Integra da Apresentação
Transcrição
Integra da Apresentação
Avaliação dos controles internos nos prestadores de serviços Marco Antonio Renata Romariz Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Agenda • Objetivo • Cenário atual • Riscos chaves associados a processos terceirizados • Exemplos de serviços terceirizados • Regulamentações que afetam serviços executados nos terceiros • Avaliação dos controles internos dos serviços prestados por terceiros • Benefícios de uma revisão realizada por um terceiro independente • Padrões profissionais aplicados nas revisões de serviços de terceiros PricewaterhouseCoopers Page 2 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Agenda • Objetivo • Cenário atual • Riscos chaves associados a processos terceirizados • Exemplos de serviços terceirizados • Regulamentações que afetam serviços executados nos terceiros • Avaliação dos controles internos dos serviços prestados por terceiros • Benefícios de uma revisão realizada por um terceiro independente • Padrões profissionais aplicados nas revisões de serviços de terceiros PricewaterhouseCoopers Page 3 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Objetivo • Riscos existentes em processos terceirizados. • Modelos para avaliação e revisão dos processos e controles existentes em prestadores de serviços. PricewaterhouseCoopers Page 4 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Agenda • Objetivo • Cenário atual • Riscos chaves associados a processos terceirizados • Exemplos de serviços terceirizados • Regulamentações que afetam serviços executados nos terceiros • Avaliação dos controles internos dos serviços prestados por terceiros • Benefícios de uma revisão realizada por um terceiro independente • Padrões profissionais aplicados nas revisões de serviços de terceiros PricewaterhouseCoopers Page 5 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Cenário Atual • Foco no negócio e aumento da terceirização de processos para prestadores de serviços. • Controles de algumas operações críticas ao negócio foram terceirizados. • Governança corporativa e desempenhos afetados por processos e controles executados nos prestadores de serviços. • A terceirização pode gerar benefícios significativos, mas pode mudar as características dos riscos da Instituição. • As instituições estão sendo cada vez mais requeridas a fornecer mais informações sobre o seu ambiente de controles internos (reguladores, parceiros, clientes) • Necessidade das Instituições criarem mecanismos para obter conforto sobre a qualidade de processos e controles relevantes para o seu negócio. PricewaterhouseCoopers Page 6 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Cenário Atual (cont.) “The use of a service organisation does not reduce management’s responsibility to maintain effective internal control over financial reporting. Rather, management should evaluate controls at the service organisation, as well as related controls at the company, when making its assessment about internal control over financial reporting.” (PCAOB) PricewaterhouseCoopers Page 7 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Cenário Atual (cont.) Algumas reportagens recentes... •“Terceirização de call center deve faturar R$ 10 bilhões até 2012”. • “Terceirização: Terceirização de manutenção de sistemas legados de bancos cresce 27%” • “Terceirização de TI movimentará R$ 15 bi em 2008” • “A terceirização no caminho do crescimento” • “Modelo de terceirização completa avança na América Latina” • “Terceirização: Terceirização é culpada por problemas de segurança, diz pesquisa” • “Empresas vão investir R$ 49 bilhões em terceirização em 2008” • “Terceirização é estratégia de crescimento” PricewaterhouseCoopers Page 8 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Agenda • Objetivo • Cenário atual • Riscos chaves associados a processos terceirizados • Exemplos de serviços terceirizados • Regulamentações que afetam serviços executados nos terceiros • Avaliação dos controles internos dos serviços prestados por terceiros • Benefícios de uma revisão realizada por um terceiro independente • Padrões profissionais aplicados nas revisões de serviços de terceiros PricewaterhouseCoopers Page 9 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Riscos chaves associados a processos terceirizados • Perda de controle • Operacionais • Perdas de competências (“expertises”) internas • Financeiros • Perda de flexibilidade • De imagem • Aumento de custos • De conformidade • Perda da qualidade dos serviços • Problemas culturais • Riscos relacionados ao não alcance de questões que podem ser estratégicas • Confidencialidade PricewaterhouseCoopers Page 10 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Agenda • Objetivo • Cenário atual • Riscos chaves associados a processos terceirizados • Exemplos de serviços terceirizados • Regulamentações que afetam serviços executados nos terceiros • Avaliação dos controles internos dos serviços prestados por terceiros • Benefícios de uma revisão realizada por um terceiro independente • Padrões profissionais aplicados nas revisões de serviços de terceiros PricewaterhouseCoopers Page 11 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Exemplos de alguns serviços terceirizados • Custódia de ativos financeiros • Gestão de ativos financeiros • Controladoria de fundos de investimentos • Transporte de valores • Serviços de RH, incluindo o processamento da folha de pagamentos • Back-office diversos (seguros, fundos, previdências...) • Datacenter (guarda, operação e gerenciamento de mudanças de ambientes de tecnologia, incluindo sistemas e infra-estrutura) PricewaterhouseCoopers Page 12 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Agenda • Objetivo • Cenário atual • Riscos chaves associados a processos terceirizados • Exemplos de serviços terceirizados • Regulamentações que afetam serviços executados nos terceiros • Avaliação dos controles internos dos serviços prestados por terceiros • Benefícios de uma revisão realizada por um terceiro independente • Padrões profissionais aplicados nas revisões de serviços de terceiros PricewaterhouseCoopers Page 13 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Regulamentações que podem afetar serviços terceirizados • Lei Sarbanes Oxley (riscos financeiros) • Acordo da Basiléia • Resolução 3.380 do BACEN de 2006, implementação de um estrutura de gerenciamento de risco operacional. • Regulamentações específicas dos órgãos reguladores do tipo de serviço prestado pela Instituição (instruções da CVM, BACEN, SUSEP, SPC, ANBID dentre outras) PricewaterhouseCoopers Page 14 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Regulamentações que podem afetar serviços terceirizados (cont.) Resolução 3.380 - definição de risco operacional : • Art. 2o. – “...possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos.” Esta definição inclui o risco legal “associado à inadequação ou deficiência em contratos firmados pela Instituição, bem como a sanções em razão do descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição”. PricewaterhouseCoopers Page 15 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Regulamentações que podem afetar serviços terceirizados (cont.) Resolução 3.380 - Eventos relacionados a riscos operacionais: (i) fraudes internas; (ii) fraudes externas; (iii) demandas trabalhistas e a segurança deficiente do local de trabalho; (iv) práticas inadequadas relativas a clientes, produtos e serviços; (v) danos a ativos físicos próprios ou em uso pela instituição; (vi) aqueles que acarretem a interrupção das atividades da Instituição; (vii) falhas em sistemas de tecnologia da informação; (viii) falhas na execução, cumprimento de prazos e gerenciamento das atividades da Instituição. PricewaterhouseCoopers Page 16 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Agenda • Objetivo • Cenário atual • Riscos chaves associados a processos terceirizados • Exemplos de serviços terceirizados • Regulamentações que afetam serviços executados nos terceiros • Avaliação dos controles internos dos serviços prestados por terceiros • Benefícios de uma revisão realizada por um terceiro independente • Padrões profissionais aplicados nas revisões de serviços de terceiros PricewaterhouseCoopers Page 17 29 de maio de 2008 6. Avaliação dos controles internos dos serviços prestados por terceiros • Relatórios SAS 70. • Relatórios ISAE 3402 (em aprovação). • Relatórios de asseguração: NAAE – “Non Audit Assurance Engagement”. • Execução de procedimentos previamente acordados. Avaliação dos controles internos dos serviços prestados por terceiros • Relatórios SAS 70. • Relatórios ISAE 3402. • Relatórios de asseguração: NAAE – “Non Audit Assurance Engagement”. • Execução de procedimentos previamente acordados. Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão SAS 70 - Norma e objetivo • O Statement on Auditing Standards (SAS) No. 70, Service Organizations, é um padrão de auditoria reconhecido internacionalmente e desenvolvido pelo American Institute of Certified Public Accountants (AICPA). • Oferece uma referência para um auditor executar procedimentos em um prestador de serviço, possibilitando a emissão de um parecer sobre os controles dessa organização. • Possibilita que usuários de serviços obtenham segurança independente sobre os controle de seus fornecedores. PricewaterhouseCoopers Page 20 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão SAS 70 – Elementos de controles internos O SAS 70 assume a definição de controles internos do COSO: • Para fornecer segurança razoável sobre o alcance dos objetivos na seguinte área: - Demonstrações financeiras Fora do - Efetividade e eficiência das operações escopo do - Conformidade com leis e regulamentações SAS 70 • Inclui os cinco elementos de controles internos do COSO: - Ambiente de controle - Avaliação de riscos - Informação e comunicação - Monitoramento - Atividades de controle detalhadas PricewaterhouseCoopers Page 21 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão SAS 70 – Partes relacionadas Service Auditor User Auditor SAS70 Service Organization User Organization Subservice Organization PricewaterhouseCoopers Page 22 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão SAS 70 – Partes relacionadas (cont.) A Organização de Serviço contrata uma auditoria para emitir opinião sobre os seus controles internos A Organização Ususária contrata a Organização de Serviço Organização Usuária Organização de Serviço A Organização de Serviço fornece os serviços contratados para a Organização Usuária Auditor da Organização de Serviço Stakeholders Demostrações Financeiras / Controles Internos Relatório SAS 70 O Auditor da Organização Usuária emite opinião sobre as Demostrações Financeiras da Organização Usuária e sobre seus Controles Internos PricewaterhouseCoopers Administração Organização Usuária e seu Auditor avaliam os resultados do SAS 70 Emite opinião sobre os controles internos da Organização de Serviço Fornecido para a Administração da Organização Usuária e seu Auditor Page 23 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão SAS 70 – A quem se aplica • Organizações que forneçam serviços que afetam: • Transações de operações da entidade usuária significantes para as suas demonstrações financeiras. • Os procedimentos da entidade usuária, automatizados ou manuais, por meio dos quais as transações são iniciadas, armazenadas, processadas, e reportadas desde a sua ocorrência até a sua inclusão nas demonstrações financeiras. PricewaterhouseCoopers Page 24 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão SAS 70 – A quem se aplica (cont.) Relacionamento dos controles com as demonstrações financeiras. Financial Statements Balance sheet Income statement Com fo Audit assertions rt Existence / occurrence Completeness Valuation / allocation Control objectives Rights & obligations Presentation & disclosure. Completeness Accuracy Validity Restricted access Comf ort Com f ort User auditor PricewaterhouseCoopers SAS 70 auditor User organisation Service organisation Controls Authorisation / approval Reconciliation Segregation of duties Validation etc. Com fo Testing Inquiry Observation Inspection Reperformance rt Page 25 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão SAS 70 – Tipos de relatórios Tipo 1: Parecer sobre controles implantados . Expressa opinião sobre a implantação dos controles em uma data específica e se estes foram desenhados de forma a atingir os objetivos de controle. Tipo 2: Parecer sobre controles em operação e testes sobre a efetividade operacional . Expressa opinião contemplada no tipo I e apresenta os resultados dos testes sobre a efetividade operacional dos controles para um período (mínimo de seis meses). PricewaterhouseCoopers Page 26 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão SAS 70 – Controles do usuário A seção de considerações sobre os controles do usuário visa ressaltar que: • Os controles da organização de serviços foram desenhados considerando a premissa de que certos controles seriam colocados em operação na organização usuária. • Descrever alguns dos controles que devem estar em operação na organização usuária para complementar os controles da organização de serviço. • Mostrar aos auditores da organização usuária que eles precisam verificar se a organização usuária implementou adequadamente os controles que devem estar em operação para complementar os controles da organização de serviço. PricewaterhouseCoopers Page 27 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão SAS 70 (cont.) • Abordagem para execução de um projeto SAS 70: Planejamento da Auditoria Diagnóstico da Situação Atual Execução dos testes (SAS 70 tipo II) Emissão e Revisão do Relatório Minuta Emissão do Relatório Final Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Planejamento da Auditoria Diagnóstico da Situação Atual Execução dos testes Emissão e Revisão do Relatório Minuta Emissão do Relatório Final Compreende o trabalho conjunto com a administração da organização de serviços para planejar os detalhes do projeto incluindo a definição do seu cronograma e a identificação de responsáveis pelos assuntos tratados no do projeto. PricewaterhouseCoopers Entendimento dos serviços prestados e dos controles da administração, bem como da operação dos serviços, considerando documentação, definição de responsabilidades e desenho dos controles. Execução de testes dos controles da administração, bem como da operação dos serviços, por meio de procedimentos de indagação, observação, exames e re-execuções. Versão minuta do relatório é encaminhada para revisão da administração para assegurar o correto entendimento e descrição dos controles e dos resultados reportados. Entrega do relatório SAS 70 final. Adicionalmente, como valor agregado, serão apresentadas eventuais recomendações de aprimoramento dos controles que forem identificadas durante a auditoria. Page 28 29 de maio de 2008 Avaliação dos controles internos dos serviços prestados por terceiros • Relatórios SAS 70. • Relatórios ISAE3402. • Relatórios de asseguração: NAAE – “Non Audit Assurance Engagement”. • Trabalhos de execução de procedimentos previamente acordados. Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão ISAE 3402 - Norma e objetivo • International Standard on Assurance Engagements – ISAE3402 (publicado pelo IAASB/IFAC): Estabelece regras e padrões específicos para trabalhos de asseguração sobre controles de prestadores de serviços (versão minuta). • O foco desse padrão são os controles do prestador de serviços relevantes para as demonstrações financeiras do seu cliente, porém... • Pode ser também aplicado em projetos para avaliação de outros controles do prestador de serviços, como, por exemplo, controles que afetam questões regulatórias, de produção ou de qualidade dos seus clientes. PricewaterhouseCoopers Page 30 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão ISAE 3402 – Afirmações da administração • A administração do prestador de serviços deve confirmar, em todos os aspectos relevantes, por meio de afirmações disponíveis aos seus clientes que: - Relatório tipo A: • O sistema da organização de serviços que foi desenhado e implementado em uma data específica foi descrito e apresentado adequadamente. • Os controles relacionados aos objetivos de controle apresentados na descrição do sistema da organização de serviços para uma data específica foram desenhados adequadamente. PricewaterhouseCoopers Page 31 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão ISAE 3402 – Afirmações da administração (cont.) - Relatório tipo B: • O sistema da organização de serviços que foi desenhado e implementado para um período específico foi descrito e apresentado adequadamente. • Os controles relacionados aos objetivos de controle apresentados na descrição do sistema da organização de serviços para um período específico foram desenhados adequadamente. • Os controles relacionados aos objetivos de controle apresentados na descrição do sistema da organização de serviços operaram com efetividade para um período específico. PricewaterhouseCoopers Page 32 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão ISAE 3402 – Critérios • Definição de critérios adequados para avaliar se: - Descrição do sistema da organização de serviços foi apresentada adequadamente. - O desenho dos controles relacionados aos objetivos de controle está adequado. - Os controles relacionados aos objetivos de controle operaram com efetividade (tipo B). • Com relação a definição de critérios adequados, o IAASB especificou elementos mínimos que devem ser considerados nos critérios utilizados na auditoria. PricewaterhouseCoopers Page 33 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Padrão ISAE 3402 – Objetivos de controle • Os profissionais com competência e experiência necessárias para execução do projeto devem ter o conhecimento para identificar os objetivos de controle apropriados para os riscos existentes em uma determinada prestação de serviço e, avaliar se a administração identificou na sua descrição e no desenho dos seus controles todos os que eram requeridos. PricewaterhouseCoopers Page 34 29 de maio de 2008 Avaliação dos controles internos dos serviços prestados por terceiros • Relatórios SAS 70. • Relatórios ISAE 3402. • Relatórios de asseguração: NAAE – “Non Audit Assurance Engagement”. • Execução de procedimentos previamente acordados. Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Relatórios de Asseguração – Norma e objetivo • International Standard on Assurance Engagements – ISAE3000 (publicado pelo IAASB/IFAC): Estabelece regras e padrões específicos para trabalhos relacionados a dados que não sejam informações financeiras históricas • Norma IBRACON - NPO 1: Trabalhos de asseguração que não sejam de auditoria ou de revisão de informações financeiras históricas • Não constituem em auditoria ou revisões de informações financeiras históricas • Tem como objetivo aumentar o grau de confiança dos usuários previstos do relatório PricewaterhouseCoopers Page 36 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Relatórios de Asseguração - Elementos • Elementos de um trabalho de asseguração: - Relacionamento de três partes: um profissional (auditor), uma parte responsável e os usuários previstos. Objeto adequado. Critérios adequados. Evidências suficientes e adequadas para respaldar a conclusão. Relatório de asseguração por escrito com a conclusão do profissional. PricewaterhouseCoopers Page 37 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Relatórios de Asseguração – Elementos (cont.) • Relacionamento de três partes: - Profissional: parte que executará os trabalhos para a emissão do relatório. Responsável: responsável pelo objeto. Na maioria dos casos, é a administração (Ex.: administração). Usuários previstos: são as pessoas para as quais o profissional elabora o relatório (Ex.: comitê de auditoria, alta administração, possíveis compradores de um segmento da instituição, órgão regulador). • A parte responsável e os usuários previstos podem pertencer a diferentes entidades ou a mesma entidade. PricewaterhouseCoopers Page 38 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Relatórios de Asseguração – Elementos (cont.) • O objeto pode assumir muitas formas, com informações qualitativas e quantitativas sobre ele, tais como: - Desempenhos financeiros e não financeiros. Características físicas: informações existentes em um documento de especificações. Sistemas e processos: informações em afirmações sobre a sua eficácia. PricewaterhouseCoopers Page 39 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Relatórios de Asseguração – Elementos (cont.) • Critérios de asseguração, usados para avaliar ou medir o objeto: - - Podem ser estabelecidos ou criados especificamente. Critérios estabelecidos: incorporados a leis ou regulamentos ou emitidos por órgãos autorizados ou reconhecidos. Critérios criados especificamente: concebidos para os fins do trabalho. Precisam ser disponibilizados aos usuários previstos para permitir que entendam como o objeto foi avaliado. PricewaterhouseCoopers Page 40 29 de maio de 2008 Avaliação dos controles internos dos serviços prestados por terceiros • Relatórios SAS 70. • Relatórios ISAE 3402. • Relatórios de asseguração: NAAE – “Non Audit Assurance Engagement”. • Execução de procedimentos previamente acordados. Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Avaliação dos controles internos dos serviços prestados por terceiros Execução de procedimentos previamente acordados • A responsabilidade sobre a suficiência dos procedimentos a serem executados com relação ao objetivo que se pretende atingir é das partes que os definiram. • Não há emissão de opinião ou julgamento do profissional que executou o trabalho. • Relatório apresenta os resultados sobre a execução de procedimentos previamente acordados. • Distribuição do relatório é limitada entre as partes que acordaram com a execução dos procedimentos definidos. PricewaterhouseCoopers Page 42 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Agenda • Objetivo • Cenário atual • Riscos chaves associados a processos terceirizados • Exemplos de serviços terceirizados • Regulamentações que afetam serviços executados nos terceiros • Avaliação dos controles internos dos serviços prestados por terceiros • Benefícios de uma revisão realizada por um terceiro independente • Padrões profissionais aplicados nas revisões de serviços de terceiros PricewaterhouseCoopers Page 43 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Benefícios de revisões realizadas nos prestadores de serviços • Benefícios para a instituição cliente: - Resultados de uma avaliação independente sobre o prestador de serviços dando maior transparência e credibilidade aos processos terceirizados. - Padrões SAS 70, ISAE3402 e NAAE: Relatório com opinião independente sobre a avaliação realizada. - Padrões SAS 70, ISAE3402: Descrição detalhada sobre os controles do prestador de serviços, no nível da entidade e das atividades operacionais, bem como sobre os testes e resultados obtidos na avaliação dos controles. - Aprimoramento de questões relacionadas a governança. - Atendimento a questões regulatórias. - Ajuda seus auditores a planejar e executar a auditoria das demonstrações financeiras e dos controles internos da Instituição. PricewaterhouseCoopers Page 44 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Benefícios de revisões realizadas nos prestadores de serviços (cont.) • Benefícios para o prestador de serviço - Diferenciação de seus concorrentes em processos de concorrência. - Aprimoramento da qualidade de seus serviços a partir da aplicação de recomendações relacionadas às melhores práticas e de uma visão externa de especialistas. - Mostrar maior transparência e adquirir maior confiabilidade junto aos seus clientes. - Diminuir o tempo despendido com auditorias externas e internas a medida que um relatório pode atender a vários clientes. - Assegura que todas as organizações usuárias e seus auditores tenham acesso às mesmas informações. PricewaterhouseCoopers Page 45 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Agenda • Objetivo • Cenário atual • Riscos chaves associados a processos terceirizados • Exemplos de serviços terceirizados • Regulamentações que afetam serviços executados nos terceiros • Avaliação dos controles internos dos serviços prestados por terceiros • Benefícios de uma revisão realizada por um terceiro independente • Padrões profissionais aplicados nas revisões de serviços de terceiros PricewaterhouseCoopers Page 46 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Padrões profissionais aplicados nas revisões de serviços de terceiros Alguns padrões reconhecidos utilizados para revisão dos controles dos prestadores de serviços • COSO – Committee of Sponsoring Organizations of the Treadway Comission Structure & Roles • COBIT - Control Objectives for Information and Related Technology • ISO/IEC 17799 - Information Security Management • ITIL - Information Technology Infrastructure Library • People Metrics Controls Processes CMMI – Capability Maturity Model Integration Technology PricewaterhouseCoopers Page 47 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Padrões profissionais aplicados nas revisões de serviços de terceiros - COSO • O COSO (Commitee of Sponsoring Organizations of the Treadway Comission) é uma organização voluntária do setor privado empenhada na melhoria da qualidade dos relatórios financeiros por meio de ética empresarial, controles internos eficazes e governança corporativa. • Esta organização desenvolveu o COSO framework, o modelo de estrutura de controles internos mais utilizado nos Estados Unidos. PricewaterhouseCoopers Page 48 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Padrões profissionais aplicados nas revisões de serviços de terceiros – COSO (cont.) 4 Categorias de Objetivos çã 8 Componentes interrelacionados çã çã çã PricewaterhouseCoopers çã Unidades de uma Organização Page 49 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Padrões profissionais aplicados nas revisões de serviços de terceiros - COBIT • COBIT (Control Objectives for Information and related Technology) desenvolvido pelo ISACA (Information Systems Audit and Control Association) em 1996. • Baseado em padrões geralmente aplicáveis como uma coleção de “melhores práticas” de tecnologia da informação. • Tem como missão pesquisar, desenvolver, divulgar e prover um conjunto de objetivos de controles de TI internacionalmente aceitos, atualizados e confiáveis para uso contínuo de gestores e auditores. • Direcionamento da Governança de TI, relacionando processos, recursos e informações de TI aos objetivos e estratégias de negócio. PricewaterhouseCoopers Page 50 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Padrões profissionais aplicados nas revisões de serviços de terceiros – ISO/IEC 17799 • Define melhores práticas para a gestão de segurança da informação • Provê uma base comum para os aspectos de segurança • Estruturada 12 capítulos: • Análise,avaliação e tratamento de riscos • Política de segurança • Segurança Organizacional • Classificação e controle dos ativos de informação • Segurança em pessoas • Segurança física e do ambiente • Gerenciamento das operações e comunicações • Controle de acesso • Desenvolvimento e manutenção de sistemas • Gestão de incidentes • Gestão da continuidade de negócios • Conformidade PricewaterhouseCoopers Page 51 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Padrões profissionais aplicados nas revisões de serviços de terceiros - ITIL Entrega de Serviços Suporte a Serviços Relacionado com o usuário final • • • • • Gerência de Incidentes Gerência de Problemas Gerência de Configuração Gerência de Mudança Gerência de Liberação PricewaterhouseCoopers Relacionado com os clientes pagantes • Gerência de Nível de Serviço • Gerência de Disponibilidade • Gerência de Capacidade • Gerência de Continuidade de Serviços de TI • Gerência Financeira Page 52 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços Padrões profissionais aplicados nas revisões de serviços de terceiros - CMM • O CMM descreve as melhores práticas que devem ser adotadas para um processo efetivo de desenvolvimento e manutenção de sistemas. • Desenvolvido pelo SEI - Software Engineering Institute sediado na CMU Carnegie Mellon University – US. • O Software Engineering Institute é um centro de pesquisa e desenvolvimento criado em 1984 pelo departamento de defesa do Estados Unidos, e tem por missão aprimorar a prática de Engenharia de Software. PricewaterhouseCoopers Page 53 29 de maio de 2008 Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços © 2008 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the network of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independent legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US). PricewaterhouseCoopers Page 54 29 de maio de 2008