poor s introduction of an ERM evaluation framework, Ernst & Young, 2008

29 Tendências e Movimentos do Mercado Os líderes do mercado ERP estão investindo forte em soluções para o ambiente GRC integrado (riscos e controles). Fonte: Documentações de soluções SAP e Oracle, conforme respectivos sites na Internet 29

30 Nossa Percepção das Tendências e Movimentos do Mercado A maioria das empresas complexas está analisando ou em fase de implantação do ERM integrado. Os projetos de gestão de riscos e controles, com visão corporativa, incluem todas as subsidiárias internacionais, em processo metotologicamente coordenado corporativamente (metodologia, linguagem comum, sistemas de informação de GRC único) Segundo o documento The evolution of risks and controls (op. cit.), da KPMG, as empresas que já implementaram programas de ERM alcançaram um nível de sucesso maior nas atividades de riscos e controles, inclusive com melhoria na eficiência empresarial. As empresas vem efetivamente negociando redução de prêmios de seguros, abrangendo todas as filiais e subsidiárias, quando comprovam que os riscos de negócio são gerenciados efetivamente. 30

31 Nossa Percepção das Tendências e Movimentos do Mercado A experiência e o conhecimento acumulado de compliance em controles internos, para atendimento à SOx e Basileia, é uma valiosa fonte de informação para os próximos passos das organizações A gestão de negócios integrada com a gestão de riscos e controles internos, com alinhamento de estratégia, estrutura, processos e tecnologia da informação, dará uma visão dos riscos e controles relevantes acoplada à cadeia de valor da organização A informações gerenciais de controle interno permitirão painéis cada vez mais automatizados para visão consolidada ou analítica de riscos, decisão sobre o riscos e respostas aos riscos; O desenvolvimento de metodologias e sistemas de informação cada vez mais automatizados e integradas, com bases estatísticas para o monitoramente de riscos e controles internos, é uma realidade irreversível. 31

32 O Desafio de Maturidade de Controles Internos Framework de Maturidade de Controles Internos Onde nossa organização está agora e onde pretende estar num futuro próximo com relação ao ambiente de controles internos, para atender o Plano Estratégico 2020? Framework de Maturidade de Controles Internos Não Confiável Não Confiável Ambiente Imprevisível Ambiente onde controles imprevisívelonde não estão controles não estão desenhados desenhados ou uo implementados Informal Padronizado Informal Padronizado Controles Controlessão são Controles Controlessão são desenhados desenhadose e desenhados, desenhados, implementados, implementados implementados, mas nãosão implementados eestão mas adequadamen não são t eadequadament estão e adequadamente edocumentado adequadamente documentados documentados documentados Monitorado Controles padronizados com periódicos testes de efetividade de desenho e operação com reporte para a Administração Otimizado Controles Internos integrados com monitoramento em tempo real pela Administração e com contínuo aprimoramento Sarbanes-Oxley 32

33 Para obter maior eficiência deve-se alcançar a maturidade de Monitorado e então passar para Otimizado. Maior eficiência implica em processos e controles internos alinhados a riscos e menos custo para sua manutenção. O quadro ao lado demonstra como o aumento no nível de maturidade, para diferentes ambiente de controles, poderá focar em atingir seus resultados. O Desafio de Maturidade de Controles Internos Framework de Maturidade de Controles Internos 33

34 Integrando as Iniciativas de GRC No evento GRC2007, em Las Vegas, Brian Parker, da PricewaterhouseCoopers, na palestra Transform Fragmented Compliance Programs into an Integrated Governance, Risk, and Compliance Strategy, identifica a necessidade de integrar as iniciativas de Governança, Risco e Conformidade (Governance, Risk and Compliance GRC) para obter vantagens competitivas. Conforme citação de Mark Olsen, Chairman do Board do PCAOB, órgão responsável pela aplicação da Lei Sarbanes-Oxley: A common trend for both large and small organizations is the transition away from task-oriented compliance programs to process-oriented compliance programs. Process-oriented programs require compliance to be tested and validated on an ongoing basis. In addition, fragmented and duplicative compliance activities are being scrapped for those that enable an understanding of compliance across the organization. This is not to say, however, that local compliance activities in business units are obsolete but rather they should be part of an integrated, global program. This promotes consistency in expectations, documentation, assessments, and reporting... Fonte: PARKER, Brian. Transform Fragmented Compliance Programs into an Integrated Governance, Risk, and Compliance Strategy. PricewaterhouseCoopers. In: GRC2007. Governance, Risk & Compliance. Las Vegas, Anais Las Vegas: Wellesley Information Services,

35 Integrando as Iniciativas de GRC Na mesma palestra da PWC (PARKER, 2007), o diagrama abaixo ilustra o resultado de atividades de compliance e risco sendo realizadas em silos, de forma não integrada, o que resulta em duplicidade de esforços, processos inconsistentes, falhas de comunicação e fadiga de auditoria (a mesma pessoa sendo auditada diversas vezes). Também ocorre uma alocação ineficiente nas atividades de GRC, o que impacta toda a organização sujeita a atividades de governança de risco. 35

36 Integrando as Iniciativas de GRC NA mesma palestra da PWC (PARKER, 2007) mostra no diagrama abaixo as oportunidades de integração que existem entre as funções que operam tarefas semelhantes de governança sobre atividades relacionadas a risco. O potencial de ganho de cada oportunidade depende da quantidade, do escopo, e da escala das unidades de negócio impactadas por cada função. 36

37 Funções e Responsabilidades Gestão de Riscos Auditoria Interna Gestores e Alta Administração Controles Internos 37 Fonte: Documento conjunto OCEG (Open Compliance and Ethics Group e Ernst & Young, 2007

38 GRC: Saindo dos Silos para a integração 38 Fonte: Reduce the Costs and Increase the Benefits of Compliance Programs with the Right Technology Investment Strategy SAP GRC 2007, Lee Dittmar, Deloitte Consulting

39 O Desafio da Automação de Controles Internos O foco das soluções de monitoramento contínuo de controles (CCM Continuous Control Monitoring) é voltado para a redução do custos de testes, transformando os controles manuais em controles automatizados e monitorando sua eficácia de modo automatizado. Além da redução de custos, existem benefícios adicionais de aumento da garantia de integridade financeira nos relatórios: Consistência melhorada controles manuais estão mais sujeitos a erros e falhas Cobertura melhorada é possível aumentar a cobertura dos testes até 100% das transações numa solução automatizada Sofisticação aumentada a complexidade dos controles não fica limitada aquilo que se pode realizar por processos manuais Tempestividade controles detectivos podem ser executados de forma praticamente instantânea, chegando inclusive a poder bloquear os efeitos de uma possível fraude, ao contrário de um teste posterior ou a uma auditoria Maior quantidade de controles mais controles podem ser automatizados do que seria possível realizar por processos manuais 39

40 O que é Monitoramento Contínuo? Um processo de realimentação automatizada, que permite que a administração verifique que os sistemas operam corretamente e que as transações são processadas conforme previsto nas normas e procedimentos. A administração identifica os pontos críticos de controle e define testes automatizados que verificam se estes controles funcionam adequadamente O processo de monitoramento contínuo normalmente testa automaticamente as transações e as configurações de sistema, confrontando com um conjunto de regras pré-definidas De acordo com as parametrizações, determinadas transações são sinalizadas como exceções, de modo que a administração (*) seja avisada para um exame mais detalhado. Por exemplo, um caso de múltiplos pedidos a um mesmo fornecedor dentro um mesmo período pode sinalizar uma tentativa de contornar limites de alçada. (*) A administração é a primeira cliente do CCM, evitando que os problemas tenham que ser levantados pela Auditoria Interna, por meio do envolvimento dos gestores na administração dos controles internos no dia a dia. 40

41 O que é Monitoramento Contínuo? Dashboard Integrado de Controles Reconciliação Contábil Documentação SOX/Basileia Controles manuais Controles sobre Dados Mestres Controles Transacionais Controles Configuráveis Controles de Acesso Segregação de Funções Controles de Interfaces Controles Gerais de TI Pessoas Processos de Negócios Indicadores 41

42 Exemplos de Indicadores de Monitoramento Contínuo Limites Excedidos Identificar compras acima de R$ x O que poderia acontecer de ruim Acesso a transações sensíveis Mudanças não-autorizadas a Dados-Mestres Mudanças não-autorizadas a controles configuráveis Transações Não-autorizadas Registros duplicados Dados faltando ou incorretos Solução de Monitoramento De Controles Usuários com acesso à transação y Alterações no campo de dados bancários no cadastro de fornecedores Identificar fornecedores com flag desativado para notas duplicadas Identificar se determinado usuário liberou fatura bloqueada Detectar fornecedores com Registro em duplicata Dados-Mestre de fornecedor com dados fiscais faltando Exemplos de Indicadores Conflitos de Segregação de Perfis Acesso para criar fornecedor deve ser segregado de pagamento de faturas Exceções de Datas Produtos recebidos no mesmo dia que a criação do Pedido 42

43 43 4. A estrutura da Petrobras no gerenciamento de riscos e controles internos

44 Organização Geral Petrobras CF Comitê de Auditoria CA Ouvidoria Geral Auditoria Interna Estratégia e Desempenho Empresarial Novos Negócios Comitê de Negócios Diretoria Executiva Presidente Comitê de Gestão de Riscos Comitê de Gestão de Controles Internos Desenvolvimento de Sistemas de Gestão Jurídico Recursos Humanos Gabinete do Presidente Secretaria-Geral Comunicação Institucional Financeira Gás e Energia Exploração e Produção Abastecimento Internacional Serviços Corporativo Corporativo Corporativo Corporativo Corporativo Segurança, Meio Ambiente e Saúde Planej to Financ e Gestão de Riscos Finanças Contabilidade Tributário Relacionamento com Inv estidores Logística e Participações em Gás Natural Operações e Participações em Energia Desenvolvimento Energético Marketing e Comercialização Engenharia de Produção Serviços Exploração Pré-Sal Norte -Nordeste Logística Refino Petroquímica e Fertilizantes Marketing e Comercialização Suporte Técnico aos Negócios Desenv olvimento de Negócios Cone Sul Américas, África e Eurásia Materiais Pesquisa. e Desenvolv imento (CENPES) Engenharia Tecnologia da Informação e Telecomunicações Serviço s Compartilhados Sul -Sudeste 44

45 Estrutura Principal de Gerenciamento de Risco Mercado - Commodities Mercado Câmbio & Taxa de Juros Comitê de Gerenciamento de Risco Áreas de Negócios e Corporativa (Estratégia, Tesouraria, Gerenciamento de Risco, Tributário) Operacional Patrimônio e Responsabilidade Crédito Credit Tributário Discutir e submeter para aprovação da Diretoria Executiva estratégias, ações, normas, procedimentos e limites Comunicar os principais riscos, seus impactos e o plano de mitigação para a Diretoria Executiva Propor e monitorar estratégias, ações, normas, procedimentos e limites Análise de Risco e Plano de Mitigação 45

46 Comitê de Gestão de Riscos Política Corporativa de Gestão de Riscos Comitê de Gestão de Riscos Comitê de Caixa Manual Financeiro Diretriz Aplicações Financeiras Patrimônio e Responsabilidade (Seguros) Commodities Crédito (4) Tributário Manual Financeiro Plano Anual de Seguros Manual Financeiro Diretriz de Commodities Manual Financeiro Manual de Crédito Manual Financeiro Política e Diretriz Tributária ria em implantação 46

47 Política de Gerenciamento de Risco Corporativo A Gestão Integrada de toda Cia. Plano Estratégico Cultura de Gestão de Risco B Princípios Assegurar o Plano de Investimentos Hipóteses conservadoras Curto Prazo x Longo Prazo C Conformidade Legal e Normativa D Utilização criteriosa de derivativos 47

48 48 5. Experiência da Petrobras na adaptação às novas regras SEC e PCAOB (Audit Standard n.5)

49 Nova Abordagem top-down PCAOB AS 5 As regras do Auditing Standard No. 5 (AS 5) e do Management Guide da SEC, editados em julho/2007, foram estruturadas com uma abordagem top-down, para identificar os controles mais relevantes a serem testados, com base em uma avaliação de riscos a partir da análise corporativa (controles em nível de entidade ou Entity Level Controls - ELC), antes da análise dos controles nos processos de negócio, serviço, financeiros e de tecnologia da informação, o que reduz os custos do atendimento à Seção 404 da Lei Sarbanes-Oxley. Esta abordagem segue o mesmo princípio que é aplicado para a auditoria das Demonstrações Financeiras: o auditor externo determina as áreas de foco sobre a identificação das contas e apresentações significativas aos relatórios financeiros divulgados e assertivas relevantes associadas. O ELC indireto abrange tipicamente controles de governança corporativa ( pervasivos ), mas que não atuam diretamente nos processos operacionais. O ELC direto constitui-se de controles corporativos tipicamente de controladoria e que atuam com maior precisão para identificar possíveis erros materiais por falhas nos processos operacionais. FONTE: AS 5 e Management Guide (SEC) 49

50 Conceito Controles Corporativos em Nível de Entidade (ELC) Com base na abordagem de top-down definida no Auditing Standard No. 5, os Controles Corporativos (entity level controls ELCs) devem ser considerados no processo de identificação e avaliação dos controles internos relacionados às demonstrações financeiras. O Auditing Standard No. 5 introduz as categorias de ELC indireto e direto, os quais variam de acordo com a: natureza e precisão; maneira como cada um dos ELCs podem impactar nos testes dos outros controles. Dependendo da precisão e efetividade dos ELC sobre os relatórios financeiros, os níveis de testes a serem realizados pelo auditores externos poderá ser reduzido. 50

51 Definição de Entity Level Indireto Indiretamente relacionados às demonstrações financeiras, podem não ser objetivos na prevenção ou detecção de erros que poderiam resultar em impacto material, mas sua inexistência tem efeito difuso e que alcança o ambiente de controle de toda a organização e seus processos. Uma deficiência nestes controles pode ser interpretada como um indício de degradação do ambiente de controle da organização. As novas regras da SEC e PCAOB não eliminaram a necessidade de avalição dos controles em nível de entidade indiretos, que são efetuadas por: Entrevistas com os principais executivos da Companhia, incluindo Presidente, Diretor Financeiro, Diretores Executivos, entre outros. Realização do teste destes controles através de exame documental. Compilação entre os resultados obtidos da percepção dos executivos versus os testes realizados. 51

52 Controles Corporativos em Nível de Entidade e sua relação com o COSO Exemplos de Controles Corporativos em Nível de Entidade Revisão de Indicadores do Negócio Revisões de Fechamento Cont.b. Políticas, manuais e Procedimentos Management override Comitê Financeiro Compartilhamento de Serviços Auto Avaliação Ambiente de Tecnologia da Informação e ITGC Código de Conduta Canal de Denúncia Auditoria Interna Comitê de Auditoria Enterprise Risk Management - ERM Recursos Humanos X X X X X X X X 52 X X Componentes do COSO X Atividades de Controles diretas X X X X X X X Monitoramento X X X X X X X X X X X X Informação & Comunicação X X X X X X X X Avaliação de Riscos X X X X X X X Ambiente de Controle Programa Anti- Fraude ELC Diretos representam atividades de controles corporativas de alto nível, mas comprovadamente capazes de monitorar e detectar desvios ou erros relevantes e materiais em processos operacionais.

53 Ambiente de Tecnologia da Informação (AS 5 / Management Guide) AS5.36 O auditor também deve entender como a Tecnologia da Informação afeta o fluxo de transações da companhia. A identificação dos riscos e controles na TI não é uma avaliação separada. Em vez disso, ela é uma parte integrante da abordagem top-down usada para identificar contas e divulgações significativas e as suas assertivas pertinentes, e os controles a serem testados, bem como para avaliar o risco e alocar o esforço de auditoria necessário. AU O ambiente de TI impõe riscos específicos para os controles internos de uma entidade, incluindo: confiança nos sistemas ou programas que processam dados inadequadamente, processam dados não exatos ou ambos; acesso não autorizado aos dados podendo resultar na sua destruição ou alterações inadequadas, incluindo o registro de transações não autorizadas ou inexistentes, ou transações inexatas; mudanças não autorizadas nos dados dos master files ; mudanças não autorizadas nos sistemas e programas; falha na realização de mudanças nos sistemas ou programas; intervenções manuais inapropriadas; e perda potencial de dados. 53

54 Ambiente de TI Resumo do AS 5 / Management Guide Relevantes Acesso a Programas e Dados Segurança dos dados e da aplicação Controle sobre os usuários com super-privilégios Contas de usuários e segregação de funções Gestão de Mudanças Requerimento de mudanças e aprovação do negócio Testes de aceitação do usuário Autorização para produção Controles sobre a transferência do sistema para produção Julgamento da Relevância Desenvolvimento de Programas Desenho do sistema Conversão de dados Testes de programas / sistemas Aprovações para passagem a produção Operações de Computador Arquivos batch e controles de monitoramento das interfaces Backups e recuperação de dados Mudanças de infra-estrutura 54

55 Responsabilidade da Área de Controles Internos na Petrobras Coordenar corporativamente a identificação dos requisitos mínimos (desenho dos controles) e o monitoramento das auto-avaliações dos controles internos pelos gestores, para que os os riscos sejam mitigados de de acordo com o apetite a riscos definido pela organização. 55

56 Responsabilidade das Áreas Envolvidas com a Lei SOX e seus Papéis Definição de hierarquia organizacional, no Sistema Petrobras, responsável por controles internos SOX (Gerência Geral de CI) Definição do escopo da certificação: empresas, áreas de negócio, unidades, processos e melhores práticas de controles internos (Gerência Geral de CI) Definição de funções e tarefas dentro do Sistema de Gerenciamento de Controles Internos - MIC (Gerência Geral de CI) Validação do desenho dos processos (GESTOR) Avaliação do desenho dos processos (Gerência Geral de CI) Auto-avaliação do desenho dos controles (GESTOR) Validação da auto-avaliação (Gerência Geral de CI) Teste da eficácia dos controles (AUDITORIA INTERNA) Emissão de relatórios gerenciais (TODOS) Assinatura ( sign off ) eletrônico sobre os controles internos (GESTORES, nos níveis gerenciais em cascata) 56

57 Fases do Processo Anual de Certificação Junho/X1 1 Pré-Avaliação Remediações es 2 Auto-Avaliação Avaliaçã Remediações es 3 Testes Auditoria Interna Remediações es 4 Testes Auditoria Externa Remediações es 5 Sign off 6 Arquivo na SEC Junho/X2 57

58 Entity Level Indireto - Escopo Questionário de Avaliação dos Controles Internos em Nível de Entidade a ser respondido pelos seguintes executivos do escopo SOX 2008 Comitê de Auditoria Presidências Diretorias Gerências Executivas 58

59 Entity Level Indireto Benefícios AS 5 1. Redução do total de perguntas do Questionário de Avaliação dos Controles Internos em Nível de Entidade e sua vinculação com o COSO ERM. 2. Padronização de requisitos mínimos de governança corporativa no Sistema Petrobras associados à estrutura COSO ERM. 3. Melhor dimensionamento dos riscos da Companhia. 4. Maior envolvimento da Alta Administração com os aspectos relacionados aos riscos e controles. 5. Maior envolvimento das demais empresas do Sistema com as práticas mínimas de governança da holding. 6. Redução futura dos custos com os Auditores Externos. 7. Atendimento aos requisitos da Lei Sarbanes Oxley (SOX). 59

60 Evolução do COSO (1992) para o COSO ERM (2004) Estrutura COSO Evolução Estrutura COSO ERM 2004 A Gerência Geral de CI desenvolveu com a Gerência Executiva de TI uma metodologia de desenho e mapeamento de riscos e controles de processos no Aris, com os conceitos do COSO ERM, já utilizada para a SOX em

61 Estrutura CobIT Cobit:Control OBjectives for Information and related Technology (Objetivos de Controles relacionados ao uso de Tecnologia da Informação) Relacionamento com o Negócio: Para fornecer a informação que a organização necessita para atingir seus objetivos de negócios, recursos de TI precisam ser gerenciados através de um conjunto de processos naturalmente agrupados CobIT é a estrutura mais aceita e utilizada no mundo A Gerência de Controles Internos em Tecnologia da Informação customizou o CobIT com foco em gestão de riscos para a certificação SOX na Petrobras em

62 Exemplo da metodologia de mapeamento de riscos e controles em processos 2.EPC Interface de Processos Macroprocesso 1.VAC Processo 2 2.BCD Processo 1 Processo2 Objetivo de controle Objetivo de controle Objetivo de controle Objetivo de controle Evento Inicial Processo 3 Limite de Autoridade Aderência às Regras Integridade Fraude Atividade do Processo Resp ost... Resp ost... Resp ost... Resp ost FAD do EPC 3. FAD do BCD Atividade do Processo Área Responsável Área Responsável Evento Final Atividade do Processo Resp ost... Conta Contabil Interface de Processos Sistema de Informação Ut ilizado Documen tação Utilizada Conta Contabil Conta Contabil 62

63 Categorias de Riscos Corporativos previstos na metodologia PRINCIPAIS RISCOS PARA A CERTIFICAÇÃO SOX EM GOVERNANÇA OU PROCESSOS FONTE: Metodologia de Riscos utilizada pela Consultoria que efetivou o assessoramento para implantação da SOx na Petrobras 63

64 Critérios para Definição do Escopo Processos Etapas para definição do Escopo Petrobras, PIFCO e PEPSA Visão Geral Avaliação de Contas Contábeis + Assertivas Associação Processos à Contas Contábeis Associação do Risco: Empresas Sistema Petrobras Avaliação de Riscos: Áreas e Unidades de Negócios Otimização dos Testes de Controles (ELC Diretos + Operacional) Matriz de Controles 64

65 Critérios para Definição do Escopo de Processos 1. Avaliação das contas contábeis e assertivas Para a definição da relevância das contas contábeis os itens descritos abaixo foram classificados entre alto, médio e baixo: i. risco de exposição: iii. risco de salvaguarda de ativo: Materialidade Volatilidade Atividade Subjetividade Probabilidade de erro Complexidade Deficiências em controles internos ii. risco de fraude contábil: Exposição Procedimentos não usuais/manuais Manipulação de resultados Susceptibilidade interna e externa Volume/Materialidade Continuidade Valor real dos ativos Registros não autorizados 65

66 SOX - Quantidade dos Controles Auto-avaliados e Testados A queda na quantidade de controles testados deve-se a reavaliação dos riscos relevantes de negócio ( Risk Based Approach ), com impacto nos relatórios financeiros, sem aumento da exposição da companhia. A metodologia desenvolvida possibilita padronização desta análise, levando ao contínuo aprimoramento da avaliação de risco da companhia. O compliance racionalizada com a Lei Sarbanes-Oxley libera horas para evolução para a gestão corporativa e integrada de risco e controles. Qtd Qtd Escopo SOx - Processos -22,8% -36,9% -39,2% -22.9% Testes Auto-avaliação Escopo SOx - TI -73,4% -43,8% -87,5% -84,2% Testes Auto-avaliação 66

67 Tecnologia da Informação Principais razões para a significativa otimização de controles de TI com utilização efetiva das novas regras do AS 5 para auto-avaliação e teste Padronização de vários processos de TI (p. ex: Gestão de Mudanças) Utilização de controles já executados para atendimento à certificação ISO Aumento da utilização de controles automatizados. Definição de controles de monitoramento, que substituíram a necessidade de avaliação de diversos controles operacionais. Efetiva documentação da realização de reuniões de análise críticas, com evidências precisas da detecção de problemas e mitigação riscos tempestivamente, que foram utilizados como Entity Level Diretos. Migração da gestão de manutenção de alguns sistemas para a área de desenvolvimento centralizada da gerência corporativa de TI. 67

68 68 6. Alguns dos principais impactos da Nova Lei das S.A. (11.638) na estruturação dos controles internos

69 Novos padrões contábeis - IFRS A rapidez com que muitos dos mercados desenvolvidos estão adotando as normas internacionais indica claramente que dentro em breve essa será a única linguagem contábil existente. Vários países deverão ter suas empresas divulgando informações financeiras de acordo com as normas internacionais de contabilidade. As empresas brasileiras têm diante de si uma oportunidade única de demonstrar a seriedade do seu compromisso com a prática de princípios de governança corporativa de alta qualidade através da adoção dessa linguagem universal. 69

70 Novos padrões contábeis Lei A promulgação da Lei permitirá inserir o Brasil no contexto das normas internacionais de Contabilidade. A Lei, por si só, não nos leva ainda completamente às normas internacionais, mas eliminou algumas regras que impediam a adoção das mesmas. A Lei atribuiu à CVM a responsabilidade de emitir as normas complementares totalmente convergentes com as normas internacionais (IFRS). Permitir que haja a segregação entre a contabilidade societária e a contabilidade tributária. Legitimou o Comitê de Pronunciamentos Contábeis - CPC 70

71 Novos padrões contábeis Lei A essência da Lei leva a profundas mudanças na postura dos contadores, nas formas de pensar Contabilidade e nas formas de se escriturar as demonstrações financeiras. Trata-se da primazia da essência sobre a forma: A Contabilidade deverá retratar a realidade, a essência econômica das transações; Não existirá receita de bolo, se necessitará conhecer profundamente os negócios; Contabilidade baseada em princípios; Exercício de julgamentos, interpretações; Assumir responsabilidade; Baixa objetividade compensada por bons julgamentos. 71

72 Benefícios Esperados Os investimentos do mercado de capitais nunca foram um grupo tão vasto e formado por pessoas com tão diferentes backgrounds socioculturais e variados graus de sofisticação e entendimento da dinâmica de atuação das empresas e dos investimentos financeiros. Quanto maior a transparência, clareza e compreensão das informações financeiras das empresas menor será o risco percebido por um investidor à sua aplicação de recursos e menor será o retorno exigido para o seu investimento, em benefício da redução do custo de capital das empresas; A crescente importância do investimento estrangeiro direto, das operações de fusões e aquisições de empresas e do comércio internacional nos últimos anos tem exigido a criação de uma linguagem contábil única que seja universalmente entendida IFRS tem por objetivo proporcionar essa plataforma universal; e A adoção de um conjunto completo de normas contábeis e de divulgação de informações de qualidade universalmente reconhecida confere credibilidade e transparência à administração e demonstra seu comprometimento com a empresa qualidades fundamentais à boa governança corporativa. 72

73 73 7. Os desafios de alinhamento de controles internos

74 O Desafio de Alinhamento de Controles Internos Gestão Integrada de Controles Internos requer: Planejamento, implementação e monitoramento das políticas, diretrizes e procedimentos de controles internos com ênfase na integração com a Governança Corporativa e Gestão de Riscos; Planejamento e implementação das metodologias de controles internos para o Sistema de empresas e unidades de negócio para criar sinergia e evitar duplicidades de esforços; Desenvolvimento de enfoques, modelos, templates e ferramentas automatizadas para a execução das atividades de controles internos compartilhadas e com visão de ganhos de escala e integração top down e bottom up no Sistema; Prestar suporte às áreas de negócio na identificação, análise, avaliação, tratamento e monitoramento de controles internos e na disseminação dos benchmarkings internos de controles em nível de entidade, processos e TI ou em ações de automatização; Participação nos programas de treinamentos para as competências organizacionais estratégicas oficiais de gestão de riscos e mitigação de impactos. 74

75 O que é necessário? Contar com um um sistema integrado em em que riscos e controles sejam monitorados por todos os os gestores de de processos, com a coordenação corporativa das áreas de de Riscos e Controles Internos e avaliação independente pela Auditoria Interna. 75

76 Requisitos Mínimos Patrocínio e definição clara do processo de governança corporativa (no Sistema como um todo) sobre riscos e controles, visando riscos estratégicos, financeiros, operacionais e regulatórios, com a implementação de uma linguagem comum. Políticas, diretrizes e metodologia corporativas contemplando riscos e controles internos. Definição e monitoramento centralizado de melhores práticas para identificação de riscos e controles, contemplando riscos estratégicos, operacionais e financeiros, além dos regulatórios. Aculturamento dos gestores dos processos de negócio em riscos e controles. Apoio aos gestores dos processos de negócios na identificação de oportunidades de automação e do monitoramento contínuo de riscos e controles. Sistemas de informação que automatizem o processo de documentação e monitoramento de riscos e controles, integrado aos sistemas especialistas para gerenciamento de riscos distribuídos na organização, formando um dashboard executivo, que tanto apoiará os gestores como a alta administração, cada um de acordo com sua alçada de visualização. 76

77 Benefícios Esperados Visão integrada de riscos e controles pela alta administração sobre todo o Sistema, inclusive com agregação de riscos entre subsidiárias e controladas. Governança corporativa sobre riscos e controles com metodologia, atribuições, responsabilidades e relacionamentos padronizados, bem definidos e divulgados. Cultura de gestão de riscos e controles absorvida pelos gestores de processos de negócios e com linguagem comum; Atuação gerencial tempestiva sobre eventuais desvios identificados, por meio do monitoramento contínuo de controles e como uso de workflows automatizados, indicadores de desempenho de processos (KPIs) e indicadores de riscos (KRIs); Redução de custos através das padronizações, aumento de automatização de controles e do monitoramento sobre riscos e controles. Capacidade de demonstrar perante agências de rating um alto grau de maturidade e integração na gestão de riscos e controles, garantindo a manutenção ou a melhoria do posicionamento da empresa nos ratings e redução de custo de capital ou minimização de prejuízos de imagem. Estrutura organizacional otimizada, sem redundâncias nem hiatos. 77

78 Mensagens Finais Atenção ao alinhamento de sistema de crenças da organização, ao patrocínio e à metodologia e linguagem comum, além das ferramentas e modelos instrumentais. Os controles em nível de entidade indiretos continuam sendo a base ideológica de toda a estrutura de controles internos. Gestão de Riscos e Controles é feita por PESSOAS, não por modelos autocráticos, que se desagregam e desatualizam rapidamente. Um sistema de controle interno preservável somente funciona se efetivado com empoderamento do gestor. A principal missão de Controles Internos é focar em forte metodologia conceitual, treinamento aos gestores e monitoramento de exceções. Trabalhar fortemente a cultura organizacional, a comunicação e o treinamento nas competências organizacionais em gestão de riscos e controles. É fundamental a estratégia de consolidação da visibilidade, nos níveis hierárquicos superiores, até o CEO, CFO e CA, com forte apoio em sistema de informação. Use o monitoramento contínuo e os painéis de controle automatizados de KPIs e KRIs como um forte aliado tecnológico futuro para reforçar uma estrutura de controles em nível de entidade direto. 78

79 Contatos Pedro Gauziski de Araújo Figueredo (21) Luiz Claudio Schleder Sampaio (21) Petrobras Gerência Geral de Controles Internos 79