Participe dos nossos workshops:
Coso – Gerenciamento de Riscos Corporativos & Controles Internos, veja nossa agenda: http://bit.ly/fuVq7A
SOX – Comformidade & Governança, veja nossa agenda: http://bit.ly/kwIuRe
Acesse: http://slidesha.re/lGuGAh
.
Adoção de controles internos deve movimentar mais de U$$ 1 bi em soluções de TI
Por: Lucia Rebouças / São Paulo
A redução de risco operacional na gestão das empresas, decorrentes da adoção de práticas de transparência de sustentabilidade – fundamentais hoje em dia para manter a competitividade no mercado consumidor na captação de recursos – criou mais um nicho de mercado dentro da tecnologia da informação (TI), as metodologias de gestão da informação.
Segundo a pesquisa “Operational Risk Management Systems 2007” da Chartis, empresa global de pesquisa de tecnologia de risco, as soluções para gestão de risco operacional devem movimentar mais de U$$ 1 bilhão até 2011, no mundo.
No Brasil é crescente o número de consultorias locais e internacionais que oferecem serviços nesse segmento já batizado de Govenança em TI. “A Governança de TI é filha legítima da Governança Corporativa”, diz Uires Tapajós,
consultor da CompanyWeb, empresa local que tem 12 anos de experiência na área de TI e gestão de negócios, pessoas, projetos e processos.
O Risco operacional interfere diretamente na gestão das companhias. “Quando uma empresa traça uma meta para sua receita anual terá mais chances de atingi-la se souber a que risco está exposta para agir preventivamente, afirma Tapajós. Esses riscos podem ser de várias naturezas, como uma greve, uma alta dos juros, mudanças no cambio, na legislação, paralisação de máquinas.
As melhores práticas de governança de TI ajudam a alinhar os processos de TI com as estratégias de negócios, Conforme Tapajós, “este cenário exige que o profissional vá além do atendimento as demandas de serviços do dia-a-dia, pois, ele está preparado para implementar as melhores práticas de governança de TI”.
Ele dá uma dica sobre as principais questões que o executivo deve levantar no momento de implementar governança de TI: por onde começar? Como começar? Qual o framework, guia, padrão ou metodologia vou utilizar? Como vou fazer a integração com os objetivos e a missão da empresa? Quais os recursos necessários? Como posso gerar valor ao negócio?
Depois disso, o conselho de Tapajós é sempre lembrar que não é preciso reinventar a roda. “Existe modelos como o COSO (Committee of Sponsoring Organizations) e o COBIT (Control Objectives for Information and Related Technology), que estão entre as melhores práticas, que já foram testados e só precisam ser adaptados á realidade da empresa”, Afirma.
O COSO permite implementar as melhores práticas de gestão de risco e estrutura de controles internos. Já o COBIT permite a melhoria continua do processo utilizado para identificar e avaliar controles, e mitigar riscos. Acrescenta o consultor.
COSO e COBIT
O COSO é um guia para as melhores práticas de gestão de risco corporativos, que abrange também controles interno. É recomendado pela SEC (Securities and Exchange Commission, órgão regulador do mercado de capitais americano), para implementação da Sarbanes-Oxley (SOX), a mais exigente lei de governança em vigor no mundo, O COSO pode ser utilizado ainda para atender o acordo de Basiléia II.
O COBIT abrange processos, alinhamento com negócio, controles, gestão de risco e auditoria de TI. Também é recomendado pela, SEC para implementação de controle internos na área de TI (seção 404) da SOX e pode ser utilizado para atender os requisitos do acordo da Basiléia II – pois encontra-se aderente aos 13 Princípios de Basiléia e aos requerimentos do Banco Central do Brasil.
Fonte: Jornal Gazeta Mercatil
O COSO – The Committee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras) – busca os controles internos e avaliação de riscos, que uma vez identificados, devemos analisá-los e, em seguida, refletir sobre isso com base nas probabilidades ou freqüências que os problemas podem ocorrer. Mas qual seria o impacto nas operações, considerando os aspectos quantitativos e qualitativos; e quais ações seriam necessárias para administrar os riscos identificados.
Em primeiro lugar, é fundamental certificar-se de que a organização tem uma missão clara e que as metas e objetivos estão formalizados, além de avaliar os riscos com relação ao nível de dependência do setor e de processo. Quando possível, deve-se elaborar ainda um papel de trabalho para cada atividade relevante e priorizar as atividades e processos mais críticos e, se for o caso, aprimorá-los.
Vale ressaltar que as atividades de controle devem ser implementadas de maneira ponderada, consciente e consistente. Nada adianta introduzir um procedimento de controle se este for executado de maneira mecânica, sem foco nas condições e problemas que motivaram sua implantação.
Também é essencial que as situações adversas identificadas pelas atividades de controles sejam investigadas, adotando-se tempestivamente as ações corretivas apropriadas.
O CobiT (Control Objectives for Information and related Technology) também é controle interno, mas com foco mais objetivo na Tecnologia da Informação (TI), fator este de suma importância nas organizações. Afinal, somos dependentes pelo menos 130% de TI. Lógico que os 100% já são inerentes aos negócios da empresa — os 30% restantes seriam a grosso modo, a contingencia mínima necessária para que os processos e sistemas não parem (o CobiT trabalha muito bem esta idéia no DS4 - Delivery and Suport – contidas no CobiT 4.1).
Mas para que tanto controle? Justamente para minimizar os riscos. A lei americana Sarbanes Oxley, as melhores práticas de Governança Corporativa e os órgãos reguladores (CVM, Banco Central, SUSEP, SPC, entre outras) já estão cobrando das organizações à implementação das melhores práticas de controle.
Porém, algumas dúvidas pairam no ar. Como a organização se posicionou a este respeito? Já existe uma matriz de risco disponível? Há um Plano de Continuidade de Negócios implementado e testado? Podemos localizar na intranet ou algum manual com um glossário de riscos para o seu negócio? Se estas perguntas não possuem respostas imediatas e seguras, necessitamos buscar maior entendimento sobre estes riscos.
Fonte: Marcos Assi – http://www.itweb.com.br/blogs/blog.asp?cod=190
Loading ...