Governança, Risco e Compliance

Este módulo demostra como incidentes ligados a falhas nas áreas de Governança, Gestão de Riscos e Conformidade podem comprometer o valor de mercado e o lucro das empresas, além de apresentar alguns conceitos importantes para a compreensão da integração de GRC.

• A necessidade do GRC
• Cases de empresas afetadas por problemas de GRC
• Definições
• Stakeholder
• Sociedades Anônimas
• Shareholders
• Bolsa de Valores

Este módulo explica, através de eventos históricos, como as pessoas se comportavam em relação ao risco e como a matemática e estatística criaram uma nova visão sobre a causa dos eventos. Paralelamente, a história da Governança Corporativa é contada em uma linha do tempo que começa com a primeira sociedade de ações do mundo, em 1250, e avança até a crise da Enron, que culminou na Lei Sarbanes-Oxley.

A linha histórica da conformidade aparece como uma resposta a eventos como a quebra da bolsa de NY em 1929 e a quebra da Enron. Por esse motivo, esses eventos são apontados como marcos de governança e conformidade.

• Risco
  • • A Vontade dos Deuses dita as regras, Algarismos Indo-Arábicos
    • 1654 – Luca Paccioli e o desafio da renascença
    • 1703 a 1760 – Jabob Bernoulli e a lei dos grandes números
    • 1875 – Regressão a média
    • 1952 – Ovos em cestas separadas
    • 1992 – O Cubo COSO
    • 2004 – Coso II

• Governança
  • • 1250 – Societe des Moulins bu Bazacle
    • 1600 – Companhia das Índias Orientais
    • 1602 – Amsterdam Stock Exchange
    • 1915 a 1929 – A Economia Liberal
    • 1929 – Euforia na Bolsa de NY
    • 1929 – O Crash da Bolsa de NY
    • 1930 – A Grande Depressão
    • 1961 – A Criação da OECD
    • 1980 – O Ativismo de Robert Monks
    • 1992 – O Relatório Cadbury
    • 1999 – Os Princípios de Governança da OECD
    • Enron
• Compliance
  • • 1934 – New Deal e a SEC
    • 1969 – A Criação da ISACA
    • 1976 – A CVM no Brasil
    • 1973 – A Criação da IASC
    • 1977 – A FCPA
    • 1985 – COSO
    • 1992 – A Convença o anti-suborno da OECD
    • 1996 – HIPAA
    • 1996 – Cobit 1.0
    • 1998 – The Anti-Bribery Act
    • 1998 – O Acordo de Basileia
    • 1999 – Gramm-Leach-Bliley Act
    • 2002 – A Lei Sarbanes-Oxley
    • 2004 – Basileia II
    • 2004 – IFRS
    • 2005 – O Roubo de dados de Cartões de Crédito na TJX
    • 2006 – O PCI Council
    • 2010 – Basileia III

Este módulo apresenta os conceitos de governança (corporativa e de TI), visando criar um melhor entendimento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecnologia da Informação e Segurança da Informação para que estas áreas estejam alinhadas aos objetivos da alta gestão.

Governança Corporativa – Definições do IBGC (Instituto Brasileiro de Governança Corporativa), níveis de governança e o novo mercado da Bovespa, transparência, equidade, prestação de Contas, responsabilidade corporativa, conselho de administração, relações com os investidores, gestão de riscos, relatório anual, código de conduta. Governança de TI – Estrutura de governança de TI, estudo da norma ABNT ISO/IEC 38500.

Este módulo demonstra os conceitos de risco positivo e negativo, que juntos com os conceitos de apetite e tolerância a riscos demonstram a necessidade do risco para a o crescimento e sucesso das organizações. O módulo aborda também todos os conceitos e as principais normas e frameworks para a avaliação e tratamento de riscos.

Definições de risco – Riscos positivos e negativos, fontes de risco, nível de risco e probabilidade, consequência, análise quantitativa , qualitativa e semi-quantitativa, matriz de riscos, percepção de riscos, responsabilidade pelo risco, apetite e tolerância a riscos.

Gestão de Riscos – Princípios de Gestão de Riscos, estudo da norma ABNT ISO 31000, critérios de Risco (ALARP – As Low as Reasonable Practicable), processo de avaliação de riscos, tratamento de riscos, monitoração do risco, reporte de riscos, gestão de riscos através da ABNT ISO 27005, comparação do Coso ERM (Coso II) com a ISO 31000.

Este módulo apresenta os principais conceitos relacionados à conformidade, assim como as mais importantes regulamentações a s quais as empresas nacionais estão sujeitas. Ao final dos estudos é apresentada a norma Australiana de Compliance e os principais pontos abordados por esta.

Conceitos e definições, sistema normativo (Leis e Regulamentações), tipos de conformidade, CVM, CVM 358/2002 – Fato Relevante, CVM 456/2007 – IFRS, decreto 11.638 – Contabilidade das Sociedades por Ações, Basileia II e III, Banco Central, resolução 2554, resolução 3380, SUSEP 249/2004, culpa e dolo, responsabilidades dos Administradores, lei das S.A.’s, business judgement rule, conflito de Interesses, dever de qualificar-se e informar-se, dever de informar, dever de sigilo, insider trading, concorrência desleal, dever de vigiar, investigar e punir , código de ética, política de propriedade intelectual, política de segurança da informação, sustentabilidade, a norma AS 3806/2006, o papel do CCO/CECO.

Este módulo complementa os três anteriores ao mostrar o Conjunto Cobit+Vai IT+Risk IT, delimitando o seu relacionamento com as áreas de Governança, Gestão de Riscos e Compliance.

Em uma segunda etapa, apresentamos o Cobit 5, o framework de GRC da ISACA que integrou o Val IT e RisK IT ao CobiT e tem a proposta de ser um framework de GRC para qualquer área da organização.

Governança de TI segundo o Cobit – Áreas de foco na Governança de TI, produtos do CobiT, objetivos e Arquitetura de TI, ciclo de vida de TI, domínios do CobiT, objetivos de Controle, tabela RACI, modelo de maturidade, objetivos de negócio, objetivos de negócio transformados em objetivos de TI, objetivos de TI transformados em objetivos de processo.

VAL IT – Definição e Objetivos, os quatro “Estamos?”, Val IT x CobiT, domínios e Processos, quadro de atividades, entradas e saídas.

Risk IT – Posicionando Cobit, ValIT e RiskIT, hierarquia dos riscos, resposta e priorização de riscos, governança de riscos, avaliação de riscos, articulação de riscos.

Cobit 5 – Princípios e aspectos gerais, arquitetura e objetivos em cascata, objetivos de governança, modelo de “Enablers” integrados, objetivos de governança, objetivos de TI, governança e gestão, governança corporativa de TI, novo modelo de maturidade (ISO 15504), ciclo de implementação.

Neste módulo trazemos uma reflexão sobre os desafios para a implantação do GRC desde uma definição do termo e de sua real função até o perfil do profissional de GRC.

O que esperar do GRC, visão do modelo de negócio (OCEG), colaboração, stakeholders internos do GRC, stakeholders externos do GRC, sistemas eficientes, eficazes e responsivos, implantação do GRC na organização, vencendo resistências, perfil do profissional de GRC.