Gestão de Riscos e Compliance

Prévia do material em texto

<p>Objetivos de Estudo</p><p>Estudante, confira os objetivos propostos para esta Unidade:</p><p>Objetivos:</p><p>Abordar alguns conceitos importantes de riscos, seus tipos e grupos;</p><p>Estudar sobre exposição a riscos, os controles internos na organização, a compliance, o</p><p>programa de gestão de riscos e as responsabilidades dos envolvidos.</p><p>Introdução ao Tema</p><p>A preocupação com os riscos nos negócios das empresas é antiga e assistemática, variando</p><p>conforme a época e seu cenário econômico. Ocorreu a evolução da busca pela eliminação</p><p>do risco em um negócio para a extinção do risco seguida do retorno sobre o investimento.</p><p>Os riscos em um negócio são abrangentes, mas podem ser resumidos em quatro grupos, a</p><p>saber: o operacional, o mercado, o legal e o de crédito. Qualquer ação que possa vir a</p><p>interferir em algum desses aspectos é um risco a ser identificado – e a ser eliminado.</p><p>No que se refere à tecnologia da informação, os serviços estão relacionados ao risco</p><p>operacional e englobam inúmeros enfoques, como fraudes, obsolescência, entre outros.</p><p>Os riscos não só podem impactar uma empresa, como também podem ser menos ou mais</p><p>intensos conforme o foco e tipo de organização, podendo até comprometê-la. E há riscos</p><p>que senão for possível eliminar, podem ser “calculados e previstos” – e, neste caso, a</p><p>organização necessita estar preparada para monitorá-los e mitigá-los.</p><p>Os riscos típicos podem ser identificados como ambientais, políticos, econômicos,</p><p>tecnologia, adequação a sistemas de informação, qualidade de produtos ou serviços,</p><p>infraestrutura na cadeia produtiva ou pessoas.</p><p>Outro aspecto de suma importância é a frequente avaliação da compliance – conformidade</p><p>das ações da empresa com as leis, regulamentações e regulamentos internos e externos.</p><p>As análises dos controles internos por intermédio de equipes treinadas ou contratadas</p><p>especificamente para esta finalidade – os auditores internos e/ou externos – são</p><p>importantes para identificar as fragilidades, as fortalezas e as necessidades de melhorias</p><p>nos processos.</p><p>Essas análises são realizadas pela avaliação dos controles internos, que são as regras e os</p><p>procedimentos nas organizações. Sua validação é proporcional ao seu grau de</p><p>confiabilidade. O uso intenso de computadores torna mais preocupante a avaliação desses</p><p>controles, que devem assegurar e salvaguardar os ativos e dados da empresa.</p><p>A gestão de risco, por sua vez, deve ser uma ação administrativa permanente – na verdade,</p><p>um programa – que averigue permanente e constantemente todas as variáveis possíveis</p><p>relacionadas aos riscos da organização e as correlacione, monitorando o desejado versus o</p><p>real, visando aos ajustes, obrigatoriamente necessários para se manter na “rota”.</p><p>A gestão de riscos é uma cultura que necessita ser desenvolvida e deve ser executada</p><p>diariamente, pois as ações dessa decorrentes melhoram os controles e a gestão, inclusive</p><p>da Tecnologia da Informação (TI), na medida em que ajuda a envolver a equipe de TI na</p><p>busca pela identificação de problemas e nas respectivas ações preventivas.</p><p>Para tanto, é fundamental que seja desenvolvido um programa abrangente e que dê</p><p>suporte a toda a organização, com suas responsabilidades e ações proativas e com</p><p>melhorias contínuas e sistemáticas para a redução dos riscos.</p><p>Assim, esta Unidade irá apresentar os principais conceitos relacionados aos riscos,</p><p>exposição a riscos, controles internos na organização, compliance e o programa de gestão</p><p>de riscos e suas responsabilidades.</p><p>📚 | Orientação para Leitura Obrigatória</p><p>As indicações de leituras obrigatórias são de suma importância ao longo do seus estudos e</p><p>auxiliam no reconhecimento de pontos de vista de diversos autores que contribuirão para</p><p>sua formação profissional e pessoal.</p><p>Gestão de projetos</p><p>CARVALHO, F. C. A. Gestão de projetos. São Paulo: Pearson, 2014. (e-book)</p><p>Gestão de riscos</p><p>ARAI, Carlos (Org.). Gestão de riscos. São Paulo: Pearson, 2015. (e-book)</p><p>Objetivos de Estudo</p><p>Estudante, confira o objetivo proposto para esta Unidade:</p><p>Objetivo:</p><p>Estudar alguns dos possíveis frameworks utilizados pelas organizações para determinar e</p><p>avaliar o valor agregado dos sistemas de informação para a empresa. Estas estruturas</p><p>contribuem para que a área de tecnologia da informação esteja alinhada com as melhores</p><p>práticas que atendem à governança corporativa e aos requisitos de segurança necessários</p><p>para evitar, reduzir ou eliminar os riscos de suas operações.</p><p>Introdução ao Tema</p><p>A utilização cada vez mais intensa da tecnologia de informação traz consigo maior</p><p>preocupação com a segurança da informação e com os riscos de perdas, uso inadequado,</p><p>dentre outras preocupações.</p><p>O mercado impõe as regras e o Instituto Brasileiro de Governança Corporativa (IBGC)</p><p>chegou a publicar um documento para orientar as empresas a identificar e reduzir os riscos</p><p>das empresas.</p><p>Para o IBGC, gerenciar riscos deve ser uma atividade preventiva e com o uso de sistemas de</p><p>informações que apoiem essa atividade. O Instituto sugere uma estrutura de trabalho para</p><p>se gerir os riscos em uma organização, a partir da identificação e classificação do perfil dos</p><p>riscos relativamente aos objetivos da organização.</p><p>Propõe que sejam os riscos avaliados, mensurados e tratados, mediante um mapa de</p><p>riscos, elaborando um plano de ação para eliminá-los ou reduzi-los e, assim, serem</p><p>monitorados mediante o acompanhamento de relatórios comparativos entre o previsto e o</p><p>realizado, para que, na sequência, sejam devidamente comunicados às partes interessadas</p><p>e envolvidas. O Instituto também orienta na criação de uma estrutura básica para implantar</p><p>seu framework, partindo dos processos críticos.</p><p>O Comitê de Organizações Patrocinadoras da Comissão Treadway – Comissão Nacional de</p><p>Relatórios Financeiros Fraudulentos (COSO) –, formado em 1985 e patrocinado por um</p><p>grupo de associações e institutos de contabilidade profissional, com a finalidade de</p><p>contribuir para a prevenção de fraudes nos processos, procedimentos e controles internos</p><p>de uma empresa, propôs também a sua estrutura – reconhecida também como melhores</p><p>práticas.</p><p>O Comitê vem atualizando as suas propostas desde que foi criado, e seu documento</p><p>Enterprise Risk Management – Integrated Framework – (ERM) teve a sua última atualização</p><p>em abril de 2017. Essas atualizações visam melhorar seu conteúdo e relevância devido à</p><p>complexidade crescente no ambiente empresarial, de forma a colaborar com a valorização</p><p>da organização e a gestão de riscos, que determina a sua utilidade, transparência,</p><p>valoração, relevância, aptidão e eficácia.</p><p>Um framework também bastante aplicado é o criado pela Information Systems Audit and</p><p>Control Association – Associação de Auditoria e Controle de Sistemas de Informação (ISACA)</p><p>–, responsável pelo desenvolvimento e distribuição do Control Objectives for Information</p><p>and Related Technologies (CobiT), atualmente na versão 5, que é um framework de</p><p>governança e gestão corporativa de Tecnologia da Informação (TI).</p><p>Este vem contribuir com as organizações para a criação de valor da tecnologia da</p><p>informação, de maneira a buscar o equilíbrio entre os benefícios e a potencialização dos</p><p>níveis de risco e uso de recursos. Enfoca a governança corporativa de TI e mostra a</p><p>diferença entre governança e gestão, enfatiza o uso corporativo desse framework e ressalta</p><p>o papel da alta administração nas tomadas de decisões de TI.</p><p>A versão 5 declara que a TI deve ser governada e gerida de forma integral para toda a</p><p>organização, abrangendo todas as áreas e funções de TI, e ainda considerando os</p><p>interesses internos e externos a ela relacionados. É uma estrutura genérica, podendo ser</p><p>útil para empresas de todos os portes e de qualquer natureza.</p><p>📚 | Orientação para Leitura Obrigatória</p><p>As indicações de leituras obrigatórias são de suma importância ao longo do seus estudos e</p><p>auxiliam no</p><p>reconhecimento de pontos de vista de diversos autores que contribuirão para</p><p>sua formação profissional e pessoal.</p><p>Gestão de projetos</p><p>CARVALHO, F. C. A. Gestão de projetos. São Paulo: Pearson, 2014. (e-book)</p><p>Gestão de riscos</p><p>ARAI, Carlos (Org.). Gestão de riscos. São Paulo: Pearson, 2015. (e-book)</p>