Fórum ABBC Como a atuação integrada do Compliance e da Auditoria Interna pode se tornar estratégica na Governança Corporativa

Transcrição

1 Como a atuação integrada do Compliance e da Auditoria Interna pode se tornar estratégica na Governança Corporativa Maio 2011

2 Agenda 1. Considerações iniciais 2. A Governança Corporativa e seus principais componentes 3. Diferentes tipos de atuação do compliance e auditoria interna 4. Diferenciação de abordagem do compliance e da auditoria interna 5. Indicadores de governança corporativa do compliance e da auditoria interna 6. Contatos PwC 2

3 Considerações iniciais PwC 3

4 Considerações iniciais... Um programa disciplinado e sistemático de compliance e de auditoria inerna precisa ser inserido em um contexto moderno de Governança Corporativa Para evitar surpresas, os acionistas precisam prover seu empreendimento de uma eficaz e eficiente estrutura organizacional As grandes questões envolvidas nesta decisão são: (i) os princípios e valores (ética) organizacionais, (ii) a estratégia operacional, (iii) os riscos inerentes das operações e (iv) o marco regulatório sob o qual elas são realizadas A resposta da administração (gestores) deve ser (i) a consecução diligente das estratégias definidas pelos acionistas e seus conselhos de administração e (ii) o controle das operações (controles internos) tendo em vista os riscos inerentes existentes por meio de monitoração eficiente que redunde em um risco residual conhecido e aceitável PwC 4

5 ... assim... Uma estrutura de Governança que considere estes conceitos deveria contemplar: uma estrutura de suporte à gestão - Gerenciamento de risco matriz de risco e classificação de risco - Controles internos determinação dos controles internos que respondam aos riscos identificados - Compliance criação de ambiente e cultura de cumprimento de marcos regulatórios e normas relacionadas a princípios e valores - Jurídico identificação e interpretação de leis que impactem os negócios uma estrutura de suporte aos acionistas - Conselho de administração apoio na definição de estratégia e do apetite de risco - Comitê de auditoria controle de gestão Auditoria interna verificação da adequação da matriz de risco, da eficácia dos controles internos, da sua suficiência em relação com a matriz de risco, da aderência a normas internas e aos marcos regulatórios e da aderência às estratégias, princípios e valores da organização Auditoria externa O nível de maturidade de uma organização vai determinar a forma como estas tarefas serão divididas entre departamentos da organização, salvaguardada as questões de conflito de interesses. PwC 5

6 Cronologia típica das tarefas Acionistas e seu conselho de administração definem as estratégias e o apetite a risco Acionistas e conselho de administração constituem comitê de auditoria Comitê de auditoria emitem mandato de escopo e abrangência de trabalhos para auditoria interna Auditoria interna funciona como olhos dos acionistas e do conselho de administração - Executando serviços segundo metodologia e planejamento anual específicos para cobertura dos diversos processos operacionais e executando procedimentos específicos de auditoria contínua. Gestores (administradores) dos processos executam suas tarefas operacionais suportados por: Jurídico, que identifica os marcos regulatórios aplicáveis, dá interpretação e divulga a existência de imposições legais Gerência de risco, que mapeia os riscos inerentes das operações, os classifica na matriz de risco segundo critérios de probabilidade de ocorrência e magnitude de possível impacto e identifica o risco residual máximo admitido Controles internos, que desenha os controles internos mais adequados tendo em vista a avaliação de risco Compliance, que dissemina a cultura de compliance, comunica as regras em vigor, treina os empregados, disponibiliza canais de denúncia, analisa desvios e fraudes e sugere as sanções correspondentes PwC 6

7 A Governança Corporativa e seus principais componentes PwC 7

8 Conceito de Governança Corporativa Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas / Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da Empresa, facilitar seu acesso ao capital e contribuir para a sua perenidade. PwC 8

9 Porque o assunto é importante Aumento de regulamentações Complexidade maior devido à globalização Maiores pressões competitivas Novas tecnologias Gestão Corporativa Escândalos éticos e financeiros Expectativas de desempenho direcionadas para a integridade Maiores demandas dos stakeholders Demandas de transparência e prestação de contas PwC 9

10 Evolução da Governança Corporativa Defensiva Evitar conseqüências negativas Estratégica Evitar conseqüências negativas + Habilidade de lidar com o futuro Atuação Reativa Proativa PwC 10

11 Atuação Defensiva da Governança Corporativa Pessoas, cultura and valores Código de conduta Desenvolvimento e planejamento Availiação de Riscos efetuada Políticas e Procedimentos definidos Início das operações Políticas e Procedimentos implementados Dia-a-dia das operações Políticas e Procedimentos incorporados Monitoramento Execução Monitamento Independente Monitoramento gerencial Ação da execução e acompanhame nto Assurance interno (Compliance e Auditoria Interna) Assurance externo Governança Delegações e alocação de recursos Sistemas gerenciais (ilustrativo) Ouvidoria Nenhuma exigência atual Meio Ambiente, Saúde e Segurança Tesouraria e Crédito Relacionamento com clientes Nenhuma exigência atual Nenhuma exigência atual Propriedade Intelectual Recursos Humanos Tecnologia da Informação Jurídico Demonstrações Financeiras Nenhuma exigência atual Nenhuma exigência atual Nenhuma exigência atual Nenhuma exigência atual PwC Comitê de Auditoria, Comitê de Remuneração, Comitê de Risco e Compliance, Diretoria 11

12 Para isso, o Compliance e a Auditoria Interna precisam ser tratadas de forma integradas e consistentes com os objetivos da instituição Governança Define objetivos, políticas, apetite a riscos e responsabilidades. Monitoramento da performance. Gestão de Riscos Corporativos Compliance / Modelo Operacional Cadeia de valores expandida da empresa Copyright: PwC Identificação e gestão dos riscos que podem impedir de se atingir os objetivos, e definição de estratégias de contorno e atividades de controle. Operação em conformidade com os objetivos e assegurando a aderência com as leis e regulamentos, políticas internas e procedimentos e compromissos dos acionistas. PwC 12

13 Se corretamente implementadas e desempenhadas, contribuem para uma gestão empresarial eficaz e efetiva! Visão de Mercado Estratégia Criação de Valor Performance Financeira Estratégia e modelo de negócio Ambiente Competitivo Ambiente Regulatório Ambiente Macro-Econômico Metas e Objetivos do setor Modelo Operacional Setor Governança Consumidores Pessoas Inovação Marcas Logística Questões éticas, sociais e ambientais Posição financeira Riscos Performance econômica Análise do segmento Padrões contábeis Missão da Empresa Valores e Princípios Éticos Cultura Corporativa Governança Corporativa Estratégia Corporativa e Objetivos Apetite de Risco Métricas de Performance Compliance Auditoria Interna Políticas Corporativas Estrutura Governança PwC 13

14 Componentes da Governança Corporativa Risk management Função Compliance Criando cultura e condições de compliance Mapeando e controlando riscos R Função Controles internos Definindo processos e controles internos PwC 14

15 Componentes da Governança Corporativa Função Compliance Criando cultura e condições de compliance Risk management Mapeando e controlando riscos 3 R Função Controles internos Definindo processos e controles internos Sistema de suporte ao gestor operacional 1. Alinhando processos e controles internos a riscos, considerando tolerância, magnitude e probabilidade de ocorrência 2. Comunicando a importância e monitorando a execução de controles internos 3. Identificando as necessidades de compliance, marco regulatório e normas internas 4. Aprovando e acompanhando os procedimentos de controle de gestão PwC 15

16 Componentes da Governança Corporativa Marco relacional Matriz de riscos Auditoria interna Alta administração e conselhos Estratégias, missão, visão, valores Gestores operadores Risk management Função Função Compliance Controles internos R Manuais de procedimentos Processos definidos Sistemas informatizados e infra estrutura tecnológica Bancos de dados e cadastros Pessoas Marco regulatório PwC 16

17 Compliance Cada vez mais, seguir as normas estabelecidas por marcos regulatórios e as impostas (I) pelo mercado e (II) pelo entorno social em que uma empresa se insere deixou de ser uma opção, mas parte do seu modelo de negócios. A preparação de uma organização para estar alinhada com normas e expectativas e o exercício de verificação de aderência são, em resumo, as tarefas relacionadas com a função de compliance. Assim, pilar da governança corporativa, a função de compliance fomenta o respeito às normas e políticas e a mitigação de determinados riscos (imagem, danos à reputação, preservação de receita, atratividade de capitais, etc) Estar em compliance delineia consciência social e cidadania empresarial. PwC 17

18 Compliance Os elementos essenciais a um programa de compliance são: 1. Padrões de conduta e política e procedimentos formalizados. 2. Designação de um CCO ou comitê. 3. Comunicação efetiva e preventiva. 4. Educação e treinamento para fornecer conhecimento efetivo. 5. Canal de comunicação anônima. 6. Monitoramento de não conformidades e ajuda na redução dos problemas relatados. 7. Ações disciplinares e corretivas. Ou seja: comprometimento, implementação, monitoramento/medição e melhoria contínua PwC 18

19 Auditoria Interna A auditoria interna auxilia uma entidade a alcançar seus objetivos estratégicos, adotando uma abordagem sistemática e disciplinada para avaliação e melhoria dos processos de gestão de riscos, controles internos e governança corporativa (compliance e consultoria). Professional Practices Framework-PPF The IIA PwC 19

20 Auditoria Interna Posição independente em relação aos executivos Abrangência compliance e consultoria Competências - riscos, controle interno, processos, IT e governança Forma de atuação - alinhada aos objetivos estratégicos e aos riscos operacionais Valor - auxiliar na consecução dos objetivos estratégicos PwC 20

21 Diferentes tipos de atuação do compliance e da auditoria interna PwC 21

22 Qual a integração da sua atuação de compliance e de auditoria interna? Hoje Amanhã External Audit Treasury Internal Audit Assurance Exigido Health & Safety Legal Risk SOX Legal External Audit Compliance Treasury CSR Basel III PwC 22

23 Qual a integração da sua atuação de compliance e de auditoria interna? External Audit Management Co. Secretariat Low Medium High Basel CSR III Treasury Compliance Health & Safety Legal SOX High 2 3 Risk (PMO) Risk Compliance Internal Audit Systems Dev t S P T T T T Medium Impact Low Key: Likelihood - Primary - Secondary - Tertiary T P S PwC 23

24 Qual o valor agregado da sua atuação de compliance e de auditoria interna? PwC 24

25 Qual o nível se assurance que é dado neste valor agregado? Expectativa de assurance dos stakeholders Systems development Efficiency gains Strategy Delivering future value Improving business performance Investment decisions Process improvement Emerging risks Monetary savings Due diligence Assurance atual Efficiency gains 19 Strategy Delivering future value 18 Process improvement 12 Improving business performance Systems development Investment decisions 23 Emerging risks Monetary savings 4 Due diligence Business systems Projects & major contracts Assessing the future Financial systems Safeguarding Assets Regulatory compliance 6 11 Business systems Projects & major contracts Assessing the future 13 Financial systems 15 Safeguarding Assets 2 25 Regulatory compliance Assessing the present fundamental assurance Assessing the present fundamental assurance Key High Moderate Less than moderate PwC 25

26 O importante é integrar, somar recursos, direcionar o foco e ser efetivo... Actual assurance 7 21 Systems development Efficiency gains Strategy Delivering future value Process improvement Monetary savings Improving business performance Investment decisions Emerging risks Assessing the future Due diligence 7 21 Systems development Internal Audit Risk SOX Legal Health & Safety Compliance Treasury Basel III Co. Secretariat Management External Audit Business systems Projects & major contracts Financial systems Safeguarding Assets Regulatory compliance Assessing the present fundamental assurance Key High Moderate Less than moderate PwC 26

27 Diferenciação de abordagem do compliance e da auditoria interna PwC 27

28 Diferenças de abordagem Dependendo das razões de negócios, da maturidade da organização em relação à Gestão integrada e dos benefícios que a organização pretende obter, o tipo de gestão do compliance variará drasticamente. Gestão de crises Eficácia eficiência Estratégico PwC 28

29 Diferenças de abordagem Uma recente violação de "compliance" resultou em publicidade Compliance adversa para a organização, o que precisa ser abordado urgentemente Direcionado para a crise Direcionada para eficiência e eficácia Custos de atividades relativas a compliance continuam a crescer, mas os benefícios dessas atividades não são claros A administração precisa demonstrar que todos os aspectos do negócio são controlados adequadamente As expectativas do "stakeholder" estão sendo abordadas de maneira ad hoc com pouca ou nenhuma avaliação do seu impacto para alcance dos objetivos de negócios da organização Concorrentes diretos se diferenciaram bem por meio das práticas de compliance não adotadas atualmente pela organização Novas leis e/ou mudanças nas regulamentações requerem reavaliação, e, quando solicitado, realinhamento das práticas de negócios GRC integrada tem sido identificada como uma área em que a organização pode obter vantagem estratégica se administrada de maneira proativa, alcançando o equilíbrio desejado entre o desempenho e a conformidade com as obrigações da organização PricewaterhouseCoopers Audi Brasil Direcionada para a estratégia PwC 29

30 Benefícios das diferenças Para compliance direcionados para crise: - Compliance" de obrigações - Poucos exemplos de non-compliance" - Menos multas por non-compliance" - Melhorias na reputação do mercado - Ambiente de controles internos melhorado - Melhoria no valor do acionista Para compliance direcionados para eficiência e eficácia: - Otimização de custo em relação a atividades relacionadas com compliance - Habilidade contínua da administração em demonstrar que o negócio está controlado adequadamente - Desenvolvimento de estrutura(s) da administração que permitem a minimização de surpresas para os negócios - Melhoria do processo, removendo a duplicação e/ou otimizando as atividades de controle - Melhor percepção do "stakeholder" através de mais qualidade na gestão do "stakeholder, apresentação de relatórios externos e certeza de respeitabilidade Para compliance direcionados para a estratégia: - Maior valor do acionista, obtendo entendimento e acordo das exigências da base de regras correspondente e riscos para obter crescimento e retorno num ritmo que reflita o apetite por risco da organização e os seus objetivos de negócios PwC 30

31 Modelo de maturidade Patrocínio Diretor de Compliance CFO Diretor de Risco CRO Administração da Linha CCO Diretoria CEO Estratégica A minha diretoria é eficaz? Está obtendo as informações corretas? Temos os comitês de diretoria e mandatos corretos? A respeito de que a diretoria deveria estar ciente versus aprovar? Foco do compliance Desempenho Conformidade Crise Eficiência e Eficácia Estratégica Nível 1 Nível 2 Nível 3 Nível 4 Maturidade Eficiência Como reduzo o custo de "compliance" sem comprometer a eficácia? Como elimino a burocracia dos examinadores examinando os examinadores? Como alinho o meu risco operacional e a função de "compliance"? Eficácia Como posso melhorar a eficácia da minha "compliance"? Qual o nível de nossa administração do risco? Qual o nível do entendimento das funções e responsabilidades da gestão de risco? Estamos aplicando bem os princípios de gestão de riscos fundamentais? PwC Crise Como lido com essa nova regulamentação? Como me recupero de uma falha em "compliance"? Quais são os nossos riscos? 31

32 Auditoria Interna Processo de identificação da exposição a riscos Função isolada Foco em transações Suporte gerencial Foco em processos Função isolada de controle e investigação Avaliação do controle (testes de aderência) Ênfase na tarefa Busca de culpados Foco em detecção de fraudes Agente influenciador do auto-controle Ênfase no negócio Busca de soluções Fortalecimento dos sistemas de controle Função integrante do gerenciamento de riscos dos negócios Processo de prevenção de perdas PwC 32

33 Vetores de mudança do compliance e da auditoria interna Abordagem metodológica: Direcionadores do negócio (visão, estratégia, planos, etc.) Alinhamento atual entre estratégia de negócios e TI Estratégia Infra-estrutura Componentes de TI Infra, Telecom, Comunicações, Arquitetura segurança Controles existentes Políticas e procedimentos Papéis e responsabilidades Treinamento e Capacitação Transferência de conhecimento Plano de retenção Processos Pessoas Governança (projetos, prioridades, comitês, etc.) Processos e controles internos ; Procedimentos. Comunicação e nível de suporte aos usuários de TI Controle de mudanças Gerenciamento de stakeholders Controle de reclamações Sistemas e tecnologia Gerenciamento de mudanças Integrações e modelo de informações Processo e equipe de desenvolvimento e manutenção de sistemas Qualidade funcional e atendimento aos requisitos de negócio Plataforma tecnológica (obsolescência, dependência, riscos, etc.) Banco de dados PwC 33

34 Indicadores de governança corporativa do compliance e da auditoria interna PwC

35 Indicadores de Governança Corporativa Objetivos Estratégia Corporativa Alcançar um elevado nível de satisfação dos Comitê de Auditoria; Os direcionadores de auditoria interna e compliance estão inseridos no mais alto nível de governança da organização; Auditoria Interna e Compliance vão ao encontro dos riscos que preocupam o Comitê de Auditoria; Envolvimento de alto nível com o Comitê de Auditoria; Rápido atendimento as demandas especiais do Comitê de Auditoria. PwC 35

36 Indicadores de Governança Corporativa Medidas Estratégia Corporativa Pesquisa satisfação do Comitê de Auditoria; Missão da área revisada anualmente para estar alinhada com a estrutura de governança. Auditoria Interna e Compliance analisam todas as ações de mitigação de risco internas e avalia a sua eficácia; Número de reuniões dos Heads de Auditoria Interna e de Compliance com o presidente do Comitê de Auditoria; Tempestividade e índice de satisfação de performance destas áreas durante o mandado do Comitê de Auditoria. PwC 36

37 Contatos Compliance e Auditoria Interna na PwC Gustavo Lucena Diretor, Auditoria Interna e Áreas de Compliance Telefone: gustavo.lucena@br.pwc.com PwC 37

38 Obrigado! Esta publicação foi preparada apenas para orientações gerais sobre assuntos de interesse, e não constitui aconselhamento profissional. Você não deve agir de acordo com as informações contidas nesta publicação sem obter aconselhamento profissional específico. Nenhuma representação ou garantia (expressa ou tácita) é dada quanto à exatidão ou completude das informações contidas nesta publicação, e, na medida permitida por lei, a PricewaterhouseCoopers, os seus membros, funcionários e agentes não aceitam ou assumem qualquer responsabilidade ou obrigação por quaisquer conseqüências de você ou alguém mais agir, ou se abstenha de agir, devido as informações contidas na publicação ou por qualquer decisão baseada nesta PricewaterhouseCoopers Brasil. Todos os direitos reservados. Neste documento, "PwC" refere-se à PricewaterhouseCoopers Brasil, firma membro da PricewaterhouseCoopers International Limited, constituindo-se cada firma membro da PricewaterhouseCoopers International Limited pessoa jurídica separada e independente.