Integra da Apresentação

Transcrição

Avaliação dos
controles internos nos
prestadores de
serviços
Marco Antonio
Renata Romariz
Fórum ABBC - Avaliação dos controles internos nos prestadores de serviços
Agenda
•
Objetivo
•
Cenário atual
•
Riscos chaves associados a processos
terceirizados
•
Exemplos de serviços terceirizados
•
Regulamentações que afetam serviços
executados nos terceiros
•
Avaliação dos controles internos dos
serviços prestados por terceiros
•
Benefícios de uma revisão realizada por
um terceiro independente
•
Padrões profissionais aplicados nas
revisões de serviços de terceiros
PricewaterhouseCoopers
Page 2
29 de maio de 2008
Agenda
•
Objetivo
•
Cenário atual
•
terceirizados
•
•
•
•
•
Page 3
29 de maio de 2008
Objetivo
• Riscos existentes em processos terceirizados.
• Modelos para avaliação e revisão dos processos e
controles existentes em prestadores de serviços.
Page 4
29 de maio de 2008
Agenda
•
Objetivo
•
Cenário atual
•
terceirizados
•
•
•
•
•
Page 5
29 de maio de 2008
Cenário Atual
• Foco no negócio e aumento da terceirização de processos para prestadores
de serviços.
• Controles de algumas operações críticas ao negócio foram terceirizados.
• Governança corporativa e desempenhos afetados por processos e controles
executados nos prestadores de serviços.
• A terceirização pode gerar benefícios significativos, mas pode mudar as
características dos riscos da Instituição.
• As instituições estão sendo cada vez mais requeridas a fornecer mais
informações sobre o seu ambiente de controles internos (reguladores,
parceiros, clientes)
• Necessidade das Instituições criarem mecanismos para obter conforto sobre
a qualidade de processos e controles relevantes para o seu negócio.
Page 6
29 de maio de 2008
Cenário Atual (cont.)
“The use of a service organisation does not reduce
management’s responsibility to maintain effective internal
control over financial reporting. Rather, management should
evaluate controls at the service organisation, as well as
related controls at the company, when making its
assessment about internal control over financial reporting.”
(PCAOB)
Page 7
29 de maio de 2008
Cenário Atual (cont.)
Algumas reportagens recentes...
•“Terceirização de call center deve faturar R$ 10 bilhões até 2012”.
• “Terceirização: Terceirização de manutenção de sistemas legados de bancos cresce
27%”
• “Terceirização de TI movimentará R$ 15 bi em 2008”
• “A terceirização no caminho do crescimento”
• “Modelo de terceirização completa avança na América Latina”
• “Terceirização: Terceirização é culpada por problemas de segurança, diz pesquisa”
• “Empresas vão investir R$ 49 bilhões em terceirização em 2008”
• “Terceirização é estratégia de crescimento”
Page 8
29 de maio de 2008
Agenda
•
Objetivo
•
Cenário atual
•
terceirizados
•
•
•
•
•
Page 9
29 de maio de 2008
Riscos chaves associados a processos terceirizados
• Perda de controle
• Operacionais
• Perdas de competências
(“expertises”) internas
• Financeiros
• Perda de flexibilidade
• De imagem
• Aumento de custos
• De conformidade
• Perda da qualidade dos serviços
• Problemas culturais
• Riscos relacionados ao não
alcance de questões que podem
ser estratégicas
• Confidencialidade
Page 10
29 de maio de 2008
Agenda
•
Objetivo
•
Cenário atual
•
terceirizados
•
•
•
•
•
Page 11
29 de maio de 2008
Exemplos de alguns serviços terceirizados
• Custódia de ativos financeiros
• Gestão de ativos financeiros
• Controladoria de fundos de investimentos
• Transporte de valores
• Serviços de RH, incluindo o processamento da folha de
pagamentos
• Back-office diversos (seguros, fundos, previdências...)
• Datacenter (guarda, operação e gerenciamento de
mudanças de ambientes de tecnologia, incluindo sistemas
e infra-estrutura)
Page 12
29 de maio de 2008
Agenda
•
Objetivo
•
Cenário atual
•
terceirizados
•
•
•
•
•
Page 13
29 de maio de 2008
Regulamentações que podem afetar serviços terceirizados
• Lei Sarbanes Oxley (riscos financeiros)
• Acordo da Basiléia
• Resolução 3.380 do BACEN de 2006, implementação de
um estrutura de gerenciamento de risco operacional.
• Regulamentações específicas dos órgãos reguladores do
tipo de serviço prestado pela Instituição (instruções da
CVM, BACEN, SUSEP, SPC, ANBID dentre outras)
Page 14
29 de maio de 2008
(cont.)
Resolução 3.380 - definição de risco operacional :
• Art. 2o. – “...possibilidade de ocorrência de perdas resultantes de falha,
deficiência ou inadequação de processos internos, pessoas e sistemas, ou de
eventos externos.”
Esta definição inclui o risco legal “associado à inadequação ou deficiência em
contratos firmados pela Instituição, bem como a sanções em razão do
descumprimento de dispositivos legais e a indenizações por danos a terceiros
decorrentes das atividades desenvolvidas pela instituição”.
Page 15
29 de maio de 2008
(cont.)
Resolução 3.380 - Eventos relacionados a riscos operacionais:
(i) fraudes internas;
(ii) fraudes externas;
(iii) demandas trabalhistas e a segurança deficiente do local de trabalho;
(iv) práticas inadequadas relativas a clientes, produtos e serviços;
(v) danos a ativos físicos próprios ou em uso pela instituição;
(vi) aqueles que acarretem a interrupção das atividades da Instituição;
(vii) falhas em sistemas de tecnologia da informação;
(viii) falhas na execução, cumprimento de prazos e gerenciamento das
atividades da Instituição.
Page 16
29 de maio de 2008
Agenda
•
Objetivo
•
Cenário atual
•
terceirizados
•
•
•
•
•
Page 17
29 de maio de 2008
6. Avaliação dos controles
internos dos serviços
prestados por terceiros
• Relatórios SAS 70.
• Relatórios ISAE 3402 (em
aprovação).
• Relatórios de asseguração: NAAE –
“Non Audit Assurance Engagement”.
• Execução de procedimentos
previamente acordados.
Avaliação dos controles internos
dos serviços prestados por
terceiros
• Relatórios ISAE 3402.
Avaliação dos controles internos dos serviços prestados por terceiros
Padrão SAS 70 - Norma e objetivo
• O Statement on Auditing Standards (SAS) No. 70, Service
Organizations, é um padrão de auditoria reconhecido
internacionalmente e desenvolvido pelo American Institute
of Certified Public Accountants (AICPA).
• Oferece uma referência para um auditor executar
procedimentos em um prestador de serviço, possibilitando
a emissão de um parecer sobre os controles dessa
organização.
• Possibilita que usuários de serviços obtenham segurança
independente sobre os controle de seus fornecedores.
Page 20
29 de maio de 2008
Padrão SAS 70 – Elementos de controles internos
O SAS 70 assume a definição de controles internos do COSO:
• Para fornecer segurança razoável sobre o alcance dos objetivos na
seguinte área:
- Demonstrações financeiras
Fora do
- Efetividade e eficiência das operações
escopo do
- Conformidade com leis e regulamentações SAS 70
• Inclui os cinco elementos de controles internos do COSO:
- Ambiente de controle
- Avaliação de riscos
- Informação e comunicação
- Monitoramento
- Atividades de controle detalhadas
Page 21
29 de maio de 2008
Padrão SAS 70 – Partes relacionadas
Service
Auditor
User
Auditor
SAS70
Service
Organization
User
Organization
Subservice
Organization
Page 22
29 de maio de 2008
Padrão SAS 70 – Partes relacionadas (cont.)
A Organização de Serviço contrata uma auditoria
para emitir opinião sobre os seus controles internos
A Organização Ususária contrata a
Organização de Serviço
Organização Usuária
Organização de
Serviço
A Organização de Serviço fornece os serviços
contratados para a Organização Usuária
Auditor da Organização de Serviço
Stakeholders
Demostrações
Financeiras /
Controles Internos
Relatório SAS 70
O Auditor da Organização
Usuária emite opinião sobre
as Demostrações
Financeiras da Organização
Usuária e sobre seus
Controles Internos
Administração Organização Usuária
e seu Auditor avaliam os resultados
do SAS 70
Emite opinião sobre os controles
internos da Organização de Serviço
Fornecido para a Administração da
Organização Usuária e seu Auditor
Page 23
29 de maio de 2008
Padrão SAS 70 – A quem se aplica
• Organizações que forneçam serviços que afetam:
• Transações de operações da entidade usuária significantes para as
suas demonstrações financeiras.
• Os procedimentos da entidade usuária, automatizados ou manuais,
por meio dos quais as transações são iniciadas, armazenadas,
processadas, e reportadas desde a sua ocorrência até a sua
inclusão nas demonstrações financeiras.
Page 24
29 de maio de 2008
Padrão SAS 70 – A quem se aplica (cont.)
Relacionamento dos controles com as
demonstrações financeiras.
Financial Statements
Balance sheet
Income statement
Com
fo
Audit assertions
rt
Existence / occurrence
Completeness
Valuation / allocation
Control objectives
Rights & obligations
Presentation & disclosure.
Completeness
Accuracy
Validity
Restricted access
Comf
ort
Com
f ort
User auditor
SAS 70 auditor
User organisation
Service organisation
Controls
Authorisation / approval
Reconciliation
Segregation of duties
Validation
etc.
Com
fo
Testing
Inquiry
Observation
Inspection
Reperformance
rt
Page 25
29 de maio de 2008
Padrão SAS 70 – Tipos de relatórios
Tipo 1: Parecer sobre controles
implantados
. Expressa opinião sobre a implantação dos
controles em uma data específica e se estes
foram desenhados de forma a atingir os
objetivos de controle.
Tipo 2: Parecer sobre controles em
operação e testes sobre a efetividade
operacional
. Expressa opinião contemplada no tipo I e
apresenta os resultados dos testes sobre a
efetividade operacional dos controles para
um período (mínimo de seis meses).
Page 26
29 de maio de 2008
Padrão SAS 70 – Controles do usuário
A seção de considerações sobre os controles do usuário visa ressaltar
que:
• Os controles da organização de serviços foram desenhados
considerando a premissa de que certos controles seriam colocados
em operação na organização usuária.
• Descrever alguns dos controles que devem estar em operação na
organização usuária para complementar os controles da
organização de serviço.
• Mostrar aos auditores da organização usuária que eles precisam
verificar se a organização usuária implementou adequadamente os
controles que devem estar em operação para complementar os
controles da organização de serviço.
Page 27
29 de maio de 2008
Padrão SAS 70 (cont.)
• Abordagem para execução de um projeto SAS 70:
Planejamento da
Auditoria
Diagnóstico da
Situação Atual
Execução dos testes
(SAS 70 tipo II)
Emissão e Revisão
do Relatório Minuta
Emissão do
Relatório Final
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Planejamento da
Auditoria
Diagnóstico da
Situação Atual
Execução dos
testes
Emissão e Revisão
do Relatório Minuta
Emissão do
Relatório Final
Compreende o
trabalho conjunto
com a administração
da organização de
serviços para planejar
os detalhes do
projeto incluindo a
definição do seu
cronograma e a
identificação de
responsáveis pelos
assuntos tratados no
do projeto.
Entendimento dos
serviços prestados e
dos controles da
administração, bem
como da operação
dos serviços,
considerando
documentação,
definição de
responsabilidades e
desenho dos
controles.
Execução de testes
dos controles da
administração, bem
como da operação
dos serviços, por
meio de
procedimentos de
indagação,
observação, exames
e re-execuções.
Versão minuta do
relatório é
encaminhada para
revisão da
administração para
assegurar o correto
entendimento e
descrição dos
controles e dos
resultados
reportados.
Entrega do relatório
SAS 70 final.
Adicionalmente,
como valor agregado,
serão apresentadas
eventuais
recomendações de
aprimoramento dos
controles que forem
identificadas durante
a auditoria.
Page 28
29 de maio de 2008
terceiros
• Relatórios ISAE3402.
• Trabalhos de execução de
procedimentos previamente acordados.
Padrão ISAE 3402 - Norma e objetivo
• International Standard on Assurance Engagements – ISAE3402
(publicado pelo IAASB/IFAC): Estabelece regras e padrões
específicos para trabalhos de asseguração sobre controles de
prestadores de serviços (versão minuta).
• O foco desse padrão são os controles do prestador de serviços
relevantes para as demonstrações financeiras do seu cliente,
porém...
• Pode ser também aplicado em projetos para avaliação de outros
controles do prestador de serviços, como, por exemplo, controles que
afetam questões regulatórias, de produção ou de qualidade dos seus
clientes.
Page 30
29 de maio de 2008
Padrão ISAE 3402 – Afirmações da administração
• A administração do prestador de serviços deve confirmar, em todos
os aspectos relevantes, por meio de afirmações disponíveis aos seus
clientes que:
-
Relatório tipo A:
• O sistema da organização de serviços que foi desenhado e
implementado em uma data específica foi descrito e
apresentado adequadamente.
• Os controles relacionados aos objetivos de controle
apresentados na descrição do sistema da organização de
serviços para uma data específica foram desenhados
adequadamente.
Page 31
29 de maio de 2008
Padrão ISAE 3402 – Afirmações da administração (cont.)
-
Relatório tipo B:
• O sistema da organização de serviços que foi desenhado e
implementado para um período específico foi descrito e
apresentado adequadamente.
serviços para um período específico foram desenhados
adequadamente.
serviços operaram com efetividade para um período
específico.
Page 32
29 de maio de 2008
Padrão ISAE 3402 – Critérios
• Definição de critérios adequados para avaliar se:
- Descrição do sistema da organização de serviços foi
apresentada adequadamente.
- O desenho dos controles relacionados aos objetivos
de controle está adequado.
- Os controles relacionados aos objetivos de controle
operaram com efetividade (tipo B).
• Com relação a definição de critérios adequados, o IAASB
especificou elementos mínimos que devem ser
considerados nos critérios utilizados na auditoria.
Page 33
29 de maio de 2008
Padrão ISAE 3402 – Objetivos de controle
• Os profissionais com competência e experiência
necessárias para execução do projeto devem ter o
conhecimento para identificar os objetivos de controle
apropriados para os riscos existentes em uma
determinada prestação de serviço e, avaliar se a
administração identificou na sua descrição e no
desenho dos seus controles todos os que eram
requeridos.
Page 34
29 de maio de 2008
terceiros
Relatórios de Asseguração – Norma e objetivo
• International Standard on Assurance Engagements – ISAE3000
(publicado pelo IAASB/IFAC): Estabelece regras e padrões
específicos para trabalhos relacionados a dados que não sejam
informações financeiras históricas
• Norma IBRACON - NPO 1: Trabalhos de asseguração que não
sejam de auditoria ou de revisão de informações financeiras
históricas
• Não constituem em auditoria ou revisões de informações financeiras
históricas
• Tem como objetivo aumentar o grau de confiança dos usuários
previstos do relatório
Page 36
29 de maio de 2008
Relatórios de Asseguração - Elementos
• Elementos de um trabalho de asseguração:
-
Relacionamento de três partes: um profissional
(auditor), uma parte responsável e os usuários
previstos.
Objeto adequado.
Critérios adequados.
Evidências suficientes e adequadas para respaldar
a conclusão.
Relatório de asseguração por escrito com a
conclusão do profissional.
Page 37
29 de maio de 2008
Relatórios de Asseguração – Elementos (cont.)
• Relacionamento de três partes:
-
Profissional: parte que executará os trabalhos para a emissão
do relatório.
Responsável: responsável pelo objeto. Na maioria dos casos,
é a administração (Ex.: administração).
Usuários previstos: são as pessoas para as quais o
profissional elabora o relatório (Ex.: comitê de auditoria, alta
administração, possíveis compradores de um segmento da
instituição, órgão regulador).
• A parte responsável e os usuários previstos podem pertencer a
diferentes entidades ou a mesma entidade.
Page 38
29 de maio de 2008
• O objeto pode assumir muitas formas, com informações
qualitativas e quantitativas sobre ele, tais como:
-
Desempenhos financeiros e não financeiros.
Características físicas: informações existentes em
um documento de especificações.
Sistemas e processos: informações em afirmações
sobre a sua eficácia.
Page 39
29 de maio de 2008
• Critérios de asseguração, usados para avaliar ou medir o
objeto:
-
-
Podem ser estabelecidos ou criados especificamente.
Critérios estabelecidos: incorporados a leis ou
regulamentos ou emitidos por órgãos autorizados ou
reconhecidos.
Critérios criados especificamente: concebidos para os
fins do trabalho.
Precisam ser disponibilizados aos usuários previstos
para permitir que entendam como o objeto foi avaliado.
Page 40
29 de maio de 2008
terceiros
Execução de procedimentos previamente acordados
• A responsabilidade sobre a suficiência dos procedimentos a
serem executados com relação ao objetivo que se pretende
atingir é das partes que os definiram.
• Não há emissão de opinião ou julgamento do profissional que
executou o trabalho.
• Relatório apresenta os resultados sobre a execução de
procedimentos previamente acordados.
• Distribuição do relatório é limitada entre as partes que
acordaram com a execução dos procedimentos definidos.
Page 42
29 de maio de 2008
Agenda
•
Objetivo
•
Cenário atual
•
terceirizados
•
•
•
•
•
Page 43
29 de maio de 2008
Benefícios de revisões realizadas nos prestadores de serviços
• Benefícios para a instituição cliente:
- Resultados de uma avaliação independente sobre o prestador de serviços dando
maior transparência e credibilidade aos processos terceirizados.
- Padrões SAS 70, ISAE3402 e NAAE: Relatório com opinião independente sobre a
avaliação realizada.
- Padrões SAS 70, ISAE3402: Descrição detalhada sobre os controles do prestador de
serviços, no nível da entidade e das atividades operacionais, bem como sobre os
testes e resultados obtidos na avaliação dos controles.
- Aprimoramento de questões relacionadas a governança.
- Atendimento a questões regulatórias.
- Ajuda seus auditores a planejar e executar a auditoria das demonstrações financeiras
e dos controles internos da Instituição.
Page 44
29 de maio de 2008
Benefícios de revisões realizadas nos prestadores de serviços (cont.)
• Benefícios para o prestador de serviço
- Diferenciação de seus concorrentes em processos de concorrência.
- Aprimoramento da qualidade de seus serviços a partir da aplicação de
recomendações relacionadas às melhores práticas e de uma visão externa
de especialistas.
- Mostrar maior transparência e adquirir maior confiabilidade junto aos seus
clientes.
- Diminuir o tempo despendido com auditorias externas e internas a medida
que um relatório pode atender a vários clientes.
- Assegura que todas as organizações usuárias e seus auditores tenham
acesso às mesmas informações.
Page 45
29 de maio de 2008
Agenda
•
Objetivo
•
Cenário atual
•
terceirizados
•
•
•
•
•
Page 46
29 de maio de 2008
Padrões profissionais aplicados nas revisões de serviços de
terceiros
Alguns padrões reconhecidos utilizados para revisão dos
controles dos prestadores de serviços
• COSO – Committee of Sponsoring Organizations
of the Treadway Comission
Structure
&
Roles
• COBIT - Control Objectives for Information and
Related Technology
•
ISO/IEC 17799 - Information Security
Management
•
ITIL - Information Technology Infrastructure
Library
•
People
Metrics
Controls
Processes
CMMI – Capability Maturity Model Integration
Technology
Page 47
29 de maio de 2008
terceiros - COSO
• O COSO (Commitee of Sponsoring Organizations of the
Treadway Comission) é uma organização voluntária do setor
privado empenhada na melhoria da qualidade dos relatórios
financeiros por meio de ética empresarial, controles
internos eficazes e governança corporativa.
• Esta organização desenvolveu o COSO framework, o modelo de
estrutura de controles internos mais utilizado nos Estados
Unidos.
Page 48
29 de maio de 2008
terceiros – COSO (cont.)
4
Categorias
de Objetivos
çã
8
Componentes
interrelacionados
çã
çã
çã
çã
Unidades de
uma
Organização
Page 49
29 de maio de 2008
terceiros - COBIT
• COBIT (Control Objectives for Information and related Technology)
desenvolvido pelo ISACA (Information Systems Audit and Control
Association) em 1996.
• Baseado em padrões geralmente aplicáveis como uma coleção de
“melhores práticas” de tecnologia da informação.
• Tem como missão pesquisar, desenvolver, divulgar e prover um
conjunto de objetivos de controles de TI internacionalmente aceitos,
atualizados e confiáveis para uso contínuo de gestores e auditores.
• Direcionamento da Governança de TI, relacionando processos,
recursos e informações de TI aos objetivos e estratégias de negócio.
Page 50
29 de maio de 2008
terceiros – ISO/IEC 17799
• Define melhores práticas para a gestão de segurança da informação
• Provê uma base comum para os aspectos de segurança
• Estruturada 12 capítulos:
• Análise,avaliação e tratamento de riscos
• Política de segurança
• Segurança Organizacional
• Classificação e controle dos ativos de informação
• Segurança em pessoas
• Segurança física e do ambiente
• Gerenciamento das operações e comunicações
• Controle de acesso
• Desenvolvimento e manutenção de sistemas
• Gestão de incidentes
• Gestão da continuidade de negócios
• Conformidade
Page 51
29 de maio de 2008
terceiros - ITIL
Entrega de Serviços
Suporte a Serviços
Relacionado com o usuário final
•
•
•
•
•
Gerência de Incidentes
Gerência de Problemas
Gerência de Configuração
Gerência de Mudança
Gerência de Liberação
Relacionado com os clientes
pagantes
•
Gerência de Nível de Serviço
•
Gerência de Disponibilidade
•
Gerência de Capacidade
•
Gerência de Continuidade de
Serviços de TI
•
Gerência Financeira
Page 52
29 de maio de 2008
terceiros - CMM
• O CMM descreve as melhores práticas
que devem ser adotadas para um
processo efetivo de desenvolvimento e
manutenção de sistemas.
• Desenvolvido pelo SEI - Software
Engineering Institute sediado na CMU Carnegie Mellon University – US.
• O Software Engineering Institute é um
centro de pesquisa e desenvolvimento
criado em 1984 pelo departamento de
defesa do Estados Unidos, e tem por
missão aprimorar a prática de
Engenharia de Software.
Page 53
29 de maio de 2008
© 2008 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the network
of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independent
legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US).
Page 54
29 de maio de 2008

Integra da Apresentação

Transcrição

Documentos relacionados

Parecer Dirigente do Controle Interno

iso iec 17799

salário mínimo nacional

Modulo I – Introdução aos Conceitos de Controles Internos

Habilitando os Controles ActiveX

Reforço dos Direitos de Maternidade e Paternidade

Objetos de Interação

http://www.escolasercrianca.com.br/site No último dia 12 de agosto

gestão da propriedade rural - CRMV-RS