Monitoramento Contínuo com SAP GRC Process Control - Visão do Negócio Marcio Tangerini, CISA, CRISC Gerente Setorial de Controle e Conformidade Tecnologia e Infraestrutura de Sistemas de Informação e Automação Eduardo Ibrahim, CISA, CRISC Gerente do Projeto de Monitoramento Contínuo
Agenda Petrobras Descritivo do Negócio A Estratégia Corporativa e seus Desafios Utilização do GRC-Process Control Alavancando o investimento realizado Monitoramento Contínuo Conceito Níveis de maturidade Participação da Administração e Auditoria Exemplo Consulta aos dados Definição de regras Resultados Benefícios esperados Fatores críticos de sucesso Realidade atual
Petrobras Descritivo do Negócio Com atividades em 27 países, Petrobras é uma empresa integrada internacional de energia, 7ª maior empresa mundial de energia com capital aberto (conforme ranking PFC Energy 2013). Dados do relatório anual 2012: Lucro Líquido: R$ 21,182 bilhões. Pessoal: Cerca de 62.000 (Pessoal próprio, excluindo contratados). Reservas provadas de óleo e gás: 16,41 bilhões boe (SPE criteria). Plano de Negócios 2012-2016: US$ 236,5 bilhões.
Estratégia Corporativa e seus Desafios Desempenho - Gestão focada no atendimento das metas físicas e financeiras de cada projeto. Disciplina de Capital - Garantir a expansão dos negócios da Empresa com indicadores financeiros sólidos. Premissas do Planejamento Financeiro: Não emitir novas ações; Manutenção do Grau de Investimento. Companhia de capital aberto e controlada pelo governo.
Estratégia Corporativa e seus Desafios Início Projeto PRISMA Implantação do Sistema MIC 1ª. Certificação SOX Implantação do GRC-PC 2.5 Set-04 Out-04 Nov-04 Jan-05 Abr-06 2007 2008 2009 2010 2011 2012 PWC KPMG Criação da Área de Controles Internos Instrução CVM 480/09 Implantação do GRC-PC v10
Utilização do GRC - Process Control Assinatura (sign-off) das organizações. Monitoramento e remediação dos pontos críticos. Autoavaliação e teste de controles no nível de entidade (ELC). Autoavaliação de desenho de controle. Teste da efetividade de controle. Autoavaliação de subprocessos. Mapeamento do catálogo de processos, objetivos de controle e riscos.
Alavancando o investimento realizado Aproveitar o investimento já realizado no sistema utilizado para a certificação SOX e suas novas funcionalidades na versão 10. Extração de mais valor para o negócio das informações já disponíveis no ERP, associando riscos e controles à estratégias de negócio. Ampliação na verificação de riscos com base na matriz atual de certificação. Revisão dos controles manuais, buscando oportunidades de maior automação. Aumento do alcance e efetividade por parte dos Gestores, de Compliance/Controles Internos e da Auditoria Interna no processo de avaliação e teste dos controles.
Conceito de Monitoramento Contínuo Monitoramento Contínuo é a automatização do processo de controles internos implantado pela Administração da organização para assegurar que as políticas, procedimentos e processos de negócio estejam funcionando adequadamente para que os objetivos empresariais sejam alcançados. Os Gestores devem avaliar a adequação e efetividade desses controles. Compliance/Controles Internos assessoram na sua implantação. Auditoria Interna monitora sua efetividade e planeja seus testes com base nas deficiências encontradas nele. Foco no apoio à gestão (gerenciamento) Melhoria de processos Re-avaliação de controles Oportunidade de criação de controles preventivos Periodicidade baseada na frequência do controle do processo acordada com o Gestor. O Gestor deve receber a informação diretamente e verifica a efetividade da remediação ou a rejeição do ponto crítico. Utiliza Testes automáticos. Também pode ser chamado de: Continuous Monitoring (CM) Continuous Controlling Monitoring (CCM)
Níveis de maturidade em controles internos
Participação da Administração e Auditoria
Exemplo: Convênio ICMS 52
Consulta aos dados
Definição Regras
Resultado Referente ao ambiente de Qualidade (QA)
Benefícios Benefícios Esperados Alertar previamente a Administração da empresa sobre problemas que só seriam descobertos pela Auditoria Interna, Externa ou órgãos de Controle. Auxiliar no envolvimento dos gerentes na disciplina de gerenciamento de riscos, com participação no fluxo de tomada de decisão. Aumentar a governança corporativa prevenindo violações nas regras de negócio em processos-chaves e evitando exposição da alta administração. Fortalecer a disciplina de capital evitando pagamentos duplicados, descontos incorretos, garantias, limites orçamentário ou de custos e aplicações indevidas etc. Diminuir custos para manter exigências regulamentares e maior facilidade para expansão na abrangência dos processos de conformidade; Acompanhar tempestivamente indicadores de desempenho empresarial. Otimizar o ciclo de gerenciamento de riscos.
Fatores críticos de sucesso Fatores críticos de sucesso Conhecimento funcional dos processos e conhecimento técnico do ambiente de sistemas de informação. Base de conhecimento de riscos e controles. Eventos de riscos a prevenir (histórico de perdas). Características de anomalias já materializadas (erros e irregularidades). Detalhamento dos controles, regras e critérios. Acesso aos insumos (relatórios, pareceres, dados e informações). Apoio da TIC na disponibilização do ambiente tecnológico adequado e performático. Integração conceitual das bases de riscos e controles pelas áreas envolvidas, se possível em um único GRC.
Realidade Atual Muito investimento em ERP e BI mas ainda não se chegou, plenamente, à onda de utilização dessas bases para amplitudevelocidade-redução de custos com GRC e seu decorrente aumento de desempenho empresarial. A ausência de ambiente de monitoramento de controles automatizados confiável dificulta o pleno foco em utilizar seus resultados para julgamentos e estimativas que impactam o negócio.
Obrigado! marcio.tangerini@petrobras.com.br eduardo.ibrahim@petrobras.com.br