governance, risk, compliance & fraud · •o que é a cultura organizacional? ... •...

www.pwc.pt/academy

Governance, Risk, Compliance & Fraud Workshops

PwC’s Academy Portefolio de soluções formativas de profissionais para profissionais

PwC 2

Constituindo um dos principais desafios das organizações atuais, por ‘Governance, Risk and Compliance’ (GRC), deverá entender-se, como a “maximização da performance da organização, balanceando riscos e oportunidades e agindo sempre no estrito cumprimento dos requisitos legais e regulamentares”. A não observância destes princípios fundamentais tem originado diversas situações de perda de valor, graves problemas financeiros, perda de reputação e de sustentabilidade , como por exemplo do BPP, UBS, Lehman Brothers, Societé Generale, Toyota, Ford, Kodak, BP, JP Morgan. É deste modo cada vez mais crítico que as organizações possuam adequados sistemas de governação, gestão do risco e conformidade, alinhados entre si e integrados na sua cadeia de valor e processos de negócio, de modo a ser possível, em cada momento, atingir os objetivos estratégicos de negócio e potenciar a criação de valor acionista.

A ausência de integração e adequada monitorização e eficácia do sistema de GRC colocará em causa o alcance de tais objetivos e compromissos. Tais desideratos ganham particular relevo tanto mais quanto sabemos, de acordo com estudos recentemente publicados que os atos de fraude têm aumentado significativamente, a cada ano que passa, com efeitos que, para a economia em geral e para os vários agentes económicos, têm efeitos devastadores. Qualquer que seja o esquema de fraude praticado ou o setor onde ocorre, a consequência será, por regra, invariavelmente a mesma: perda de confiança dos investidores, perdas financeiras avultadas, deterioração da imagem, marca e reputação e perda de credibilidade. Em suma, a nossa experiência nestas áreas, permite-nos abordar, em ações de formação eminentemente práticas e para profissionais, temas tão sensíveis quanto as práticas de gestão de risco, prevenção e deteção da fraude, controlo e auditoria interna.

Estes cursos serão particularmente úteis para todos os profissionais que trabalham, nas suas organizações, os temas de auditoria interna, compliance, gestão de risco e controlo, qualquer que seja o setor de atividade.

Governance, Risk, Compliance & Fraud Workshops

Governance, Risk , Compliance & Fraud

Como implementar um Modelo de GRC? Dos drivers de implementação, requisitos legais e regulamentares até à definição estratégica e implementação de um modelo de GRC.

Como implementar a ISO 31000? Da framework de gestão de risco e risk assessment até à definição e implementação da norma ISO 31000.

IT Governance Do relevo atual das tecnologias de informação, ao seu alinhamento com o negócio e roadmap de um modelo de Governance.

IT Audit Risk Dos processos de avaliação de risco, auditoria de projetos, processos e aplicações, às conclusões e monitorização.

Programa Avançado em Controlo Interno Dos fundamentos e componentes do controlo interno, aos business cycles, processos de negócio e gestão de risco.

Certificação em Auditoria Interna (PwC) Especialização em auditoria interna para profissionais, assegurada por técnicos com metodologias comprovadas.

Revisão da Qualidade da Função de Auditoria Interna Da função de auditoria interna e sua supervisão, às incidências decorrentes da revisão da qualidade do exercício dessa função.

Soluções alternativas de Transferência de Riscos Soluções alternativas a considerar na gestão de risco e questões fiscais. Das soluções de “cativas ” às PCCs (Protected Cell Companies).

Prevenção e Investigação da Fraude Das técnicas e práticas de prevenção e deteção de situações de fraude, às ações de investigação e metodologias de trabalho.

Todos os cursos de formação apresentados são coordenados e assegurados por especialistas técnicos e pedagógicos nas referidas áreas de conhecimento.

PwC 3

Governance, Risk, Compliance & Fraud


PwC 4

Cursos Data

Como implementar um Modelo de GRC? Duração: 24 horas | 3 dias

Fevereiro de 2014 11, 18 e 25

Como implementar a ISO 31000? Duração: 24 horas | 3 dias

Março de 2014 13, 19 e 26

IT Governance Duração: 24 horas | 3 dias

Março de 2014 11, 17 e 24

IT Audit Risk Duração: 24 horas | 3 dias

Abril de 2014 7, 14 e 28

Programa Avançado em Controlo Interno 2ª Edição Duração: 64 horas | 8 dias

Módulos (4), cada com dois dias de duração

Junho de 2014 18, 19, 24 e 25

Julho de 2014 2, 3, 7 e 8

Certificação em Auditoria Interna (PwC) Duração: 16 horas | 2 dias

Outubro de 2013 24 e 25

Revisão da Qualidade da Função de AI Duração: 8 horas | 1 dia

Dezembro de 2013 11

Soluções alternativas de Transferência de Riscos Duração: 8 horas | 1 dia

A agendar

Prevenção e Investigação da Fraude Duração: 16 horas | 2 dias

Fevereiro de 2014 19 e 20

Todos os cursos apresentados são realizados nos nossos escritórios de Lisboa, nas datas referidas, das 09h00 às 18h00.


Calendarização 2013/14

Governance, Risk, Compliance & Fraud

Descontos adicionais

10% para empresas com 2 inscrições;

20% para empresas com 3 ou mais inscrições;

10% para empresas do setor financeiro (banca e seguradoras);

10% para profissionais que exerçam a sua atividade regular a mais de 100km de Lisboa.

Cursos Clientes PwC Não Clientes

Como implementar um Modelo de GRC? 890 € + IVA 990 € + IVA

Como implementar a ISO 31000? 890 €+ IVA 990 €+ IVA

IT Governance 890 € + IVA 990 € + IVA

IT Audit Risk 890 € + IVA 990 € + IVA

Programa Avancado em Controlo Interno 2ª Edição 1,990 € + IVA 2,290 € + IVA

Certificação em Auditoria Interna (PwC) 690 €+ IVA 790 € + IVA

Revisão da Qualidade da Função de Auditoria Interna 490 € + IVA 590 €+ IVA

Soluções alternativas de Transferência de Riscos 490 € + IVA 590 € + IVA

Prevenção e Investigação da Fraude 690 € + IVA 790 € + IVA

Governance, Risk, Compliance & Fraud Condições gerais de inscrição

A participação nos cursos de formação promovidos pela PwC constitui uma mais-valia significativa para a sua atual atividade e para o seu percurso profissional futuro.

Um investimento que é partilhado por mais de um milhar de quadros médios e superiores em Portugal, todos os anos, ao escolherem a PwC para a sua aprendizagem contínua.

As condições gerais apresentadas constituem o ponto de partida para o seu investimento no desenvolvimento das suas competências técnicas e do talento da sua empresa.

Dispomos de condições especiais para programas de formação à medida bem como descontos adicionais em função do número de inscrições, setor financeiro ou localização (e.g. Porto).

O valor de inscrição inclui todos os manuais e documentação pedagógica, bem como, por cada dia de formação, dois coffee-breaks e almoço de networking, e certificado de frequência de formação profissional.

3

PwC 5 Governance, Risk , Compliance & Fraud

PwC 7

Programas detalhados

1. Como implementar um Modelo de GRC?

2. Como implementar a ISO 31000?

3. IT Governance

4. IT Audit Risk

5. Programa Avançado de Controlo Interno

6. Certificação em Auditoria Interna (PwC)

7. Revisão da Qualidade da Função de AI

8. Soluções alternativas de Transferências de Riscos

9. Prevenção e Investigação da Fraude

1. Como implementar um Modelo de GRC? Dos drivers de implementação, requisitos legais e regulamentares, até à definição estratégica e implementação de um modelo de GRC

PwC 8

A realização deste curso constitui uma mais-valia para si e para a sua organização, constituindo uma base sólida e de referência no mercado.

Entre os principais benefícios e razões pelas quais se justifica a realização deste curso, salientamos:

• Ser capaz de compreender e priorizar as expectativas de todos os Stakeholders.

• Compreender qual o papel do GRC relativamente à estratégia de negócio.

• Ser capaz de efetuar um total e correto alinhamento entre a missão, visão, estratégia de negócio e a governação, gestão do risco e conformidade.

• Compreender as funções e responsabilidades inerentes ao sistema de GRC.

• Ser capaz de medir e melhorar a performance organizacional.

• Contribuir para maximizar a performance da organização e seus processos de tomada de decisão.

• Ser capaz de gerir, de forma eficaz e eficiente, os riscos que poderão comprometer os objetivos estratégicos da sua Organização.

• Ser capaz de demonstrar em todos os níveis da organização quais os benefícios e investimentos necessários para implementar este tipo de sistema.

• Ser capaz de selecionar e utilizar as melhores técnicas e ferramentas suporte ao sistema de GRC.

• Quais são as prioridades e expetativas dos Stakeholders da minha organização?

• Os objetivos de negócio da minha organização são compatíveis com os valores e risco aos quais estão sujeitos?

• A estratégia de GRC da minha organização está alinhada com a missão e os objetivos estratégicos de negócio?

• A minha abordagem de GRC é realmente integrada?

• O meu apetite, capacidade e tolerância ao risco estão alinhados com a minha estratégia de negócio?

• Como é que a governação, gestão do risco e conformidade contribuem para maximizar a performance da minha organização?

• Na minha organização exploramos os riscos como fator de criação de valor?

• O perfil de risco da minha organização está alinhado com os objetivos de performance baseados na estratégia de negócio?

• Monitorizo continuamente os riscos em alinhamento com os objetivos de performance e estratégia do negócio?

• A minha empresa cumpre todos os requisitos legais e regulamentares em vigor?

• A informação que suporta os meus processos de planeamento, controlo e tomada de decisão é atempado, relevante e de confiança?

Este programa ajuda-o a melhor responder a questões essenciais no âmbito da gestão da sua organização, entre as quais destacamos:


1. Introdução

1. Definições e conceitos

2. Drivers de implementação do GRC

3. Requisitos legais e regulamentares:

• SOX • Aviso 5/2008 do BdP • Norma 14/2005 do ISP • CMVM • Código das Sociedades Comerciais • Princípios sobre o governo das sociedades (OCDE) • Basileia III • Solvência II • Combate ao branqueamento de capitais

4. Standards e frameworks:

• GRC Capability Model • COSO • COSO ERM • ISO 31000 • COBIT • ISO 27000

5. Benefícios de uma visão integrada do GRC

PwC 9

3. Governação

1. Introdução à governação: • Definição e conceitos • Príncipios e regras • Drivers de implementação • Benefícios

2. Overview das componentes chave da governação

3. Missão e visão:

• Como definir a missão e a visão de uma organização? • Da importância dos ‘valores, ética e integridade’ • Dos impactos de divergência nas políticas e práticas • O que é a cultura organizacional? • Um código de ética: Do’s e Dont’s • Estabelecimento de um processo de

“whistleblowing”

3. Estratégias e objetivos corporativos:

• Como definir uma estratégia sustentável e da importância do alinhamento dos níveis estratégico, tático e operacional;

• Como implementar a estratégia de modo efetivo?

5. Do apetite, tolerância e capacidade ao risco

6. Estrutura e composição:

• Modelos de governação • Funções e responsabilidades:

• Conselho de Administração • Comissões especializadas (e.g. Auditoria, Risco) • Direcções • Auditoria interna • Auditoria externa • Accionistas e Stakeholders

• Da importância da autoridade, independendência, objetividade e conflito de interesses

• Supervisão, auditoria e assurance • As crescentes expetativas da supervisão • Assurance: Quem está envolvido? • O modelo “three lines of defense”

7. Alinhamento das políticas corporativas com a estratégia

8. Gestão da performance:

• O que é corporate performance management? • KPIs e como efetuar a monitorização e reporte? • Como implementar um sistema de gestão adequado?

9. Como optimizar o framework de governação?

• Target: Do compliance mínimo às melhores práticas • Visão ‘as is’ vs. Visão ‘to be’ • Últimos desenvolvimentos no corporate governance

2. GRC Capability Model

1. O que é?

2. Overview dos elementos do modelo:

• Organizar e supervisionar • Avaliar e alinhar • Prevenir e promover • Detetar e discernir • Responder e resolver • Monitorizar e medir

3. Como efetuar uma gap analysis efetiva?

4. A importância do modelo de maturidade

5. Quais as funções e processos do GRC?

• Governação • Estratégia e gestão da performance de negócio • Gestão do Risco • Conformidade • Controlo interno • Segurança • Jurídico e Ética • Tecnologias de informação • Sustentabilidade • Responsabilidade social • Gestão da qualidade • Gestão de recursos humanos e cultura organizacional • Auditoria e assurance. Finanças

Programa

Como implementar um Modelo de GRC?


7. Sistemas de compliance sustentáveis

1. Compreensão das expetativas dos Stakeholders

2. Criação de equipas multidisciplinares

3. Definição de políticas e procedimentos

4. Implementação de um ambiente de controlo

5. Teste e monitorização do sistema

6. Avaliação independente

7. Melhoria contínua

8. Como criar uma cultura de compliance?

4. Modelo operativo

1. Do relevo do trinómio pessoas/processos/tecnologia

2. Pessoas

• Princípios da governação • Comportamento ético • Sistema de gestão da performance • Gestão de talentos • A importância da formação do capital humano • Do relevo da comunicação

3. Processos

• Accountability • Identificação e avaliação de eventos de risco e como

definir e implementar estratégias e respostas adequadas ao risco?

4. Tecnologia: Dos drivers de implementação e benefícios

PwC 10

6. Conformidade

1. Conceitos e drivers de implementação e benefícios

2. Áreas de risco do processo de compliance:

• Reporte financeiro • Fraude e corrupção • Práticas laborais • Práticas concorrenciais • Acordos internacionais • Ambiente • Qualidade e segurança do produto • Ética • Privacidade e segurança de dados • Continuidade de negócio • Saúde e segurança • Propriedade inteletual • Gestão da informação

5. Avaliação do ambiente de negócio

1. Do ambiente de negócio à avaliação do mercado:

• Concorrentes • Localização geográfica • Ambiente social e político

2. Avaliação dos Stakeholders – internos e externos

3. Dicas a considerar na avaliação do ambiente de negócio

8. Como implementar um modelo integrado de

GRC de elevada performance?

1. Lessons learned resultantes de implementação de modelos em organizações líderes

2. Compreender e implementar o GRC em pequenas e médias empresas

3. Como é que a estratégia de desenvolvimento de uma organização alinha com o GRC?

Programa

Como implementar um Modelo de GRC?


Formadores

Jaime Duarte Senior Manager da PwC

Luís Fortes Manager da PwC

2. Como implementar a ISO 31000? Da framework de gestão de risco e risk assessment, até à definição e implementação da norma ISO 31000

PwC 11

A realização deste curso constitui uma mais-valia para si e para a sua organização, constituindo uma base sólida e de referência no mercado.


• Implementar/manter um sistema de gestão de risco, que permita gerir, de forma eficaz e eficiente, os riscos que poderão comprometer os objetivos estratégicos da sua Organização.

• Ser capaz de efetuar um total e correto alinhamento entre Missão, Visão e Estratégia de negócio.

• Identificar as oportunidades e as ameaças de forma a maximizar valor para o negócio.

• Compreender e quantificar o “apetite ao risco”.

• Compreender as funções e responsabilidades inerentes a um sistema de gestão de risco.

• Adquirir competências de identificação, avaliação, mitigação e reporte de riscos.

• Ser capaz de demonstrar em todos os níveis da organização quais os benefícios e o investimento necessário para implementar este tipo de sistema.

• Compreender qual o alinhamento da gestão do risco na estratégia de negócio.

• Entender como é que os requisitos legais e regulamentares afetam a estratégia de negócio.

• Capacidade de monitorizar riscos com recurso a KRI´s (Key Risk Indicators).

• Compreender a importância das tecnologias de informação na gestão do risco.

• Ser capaz de auditar de modo eficaz e eficiente um sistema de gestão do risco

• Como é que os processos de negócio suportam a estratégia de negócio?

• Quais as alterações do contexto interno e externo que afetam a minha estratégia de negócio?

• Quais as principais falhas e ineficiências dos processos de negócio?

• O processo de gestão do risco está efetivamente a identificar e avaliar riscos e oportunidades?

• O que é que o meu sistema de avaliação de performance “diz” acerca dos riscos?

• Os riscos e oportunidades estão integrados nos processos de gestão?

• O sistema de controlo interno está total e corretamente alinhado com o processo de gestão do risco?

• Os meus KPI´s e KRI´s estão alinhados com a minha estratégia de negócio e apetite/tolerância ao risco?

• Os desvios (positivos e negativos) entre o real e o orçamento são normalmente significativos?

• O processo de planeamento, controlo, e tomada de decisão é atempado, completo e correto?

• Consigo otimizar a performance dos meus recursos internos?

Este programa ajuda-o a melhor responder a questões essenciais no âmbito da gestão da sua organização, entre as quais destacamos:


Como implementar a ISO 31000?

Introdução à gestão de risco corporativo

• Definições de risco, gestão do risco e gestão do risco corporativo (ERM)

• Drivers de implementação de um sistema de ERM

• Benefícios do ERM

• O contexto regulatório e a governação corporativa

• Lições da crise financeira

• Pressões/requisitos dos investidores e Stakeholders

• Standards e guidelines de gestão do risco:

COSO ERM

ISO 31000:2009

Governação da gestão do risco

• Organização e responsabilidade de ERM

• O Conselho de Administração e a liderança de risco

• Comités de auditoria e de risco

• Funções e responsabilidades no ERM

• O modelo “three lines of defence”

• Função do auditor interno no ERM

• Como auditar o sistema de gestão do risco

• Estratégia, mandado, políticas e procedimentos de gestão do risco

• As funções em regime de Outsourcing

PwC 12

Programa

Princípios de gestão do risco

• Permitir a criação de valor

• Ser integrado nos processos organizacionais

• Ser parte do processo de tomada de decisão

• Endereçar a incerteza

• Ser sistemático, estruturado e atempado

• Baseado na melhor informação disponível

• Ser adaptado ao contexto externo, interno e perfil de risco da organização

• Considerar os fatores humanos e culturais

• Ser transparente e inclusivo

• Ser dinâmico, iterativo e responsivo à mudança

• Facilitar a melhoria contínua e desenvolvimento da organizaçã0

Framework de gestão do risco

• Mandato e compromisso

• Desenho do framework

• Implementação do framework de gestão do risco

• Monitorização e revisão do framework

• Melhoria contínua

Estabelecimento do contexto

Contexto externo:

• A importância de avaliar o contexto externo e o contexto interno

• Como o contexto externo afeta o atingir dos objetivos

• O ambiente social, económico, regulatório, tecnológico

• Drivers e tendências com impacte nos objetivos estratégicos

• Valores e perceções dos stakeholders

• Técnicas e ferramentas de avaliação do contexto: SWOT, PESTLE

Contexto interno:

• Alinhamento da cultura, processos, estrutura organizacional e estratégia

• Sistemas e fluxos de informação suporte ao planeamento, controlo e tomada de decisão

• Reconhecer as oportunidades para maximizar o sucessos da organização

Definir o contexto do processo de gestão do risco:

• Metas, objetivos do processo, funções e responsabilidades de gestão do risco

• Alinhar a performance com a gestão do risco

• Definir metodologias de avaliação do risco

Comunicação e consulta

• Como identificar inputs para suportar o processo de gestão do risco: consultores, especialistas

• Como definir um processo de comunicação com stakeholders internos e externos

• Definir estratégia, plano e procedimentos de comunicação e consulta

• Definir processos e meios de comunicação externa e interna

• Como implementar processos de gestão da mudança a realizar no decorrer do processo de gestão do risco

• Como considerar aspetos de confidencialidade e integridade no decorrer do processo


Risk Assessment

Identificação de risco

• Identificação do risco: o que funciona e o que não funciona; como melhorar

• Abordagens de identificação de riscos

Top Down, Bottom Up, e Top Down complementada com Bottom Up

Critérios de seleção da abordagem a utilizar

• Tipificação de riscos: Estratégico; Político; Reputação; Operacional; Fraude;Tecnologias de Informação; Outros

• Nível de detalhe na identificação de riscos

• Técnicas e ferramentas de identificação de riscos (e.g. fluxogramas, brainstorming)

• Como gerir os riscos e oportunidades

• Melhoria do processo de identificação do risco

Análise de riscos

• Determinar fontes e consequências do risco

• Como identificar consequências positivas e negativas

• Definir nível de confiança do nível de risco

• Identificar fatores que afetam a probabilidade e o impacto

Avaliação de riscos

• A importância do risco inerente e residual

• Decidir como, quando e o que avaliar

• Metodologias de avaliação do risco para as ameaças e oportunidades - VAR (Value at Risk); Root Cause Analysis; Scenario Analysis

• Técnicas e ferramentas de avaliação de riscos

Heat Maps para identificação e classificação de riscos; Escalas de probabilidade e impacte; Questionários; Outros

PwC 13

Programa

Avaliação e prioritização dos riscos

• Elaboração de matrizes de risco

• Aplicação do apetite pelo risco

• Múltiplos apetites pelo risco e hierarquias do apetite pelo risco

• Avaliação/modelização do risco:

• Técnicas quantitativas

Técnicas qualitativas

Escalas de probabilidade e impacto

Como melhorar o processo de avaliação do risco

Tratamento do risco

• Estratégias de resposta ao risco: evitar, reduzir, partilhar, aceitar

• Identificar a resposta adequada

• Melhores práticas de mitigação de risco

• Integração do modelo de gestão do risco com o sistema de controlo interno

• Como preparar planos de tratamento dos riscos

• Informação a considerar nos planos de tratamento:

• Definir ações de remediação a implementar

• Razões para a seleção da opção de tratamento

• Requisitos de recursos (e.g. humanos, técnicos e financeiros)

• Medidas de performance das medidas de tratamento

Monitorização e revisão

• Monitorização da eficácia do ERM e dos riscos

• Como validar o desenho e eficácia dos controlos?

• Identificar e avaliar as respostas aos riscos e os controlos chave

• Clarificação das linhas de reporte

• Como identificar riscos emergentes

• Definição e implementação de KRI´s (Key Risk Indicators) – Three Level Approach

• Identificação de Stakeholders e requisitos de informação

• Reporte interno e externo: que informação deve ser divulgada?

• Formato, conteúdo e periodicidade dos processos de monitorização/reporte

• Os últimos desenvolvimentos na divulgação de riscos externos

Como implementar a ISO 31000?


Formadores



PwC 14

3. IT Governance Do relevo atual das tecnologias de informação, ao seu alinhamento com o negócio e roadmap de um modelo de Governance

As Tecnologias de Informação (TI’s) são cada vez mais um poderoso facilitador das iniciativas estratégicas de mudança das organizações, em alinhamento com a sua visão, missão e objetivos estratégicos de negócio, de modo a dar resposta aos enormes desafios que se colocam às organizações, face ao atual contexto económico. Contudo, as TI’s nem sempre são geridas e implementadas de modo estruturado, e considerando uma adequada relação custo/benefício em alinhamento com a sua estratégia de negócio, traduzindo-se usualmente num significativo desperdício de recursos financeiros, e outros, os quais são um bem cada vez mais escasso nas nossas organizações. É neste contexto que a implementação de um modelo holístico e sistémico de IT Governance assume especial relevo, ao permitir que a gestão e investimento em TI’s seja efetuada de forma racional, de modo a obter um adequado nível de performance e excelência organizacional, gerindo os seus riscos, minimizando a probabilidade de falha e, assim, criar um efetivo valor acrescentado para os seus stakeholders.

Foi com estes objetivos em mente que decidimos desenvolver este curso que lhe permitirá conhecer e aplicar as melhores práticas de governação das TI’s. Um programa eminentemente prático com sessões de apresentação e casos práticos para resolução em grupo e individualmente com discussão das possíveis soluções. Será um curso particularmente útil para: • Administradores – CIO

(Chief Information Officers); • Diretores de Sistemas de

Informação • Responsáveis por funções de gestão

do risco (Chief Risk Officer) e Conformidade (Compliance Risk Managers);

• Responsáveis pela gestão do risco, controlo interno e segurança da informação;

• Auditores aos vários níveis da organização, incluindo Responsáveis pela Auditoria Interna (RAI) e coordenadores;

• Responsáveis de funções de organização e métodos;

• Gestores de topo das distintas áreas de negócio, passando pelas áreas financeira, operações, planeamento e controlo de gestão, recursos humanos, entre outras.

“… Os projetos falham, não por falta de dinheiro ou de tecnologia. A maior parte deles falha devido à falta de qualificações de gestão de projetos…”

“A governação de TI providencia o framework e a capacidade para efetuar e implementar as decisões necessárias para gerir, controlar e monitorizar as TI com o negócio.” PwC

“A governação de TI é definida, como o sistema para gerir e controlar a organização de modo a alcançar os objetivos através de criação de valor, enquanto balanceia os riscos versus o retorno sobre as TI e respetivos processos.” IT Governance Institute


PwC 15

IT Governance Alinhar as TI’s com o negócio

Porquê fazer este curso? Pondere sobre as seguintes questões:

• As minhas TI’s suportam

adequadamente a minha estratégia e processos de negócio?

• Os meus investimentos em TI estão adequadamente suportados e aportam um efetivo valor acrescentado à organização?

• Os meus clientes internos e externos estão satisfeitos com o nível de prestação de serviços de TI’s?

• Faço uma gestão adequada dos riscos de TI’s?

• Os meus sistemas de informação são seguros?

• Os meus projetos são adequadamente geridos?

• Faço uma utilização eficiente dos meus recursos de sistemas de informação?

Participar neste curso permitir-lhe-á refletir sobre estas questões essenciais e obter, entre outros, os seguintes benefícios e valor acrescentado: • Ser capaz de otimizar as TI’s como

suporte à visão, missão e estratégia de negócio;

• Gerir as TI’s de modo eficaz e

eficiente;

• Prestar serviços de TI de elevada qualidade a custos adequados;

• Assegurar um adequado nível de sustentabilidade das TI’s;

• Gerir os riscos de TI e explorar a oportunidade da sua utilização;

• Compreender e gerir os riscos de segurança da informação;

• Ser capaz de gerir adequadamente os projetos de TI’s, de modo a maximizar os seus benefícios;

• Saber quais os principais requisitos legais e regulamentares e o seu impacte na gestão de TI’s;

• Ser capaz de implementar um processo de IT Governance em alinhamento com as melhores práticas internacionais;

• Ser capaz de gerir a performance e monitorizar os riscos das TI’s com recurso a KPI’s (Key Performance Indicators) e KRI’s (Key Risk Indicators).

Casos práticos Este programa está desenhado de modo a incluir casos práticos, entre os quais, se destacam: • Avaliação do risco de

tecnologias de informação;

• Elaboração de um roadmap para a implementação de um sistema de IT Governance;

• Definição de processos de avaliação de investimentos em TI’s;

• Elaboração de uma matriz de risco para um negócio/atividade e apresentação de resultados;

• Debate de possíveis formas de mitigação dos riscos identificados e preparação de um plano de ação;


Formadores


Júlio Pereira Manager da PwC

Risco e controlo em IT Governance

1. A gestão do risco de TI’s e integração com ISO 38500

2. Processo de gestão do risco de TI’s: Da identificação, avaliação à mitigação, monitorização/reporte

3. Apetite, tolerância e capacidade de risco e alinhamento estratégico

4. Metodologias de avaliação do risco

5. Tipificação de riscos: Do outsourcing – SLA’s e OLA’s; fraude, recursos humanos e execução de processos

Gestão da Informação

1. O ciclo de vida de gestão da informação

2. Gestão de configuração e de documentos (e.g. ISO 15489)

3. Governação de dados

4. Riscos de qualidade dos dados e sua mitigação

Introdução ao IT Governance


2. Porquê o IT Governance

3. Facilitadores de IT Governance

4. O papel das TI’s

5. Ambientes corporativo, governação, conformidade e risco

6. Alinhamento das TI’s com o negócio

7. Drivers de implementação de IT Governance

8. Requisitos legais e regulamentares, entre outros: Sarbanes-Oxley e proteção do dados pessoais

IT Governance: standards e metodologias

1. COSO e Controlo Interno

2. ISO / IEC 38500

3. CobiT 4.1.

4. VAL IT, Risk IT

5. ITIL, ISO / IEC 20000

6. ISO 27001 / ISO 31000 / ISO 27005

Integração e alinhamento

1. Estratégia e política de IT Governance

2. Framework de integração de IT Governance

3. Integração de Cobit, ISO 38500 e ITIL/ISO 20000

4. Gestão e controlo de documentação

PwC 16

Criação de uma cultura de IT Governance

1. A importância de uma cultura interna

2. "Tone at the top"

3. Ética e comportamento ético

4. Princípios de boa governação

5. Steering Committee - funções e responsabilidades

6. Visão em "silo" vs. integrada

Implementação de IT Governance

1. Definição de um roadmap de implementação

2. Ciclo de vida de implementação de IT Governance

3. Fatores críticos de sucesso, desafios e constrangimentos

4. Facilitadores e gestão da mudança

5. Definição de um plano de projeto e comunicação

Governação de SI, segurança e resiliência de negócio

1. Governação de segurança da informação

2. Gestão de Segurança da Informação (ISO 27005, BIMIS)

3. Integração com o Cobit e com o ITIL

4. Gestão da Continuidade e resiliência do negócio

Planeamento estratégico de TI

1. Estratégia de negócio e monitorização de metas/objetivos

2. Processo de planeamento estratégico

3. Estratégia de TI

4. Processos de benchmarking de TI

5. Investimento em TI.

Arquitetura da Empresa

1. Integração com CobiT, ISO 38500, ITIL

2. Modelo EA (Enterprise Architecture)

3. Framework de Zachman

4. TOGAF 9

Programa

IT Governance


PwC 17

4. IT Audit Risk Dos processos de avaliação de risco, auditoria de projetos, processos e aplicações, às conclusões e monitorização

No atual contexto de crise, em que as organizações estão sob uma pressão económica significativa, os gestores de topo procuram formas alternativas de reduzir custos, identificar oportunidades de maximização de proveitos, e de melhorar a performance e eficiência da gestão da organização, potenciando a criação de valor para os seus stakeholders.

Uma das principais formas de atingir estes objetivos é através da implementação de Tecnologias de Informação, e alteração de modelos e processos de negócio.

Contudo, a sua implementação e correspondentes alterações são, na maior parte das vezes, efetuadas sem considerarem os respetivos riscos, o que consubstanciado em aspetos como a globalização, excessiva flexibilidade e abertura de plataformas tecnológicas, inadequado controlo de acessos, falta de privacidade da informação ou a redução de custos com recursos humanos permitem a ocorrência de eventos tais como “apagões” informáticos, incapacidade de prestar um adequado nível de serviço, roubo de identidade, espionagem industrial ou perda de confidencialidade da informação.

Tudo isto tem um impacto extremamente significativo em termos financeiros, originando, por vezes, perdas de milhões de euros e de reputação, entre outros, e, em casos mais extremos, a falência das organizações.

Os auditores de TI’s , bem como outros profissionais envolvidos nestes temas, podem e devem desenvolver um papel extremamente relevante na prevenção e deteção deste tipo de riscos, devendo, para tal, estar dotados de um conjunto de valências e correspondentes metodologias, técnicas e ferramentas, que lhe permitam desenvolver as suas atividades de modo eficaz e eficiente, aportando um efetivo valor acrescentado às suas organizações e outras partes interessadas – stakeholder value.

É com estes objetivos em vista que decidimos desenvolver este curso que consideramos extremamente relevante considerando as suas funções.

Em resposta a várias necessidades, a PwC criou este curso no sentido de dotar os profissionais envolvidos em atividades de gestão do risco de TI’s com as melhores práticas atuais ao nível de processos, metodologias, técnicas e ferramentas de auditoria de sistemas de informação, em alinhamento com os standards, frameworks e melhoras práticas internacionalmente aceites.

“If we come in every day and do our jobs as we think we know how to do them, we’ll be obsolete very quickly.” A leading CAE


PwC 18

IT Audit Risk Casos Práticos

Participar neste curso permitir-lhe-á refletir sobre estas questões essenciais e obter, entre outros, os seguintes benefícios e valor acrescentado:

• Obter maior eficiência e melhor

desempenho tanto ao nível dos processos como ao nível dos recursos;

• Ser capaz de efetuar auditoria de SI de modo eficaz e eficiente em alinhamento com as melhores práticas e standards internacionais;

• Compreender como é que os riscos e controlos de TI têm impacto nos riscos de negócio;

• Ser capaz de documentar e avaliar de modo eficaz e eficiente os riscos de TI’s;

• Analisar os controlos gerais de TI’s e o seu impacto nos processos de negócio e fiabilidade dos controlos aplicacionais;

• Alinhar a proposta de valor da auditoria interna com as expetativas dos stakeholders;

• Ser capaz de preparar planos de teste e executá-los de modo eficiente;

• Reduzir os custos de auditoria e melhorar a racionalização de recursos;

• Entender como é que o End User Computing afecta a segurança da informação;

• Gerir adequadamente o relacionamento com os stakeholders;

• Implementar uma cultura de serviço ao cliente;

• Melhorar a eficiência dos projetos de auditoria de sistemas, incluindo a utilização de tecnologias.

Este programa está desenhado de modo a incluir casos práticos e metodologias ativas de aprendizagem. Será um curso particularmente útil para os seguintes profissionais:

• Membros de Comités de Auditoria, administradores – CIO, COO, CTO;

• Auditores de TI’s/ outras áreas nos seus diferentes níveis (CAE, supervisores, auditores);

• Diretores de Sistemas de Informação;

• Responsáveis por funções de gestão do risco (Chief Risk Officers) e conformidade (Compliance Risk Managers);

• Responsáveis pela gestão do risco, controlo interno e segurança da informação;

• Responsáveis de funções de organização e métodos;

• Gestores de topo das distintas áreas de negócio – financeira, operações, outras;

• Planeamento e controlo de

gestão, recursos humanos, outras.


Formadores


Júlio Pereira Manager da PwC

JoãoManuel Rodrigues Senior Associate da PwC

1. Enquadramento

Auditoria de TI’s: definições e conceitos

Perspetiva e evolução histórica

Conceitos de TI’s e SI’s

Arquitetura de Sistemas de Informação (framework)

Sistemas de Informação vs. Tecnologias de Informação

Requisitos legais e regulamentares

• SOX

• Basel II / Solvency II

• Aviso 5 e Norma 14/2005

• PCI DSS

• Privacidade dos dados pessoais (CNPD, Dir. Europeia)

Standards e frameworks

• COSO

• CobiT

• ITIL

• NIST SP 800 – 30

• CMMI

• ISO 17999 / ISO 27002 / ISO 25999 / ISO 38500

Criação de uma função efetiva de auditoria de TI’s

Independência: o grande mito

Construção de relacionamento: parceiros vs. "polícia“

Funções e responsabilidades da equipa de auditoria de TI’s

Constituir e manter uma equipa de auditoria de TI’s

Relacionamento com auditores externos

2. IT Governance

Definições e conceitos

A relevância do IT Governance

Ligar a estratégia de negócio com a de TI’s

Gestão e organização de TI’s

Funções e responsabilidades

Políticas e procedimentos

Planeamento estratégico de TI’s

IT Steering Committee

Governação de segurança da informação

Segregação de funções: organizacional e TI’s

Gestão de custos de TI

Classificação de informação

PwC 19

3. O processo de auditoria

Controlos internos – tipos e exemplos

Metodologia de auditoria

Controlos de qualidade, monitorização, gerais e aplicacionais

Scoping

Risco de auditoria e materialidade

Técnicas de avaliação do risco

Objetivos de auditoria

Determinar o que auditar

Criação do universo de auditoria

Prioritização do universo de auditoria

Determinação do que auditar: decisão final

As fases do processo de auditoria

Planeamento da auditoria

Avaliação do risco

Preparação de programas de trabalho

Trabalho de campo e documentação

Teste de controlos

Utilização de CAAT’s e análise de dados

Identificação e validação de issues

Desenvolvimento de soluções

Preparação e emissão de relatórios

Follow up

Caso prático 1

"Preparar plano anual de auditoria, considerando factores de risco.”

Caso prático 2 "Efetuar alinhamento de estratégia de TI com objetivos estratégicos de negócio.”

Programa

IT Audit Risk

4. Planeamento da auditoria de TI

Auditoria de TI baseada no risco. O que é? Quais os benefícios?

Processo de auditoria integrada – Financeira/TI/Processos

Definição de prioridades de objetos a auditar

Desenvolvimento da estratégia de auditoria

Utilização do COSO para definir a estratégia

Utilizando o CobiT para planear a auditoria

Aplicar os guidelines do CobiT


5. Auditoria de telecomunicações

Análise de risco e ameaças de segurança de redes

Estratégia de segurança de redes

Fundamentos de auditoria de redes:

• Protocolos

• Modelo OSI

• TCP/IP

• Routers e switches

• Firewalls

• DMZ

• Sistemas de deteção de intrusão (IDS)

• Acesso remoto (VPN)

• Acesso wireless

• Estratégias e tipos de encriptação

• Layers de encriptação de redes

• PKI (Public Key Infrastructure)

• SSL (Secure Sockets Layer)

• Assinaturas digitais

Tipologias de rede, riscos e controlos:

• Star

• Ring

• Bus

• Mesh

• Hibrída

Riscos de TI’s emergentes (smartphones, laptops, tablets e cloud computing)

6. Software de sistema

Definição

Riscos e controlos de software de base (SO’s, SGBD)

Riscos dos utilitários sensíveis

Controlo de acessos privilegiados

Registo de atividades (log’s)

PwC 20

Caso prático 3 “Elaborar memo de

planeamento de auditoria."

“In the rush to build e-business strategies, organizations’ security efforts have not kept pace.” John Pescatore, Analyst covering computer security for Gartner Group

7. Controlos de acesso lógico

Objetivos de controlo de acesso lógico

Objetivos de autenticação

Autorização

Audit trail

Processo de gestão de contas de utilizadores

Monitorização de segurança

Autenticação Single sign-on (SSO)

Riscos e controlos de acesso remoto

Biometria

Riscos da engenharia social

Best practices de controlo de acessos

IT Audit Risk

8. Avaliação do risco

Identificação de fontes e fatores de risco, vulnerabilidades e ameaças

Riscos inerentes e riscos residuais

Estratégias de mitigação de riscos

Análise custos/benefício

Avaliação de fatores de risco

Métodos de avaliação de risco

• método avaliação qualitativa, quantitativa semi-quantitativa

• métodos de análise quantitativa: probabilidade e impacto

Programa


9. Auditoria de desenvolvimento

de projetos

Riscos dos projetos de desenvolvimento de software

Funções e responsabilidades do auditor de TI

Porque é que os auditores de TI devem ser envolvidos? Quem? Como? Quando?

Constituição da equipa de auditoria

Comunicação de responsabilidades e resultados

Metodologias de desenvolvimento/implementação: SDLC, Agile, RAD, Object Oriented

Ciclo de vida de desenvolvimento de software

• Estudo de viabilidade

• Definição de requisitos - funcionais e não-funcionais

• Desenho

• Construção

• Teste

• Documentação

• Implementação

• Revisão pós-implementação

Gestão de projeto

Avaliar os riscos do projeto – qualidade, financeiros, calendarização

Qualidade de desenvolvimento de software

Aquisição de sistemas

• Identificação de alternativas

• Análise de viabilidade técnica e económica/financeira

• Processo de aquisição: RFI (Request for Information), RFB (Request for Bid), RFP (Request for Proposal)

PwC 21

10. Auditoria de aplicações

Fundamentos de auditoria de aplicações

• Frameworks generalizados

• Best practices

Relacionamento entre controlos gerais e aplicacionais

Fluxo de transações/informação ao longo do sistema

Riscos dos controlos aplicacionais

Ciclo de vida das transações

Totalidade, validade e correcção do input/processamento / output

Riscos de incorreção da informação

Interfaces e reconciliação

Audit trails

Distribuição e retenção de dados/informação

Reporte de exceções

Identificação e correção de erros

Controlos de output

Acesso ou alterações não autorizadas a programas e dados

Riscos de EUC (End User Computing)

Caso prático 4

“Elaborar programa de trabalho indicando métodos e técnicas de auditoria.”

Caso prático 5

"Efectuar avaliação de riscos do processo de desenvolvimento de software e definir medidas de remediação"

IT Audit Risk

Programa


11. Processo de gestão de alterações

Objetivos de controlo e riscos do processo de gestão de alterações

Organização do processo de manutenção aplicacional


Solicitação – change requests

Avaliação de impacto

Análise custo/benefício

Escalonamento de resolução

Desenvolvimento de alterações

Teste de programas alterados

Aprovação de implementação

Documentação de alterações

Gestão e controlo de configurações

Controlo de versões – código fonte, compilável, executável

Distribuição de software

Gestão de bibliotecas

Alterações de emergência

Riscos e controlos de ambientes informáticos

PwC 22

12. Auditoria de Operações de TI’s

Definições e conceitos de Operações


Riscos e controlo de backups e armazenamento de dados

Planeamento e controlo de processos batch

Gestão de incidentes e problemas

Gestão de relacionamento com fornecedores – SLA’s e OLA’s

Processos de administração de dados

Gestão de performance (KPI’s)

Planeamento de capacidade e performance

Administração de redes de comunicações/SGBD’s/Software de base

Gestão de patches

Auditoria de plano de continuidade/recuperação de negócio

• Funções e responsabilidades

• Análise de impacto de negócio (BIA - Business Impact Analysis)

• Objetivos de recuperação - RTO, RPO,

• Identificação e seleção de estratégia de recuperação

• Desenvolvimento de planos - recuperação, gestão da crise, comunicação, outros

• Execução de testes do plano de continuidade

• Requisitos contratuais

• Armazenamento off-site e processamento de informação

13. Auditoria de data centres

Fundamentos de auditoria de data centres

Proteção do meio envolvente

Resiliência de sistemas e sites

Operações de data centres

Preparação face a ocorrência de desastre

Segurança física: objetivos, riscos, exposições e controlos

Riscos e exposições do meio envolvente

Controlos de proteção do meio envolvente: proteção contra incêndio, inundação e energia

Passos de auditoria

Caso prático 6 "Auditar Plano de Continuidade de Negócio/Disaster Recovery Plan e

definir plano de ação de remediação"

IT Audit Risk

Programa


PwC 23

5. Programa Avançado em Controlo Interno Dos fundamentos e componentes do controlo interno, aos business cycles, processos de negócio e gestão de risco

O Programa Avançado em Controlo Interno inclui a realização de quatro módulos de formação que abordam as principais temáticas relacionadas os fundamentos e componentes do controlo interno, business cycles, processos de negócio e gestão de risco.

O atual ambiente económico coloca enormes desafios às organizações que são cada vez mais obrigadas a atingir elevados níveis de performance e reduzir custos, o que origina um conjunto acrescido de riscos e crescimento exponencial de falhas de controlo interno, conforme se tem vindo a verificar em casos como o Lehman Brothers, Societé Generale, Toyota, Ford, Kodak, entre outros. É deste modo cada vez mais crítico que as organizações possuam adequados sistemas de gestão do risco e controlo interno, alinhados entre si e integrados na sua cadeia de valor e processos de negócio, de modo a ser possível, em cada momento, atingir os objetivos estratégicos de negócio e potenciar a criação de valor ao acionista.

A nossa experiência permite-nos verificar que a gestão do risco e o controlo interno existem na maior parte das organizações, ainda que nem sempre de forma alinhada, sob um adequado nível de coordenação e supervisão e integrados nos restantes sistemas de governação. Em resposta a esta necessidade criámos um programa elaborado que abordando várias áreas de especialidade, permite dotar os vários responsáveis por estes processos, das metodologias e ferramentas necessárias para a maximização da gestão do risco e controlo interno nas suas organizações.

Este Programa inclui os seguintes módulos de formação:

Módulo 1. Fundamentos do controlo interno

Módulo 2. Componentes do controlo interno

Módulo 3. Business cycles e processos de negócio

Módulo 4. A gestão de risco e o controlo interno


Formadores



Implementação de um sistema de CI

1. Responsabilidades: • pela implementação e manutenção do sistema de

controlo interno

• da gestão e da auditoria interna no sistema de controlo

interno

2. Como implementar e manter um sistema de controlo interno eficaz e eficiente

3. Documentação de sistemas de controlo interno: • Manuais de procedimentos ou organogramas

• Narrativas

• Questionários de controlo interno

• Control Self Assessment (CSA)

• Fluxogramas

• Matrizes de riscos e controlos

• Outra

4. Ferramentas suporte ao controlo interno

PwC 24

Outras funções de risco e controlo Estruturas de gestão

1. Estrutura de gestão e de risco e controlo

2. Definição de um framework integrado de GRC – Governance, Risk & Compliance

3. Mapeamento das fontes de assurance face aos riscos chave e requisitos de conformidade

Caso prático 1

“Definir os conceitos e drivers de controlo interno, de forma a compreender como implementar um sistema de controlo interno.”

Caso prático 2

“Identificar riscos e definir controlos de mitigação relativos a tecnologias de informação.”

As bases do controlo interno


2. Drivers de implementação do controlo interno

3. Standards e frameworks de controlo interno

4. Requisitos legais e regulamentares:

• SOX • Aviso 5/2008 do BdP • Norma 14/2005 do ISP • Principios sobre o governo das sociedades (OCDE)

5. Benefícios do controlo interno

6. Limitações do controlo interno

7. Características dos controlos internos

8. Overview das componentes do COSO

9. Controlo interno: Qual o papel da auditoria interna?

10. Como é que o controlo interno permite endereçar os objetivos estratégicos de negócio

11. Como é que o controlo interno mitiga os riscos

12. Técnicas de prevenção e deteção de riscos

13. Como documentar o controlo interno: • Fluxogramas • Matrizes de risco • Narrativas

Programa Avançado de Controlo Interno

Programa Módulo 1 Fundamentos do Controlo Interno


Do ambiente de controlo às asserções das demonstrações financeiras/gestão

1. Ambiente de controlo

2. Avaliação de risco

3. Atividades de controlo

4. As asserções das demonstrações financeiras/gestão:

• Direitos e obrigações

• Existência

• Totalidade

• Ocorrência

• Valorização

• Mensuração

• Apresentação e divulgação

PwC 25

Dos objetivos de controlo à informação, comunicação e monitorização

5. Mapeamento das asserções de gestão com os objetivos de processamento de informação

6. Objetivos de controlo de processos de negócio e planos de controlo

• Totalidade

• Exatidão

• Validade / Autorização

• Restrição de Acessos

7. Controlo de Sistemas de Informação - processos de TI: • Totalidade

• Planeamento e organização

• Aquisição e implementação

• Entrega e suporte

• Monitorização

8. Informação, comunicação

9. Monitorização

Caso prático 3

“Avaliar componentes do controlo interno e como estas endereçam os objetivos estratégicos de negócio.”

Caso prático 4

“Como elaborar matrizes de riscos e controlos de diversos processos de negócio de uma Organização.”

Programa Módulo 2 Componentes do Controlo Interno



PwC 26

Caso prático 5

“Elaborar um roadmap para a implementação/melhoria de um sistema de controlo interno.”

Caso prático 6

“Identificar indícios de fraude e definir controlos para prevenir a sua ocorrência no futuro.”

Business Cycles e

Processos de negócio

1. Produção • Planeamento de recursos

• Tendências na gestão de custos

• Planeamento e controlo da produção e

contabilização dos custos

• Gestão de stocks

• Armazenamento dos dados chave

• Supply Chain Management

2. Imobilizado

3. Gestão de recursos humanos

4. Contabilidade geral e relato de negócio • Definição organizacional

• Iniciativas através da tecnologia para o reporte

do negócio

5. Alteração da abordagem aos processos de negócio

6. Componentes lógicas

7. Alteração da abordagem aos processos de negócio

8. Fornecedores e compras

Sistemas contabilístico-financeiros (AIS – Accounting Information Systems)

1. O que é um sistema de informação contabilístico- financeiro?

2. O controlo interno para além de débitos e créditos

3. Definições e conceitos de sistemas de informação

4. Processos tradicionais de gestão de dados

5. Sistemas de gestão de bases de dados

6. Requisitos de arquiteturas da organização/TI’s

Programa Módulo 3 Business cycles e processos de negócio



PwC 27

Da gestão de risco ao controlo interno


2. A gestão do risco como criação de valor acionista

3. Benefícios da gestão do risco

4. Como é que a gestão do risco endereça os objetivos estratégicos de negócio

5. Filosofia, estratégia, missão e visão de gestão do risco

6. Drivers de implementação da gestão do risco

7. Standards e frameworks de gestão do risco

8. O processo da gestão do risco: identificar, avaliar, mitigar e monitorizar/reportar

12. Como “tratar” os riscos? Das opções a planos de ‘ação’

13. Monitorizar a eficácia do sistema de gestão do risco

14. Como definir o apetite, tolerância e capacidade de risco?

15. Como elaborar um perfil de risco (“top ten risks”)

16. Como implementar uma cultura orientada à gestão do risco

17. Metodologias e ferramentas suporte à gestão do risco

Desenho da estrutura organizacional

1. A importância da liderança/sponsorização

2. Quem é responsável por desenvolver e manter o sistema de gestão do risco e controlo interno

3. Funções e responsabilidades: Quem faz o quê, como e quando

4. Linhas de reporte: Quem reporta o quê, como, a quem e quando

5. Governação da gestão do risco e controlo interno - Three lines of defense

6. Alinhamento com outras funções de supervisão/controlo

7. Como eliminar a visão em “silo”

8 . Como melhorar a comunicação interdepartamental

9. Alinhar a estrutura organizacional com a estratégia de negócio

10. Avaliar a performance da estrutura organizacional

11. Gestão do risco e controlo interno: implementar uma abordagem integrada

12. Os fundamentos de uma abordagem integrada:

• Iniciar a definição da estratégia do negócio • Desenvolver e implementar métricas integradas • Partilhar a informação na organização • Colaborar e definir accountability

13. Gestão do risco como componente da Governação

Caso prático 7

“Elaborar plano de ação de melhoria da performance organizacional”

Caso prático 8

“Definir um Business Case para as Tecnologias de Informação”

Caso prático 9

“Efetuar diagnóstico e propor recomendações de otimização da estrutura organizacional”

Programa Módulo 4 A gestão de risco e o controlo interno



PwC 28

6. Certificação em Auditoria Interna (PwC) Especialização em auditoria interna para profissionais, assegurada por técnicos com metodologias comprovadas

Este curso com uma forte componente prática, procura dotar os recursos afetos à função de auditoria interna das melhores práticas atuais ao nível de metodologias, técnicas e ferramentas de auditoria interna em alinhamento com os standards de auditoria interna do IIA (The Institute of Internal Auditors).

No atual contexto de crise, em que as organizações estão sobre uma pressão económica significativa, os gestores de topo procuram formas alternativas de reduzir custos, identificar oportunidades de maximização de proveitos e melhorar a performance e eficiência da gestão da organização, potenciando a criação de valor para os seus stakeholders.

Sendo muitas vezes vista como uma mera função de suporte, a auditoria interna, tende a ser das primeiras áreas objeto de redução de custos.

Tal perceção não se coaduna, todavia, com um balanceamento adequado entre a necessidade de redução de custos de auditoria e manutenção de um adequado nível de qualidade desta, em especial, do cumprimento da sua missão e estratégia.

Em especial, de que modo, nesse contexto de redução de custos, a organização mantém um nível de conforto adequado relativamente ao funcionamento do seu sistema de controlo interno e processo de gestão do risco.

Neste sentido, é essencial a mudança do foco da auditoria interna para uma abordagem mais estratégica ao nível da governação, gestão do risco e conformidade estratégica.

É também fundamental que os recursos afetos à função de auditoria interna dominem as técnicas e ferramentas suporte ao processo de auditoria de modo a maximizar o seu desempenho e eficiência, e minimizar os custos incorridos na realização dos projetos de auditoria.

In today’s challenging business environment, maximizing internal audit is an imperative!


Auditoria interna Certificação PwC

PwC 29

A realização deste curso constitui uma mais-valia para si e para a sua empresa, constituindo uma base sólida e de referência no mercado.


• Melhoria de eficácia e eficiência das atividades de auditoria interna;

• Melhoria do sistema de controlo interno aplicado na organização;

• Gestão proativa e preventiva dos riscos de negócio, entre outros;

• Minimização de eventuais perdas e riscos operacionais;

• Maximização de oportunidades de negócio, no contexto aplicável de processos de auditoria interna;

• Redução dos custos de auditoria e melhor racionalização de recursos;

• Promoção da inovação e melhoria contínua da qualidade.

• Melhoria da eficiência e do desempenho tanto ao nível dos processos como dos recursos.

• Alinhamento da proposta de valor da auditoria interna e das expetativas dos stakeholders.

• Foco nos riscos e issues críticos de negócio.

• Gestão adequada do relacionamento com os stakeholders.

• Implementação de uma visão de auditoria interna focalizada nos clientes (internos e externos).

• Melhoria da eficiência dos projetos de auditoria, incluindo a utilização de tecnologias.

• Avaliar um processo de negócio e/ou de suporte;

• Definir um plano estratégico de auditoria;

• Desenvolver uma matriz de risco e controlo;

• Desenvolver um ‘memo’ de planeamento para a realização de um trabalho de auditoria interna;

• Identificar indícios de fraude e definir quais os controlos a implementar;

• Desenvolver um template de um relatório de auditoria interna.

Este programa inclui vários casos práticos que enriquecem a experiência formativa, entre os quais destacamos:


A gestão das expetativas dos Stakeholders

1. Mapeamento das expetativas dos stakeholders

2. Definição do tipo de serviços da auditoria interna

3. Definição da missão e visão da função

4. Alterações necessárias para satisfazer a nova proposição de valor

Caso prático

Relacionamento com outras funções de risco e controlo

1. Órgãos de risco e controlo

2. Definição de um framework integrado de governação, risco e conformidade

3. Mapeamento das fontes de assurance contra os riscos chave e requisitos de conformidade

PwC 30

Introdução ao controlo interno

1. COSO – Internal Control Framework e COSO – Enterprise Risk Management

2. Objetivos do controlo interno

3. Componentes do controlo interno:

• Ambiente de controlo

• Avaliação de risco

• Atividades de controlo

• Informação e comunicação

• Monitorização

4. Responsabilidades da gestão e da auditoria interna no sistema de controlo interno

5. Limitações do controlo interno

Planeamento estratégico da função de auditoria interna

1. O planeamento estratégico na auditoria interna

2. Desenvolvimento de um plano estratégico

3. Alinhamento do plano estratégico da auditoria interna com a estratégia da empresa

Caso prático

Gestão de risco corporativa e o auditor interno

1. Enterprise Risk Management

2. Processo de gestão do risco:

• Identificação

• Avaliação

• Mitigação

• Reporte

• Monitorização

3. Indicadores úteis (KPI’s, KRI’s e KCI’s)

4. Tendências da avaliação do risco

5. Como elaborar uma avaliação do risco efetiva?

Caso prático

Planeamento de auditoria

1. Planeamento de auditoria baseado no risco

2. Vantagens da auditoria baseada no risco e dos planos de auditoria baseados no risco

3. A importância do trabalho preliminar

4. Compreensão do ambiente de controlo

5. Documentação do sistema de controlo interno

6. Elaboração de programas de trabalho alinhados com os objetivos e âmbito da auditoria

7. Áreas a considerar para um trabalho mais efetivo

Caso prático

Certificação em Auditoria Interna (PwC)

Programa


Tecnologias para maximizar a eficiência da auditoria

1. Como aumentar a eficiência e a eficácia da auditoria interna?

2. Como aumentar a utilização da tecnologia?

3. A utilização de CAAT’s (Computer Assisted Auditing Techniques) na execução das auditorias

Prevenção e deteção da fraude

1. Definições e tipos de fraude

2. Preocupações relativas à fraude

3. O “triângulo” da fraude: incentivos/pressão, racionalização e oportunidade

4. Identificação do papel da auditoria interna

5. Standards do IIA relativos à detecção e investigação da fraude

6. Áreas potenciais de ocorrência de fraude

7. Técnicas para prevenir/detetar a fraude

Caso prático

Qualidade na auditoria interna

1. Como melhorar o desempenho da auditoria interna?

2. Implementação de um programa de qualidade e melhoria contínua (Quality Assurance & Improvement Programme)

3. Drivers de qualidade e melhoria contínua

Comunicação e reporte efectivos

1. Preparação e entrega de relatórios baseados no risco

2. Plano de comunicação efetiva – externa e interna

3. Objetivos e tipos de comunicação/reporte de auditoria

4. Guidelines para a emissão de relatórios tempestivos

5. Follow-up

Caso prático

Gestão do trabalho de campo

1. Avaliação dos riscos de sistemas de informação – controlos gerais de tecnologias de informação

2. Avaliação dos riscos dos processos de negócio/controlos aplicacionais

3. Revisão do trabalho de campo e dos papéis de trabalho

4. Registo das conclusões da auditoria e respetivas recomendações

5. Utilização da gestão de projetos na auditoria

Caso prático

PwC 31

Certificação em Auditoria Interna (PwC)

Programa




Formadores

7. Revisão da Qualidade da Função de Auditoria Interna Da função de auditoria interna e sua supervisão, às incidências decorrentes da revisão da qualidade do exercício dessa função

O clima de alterações na envolvente do negócio impõe uma melhor governação, responsabilidade e transparência, criando novas imposições para a auditoria interna. Os eventos da última década têm levado as organizações a reavaliar as estratégias e capacidades das suas funções Auditoria interna, de modo a melhorar a sua eficácia e eficiência. Assim, as Comissões de auditoria e a gestão de topo procuram obter respostas relativas à qualidade e eficácia das funções de auditoria interna.

Adicionalmente, os standards do Instituto de Auditores Internos (The IIA) estabelecem que as funções de Auditoria Interna deverão ser avaliadas por entidade externa e independente a cada cinco anos, de modo a assegurar a conformidade com os standards para a prática profissional emitidos por aquele Instituto.

Esta revisão pode ser efectuada totalmente por entidades externas independentes ou, de modo a reduzir custos, através de auto-avaliação, desde que validada por entidade externa independente.

Em resposta a esta necessidade criámos este curso, com uma forte componente prática, no sentido de dotar os recursos afectos à função de auditoria interna com as capacidades e ferramentas necessárias para a realização de auto-avaliações, em alinhamento com os standards de auditoria interna do IIA, bem como com as melhores práticas atuais ao nível da revisão da qualidade da função de Auditoria Interna.

Entre os principais benefícios da realização deste curso, destacamos: • Capacidade de avaliar a função de

AI de modo eficaz e eficiente, em conformidade com os standards de auditoria e com competência na demonstração aos stakeholders da qualidade e valor acrescentado da função;

• Maior eficiência e eficácia no desempenho da função, tanto ao nível dos processos como dos recursos, sempre com estímulo pela inovação e melhoria contínua da qualidade;


PwC 33

A Envolvente da Avaliação da Auditoria Interna

1. Standards e práticas recomendadas aplicáveis

2. Programa de qualidade e melhoria contínua

3. Drivers de qualidade e melhoria contínua

4. Avaliação interna e avaliação externa

5. Avaliação externa vs. Auto Avaliação com validação independente: Prós e contras

6. Âmbito da avaliação

7. Como obter o compromisso da comissão de auditoria/ comissão executiva

Metodologia de auto-avaliação

1. Planeamento e preparação

1.1. Orientações para o planeamento da avaliação da AI

1.2. Estabelecimento da equipa

1.3. Definição dos produtos resultantes

1.4. Ferramentas e instrumentos disponíveis

Caso Prático: Preparação de um questionário de auto-avaliação

Preparação para a validação independente

Preparação | Lessons learned de outras avaliações externas e internas de qualidade da função Auditoria Interna

Metodologia de auto-avaliação (cont)

2. Execução

2.1. Avaliação da conformidade com os standards e plano de acções

2.1.1. Enquadramento da Função de Auditoria no modelo global de governação incluindo a sua articulação com os stakeholders

2.1.2. Estrutura e organização da função de AI

2.1.3. Avaliação de risco e processo de planeamento

2.1.4. Gestão de recursos humanos

2.1.5. Tecnologias de informação

2.1.6. Processo de auditoria

2.1.7. Produção e medição do valor acrescentado pela função de auditoria interna à organização


Caso Prático: Avaliação da sua função de auditoria interna

3. Reporte

3.1. Comunicação dos resultados e monitorização


Caso Prático: Preparar um relatório de auto-avaliação

Revisão da Qualidade da Função de AI

Programa




Formadores

Este curso é orientado para todos os profissionais, de vários setores de atividade e tipologias de indústria.

Constitui de especial relevo e interesse para os gestores de topo das várias áreas, financeiras, operacionais, de tecnologias de informação, planeamento, gestão de risco, compliance e controlo, bem como das áreas de controlo de gestão e seguros.

8. Soluções alternativas de transferência de riscos Soluções alternativas a considerar na gestão de riscos e questões fiscais, das soluções de ‘cativas’ às PCCs (Protected Cell Companies)

PwC 34

Este programa incide sobre a que soluções alternativas de transferência de risco podem as empresas recorrer e quais os aspetos de natureza fiscal que devem ser tidos em consideração na sua eventual implementação.

A que soluções posso recorrer para melhor enfrentar estes novos desafios?

Este programa especializado conta a monitoria de reconhecidos profissionais internacionais do setor, com a colaboração da MLearning. A MLearning, empresa de gestão de conhecimento do Grupo MDS tem como propósito processar, organizar e estruturar a informação passível de ser partilhada com o mercado e a sociedade em geral, fazendo o melhor uso do capital de conhecimento do Grupo em que se insere.

O seu objetivo passa por desenvolver estratégias que privilegiam a inovação, o acesso ao estado da arte do conhecimento de risco e seguro, a reinvenção e a criação de novas óticas sobre os produtos tradicionais do mercado e a identificação de novos riscos e das suas soluções de gestão. A atuação da MLearning abrange quatro principais áreas: a formação propriamente dita ao nível do desenvolvimento de competências

em risco e seguros; a organização de seminários e conferências; a partilha ativa e estruturada de documentação e publicações, através do Centro de Gestão de Conhecimento; e o desenvolvimento de publicações e conteúdos próprios.


PwC 35

1. Introduction – Why consider retaining risk?

2. What are Captives and PCC’s?

3. Why are they estabilished in certain Domiciles /Juridictions?

4. What type of risks to they write?

Insurance, Non-insured and Non-insurable + Customer Insurance

5. Feasibility studies and capital requirements

6. Establishment, management and life of captive

7. Case studies for captives and cells

8. Introduction to HighDome PCC Limited

5. Aspetos fiscais e regulamentares da solução ‘Cativa’

• Otimização da estrutura: ponto de vista regulamentar - Requisitos de capital - Atuação, em regime de livre prestação de serviços na UE - Autorização / registo para exercer a atividade em outras juridições • Otimização da estrutura: ponto de vista fiscal - Juridições com regime fiscal variável - Distribuição dos resultados da cativa de seguros • Preços de transferência • Impostos e taxas parafiscais incidentes sobre os prémios de seguros e comissões

6. Aspetos fiscais: A solução PCC

• Comparação com as estruturas tradicionais

Soluções alternativas de transferência de riscos

Programa


Formadores

Adrião Silva Diretor da PwC

Yannick Zigmann Sócio e Diretor Geral da 2RS

Nick Wild Executive Chairman JLT Insurance

Augusto Paulino Manager da PwC

Paulo Sousa Manager da PwC

De acordo com estudos publicados recentemente, os atos de fraude aumentam a cada ano que passa. Este tipo de evento tem efeitos devastadores, quer para a economia em geral, quer para os vários agentes económicos, com ênfase para as empresas, acionistas e colaboradores. Qualquer que seja o esquema de fraude praticado ou o setor onde ocorre, a consequência é invariavelmente a mesma: perda de confiança dos investidores, perdas financeiras avultadas, deterioração da imagem, marca e reputação e perda de credibilidade.

Pode ainda adicionar-se um sentimento de impunidade e desmotivação junto dos colaboradores, nos casos em que a fraude não é devidamente tratada.

A PwC criou este workshop orientado para decisores, CFO’s, auditores internos, investigadores e financial controllers.

É um workshop que visa a partilha de conhecimento, abordando a fraude desde a sua definição à investigação.

Este workshop tem como objetivo abordar o tema da fraude de A a Z. Abordaremos, com uma forte componente prática, os vários aspetos conexos com a fraude, desde a avaliação do risco, prevenção, mitigação, deteção de indícios e pistas até à investigação de atos suspeitos, salientando a necessidade de apoio jurídico. Os participantes ficarão dotados de conhecimentos para planear uma investigação.

9. Workshop Prevenção e Investigação da Fraude Das técnicas e práticas de prevenção e deteção de situações de fraude, às ações de investigação e metodologias de trabalho

PwC 36

• Classificação e tipificação da fraude;

• Análise e avaliação do risco de fraude e a importância do “Tone at the top”, enquanto elemento diferenciador;

• Prevenção e mitigação de esquemas de fraude;

• Planeamento e desenvolvimento de uma investigação a atos suspeitos;

• Planeamento do impacto pós-investigação para a organização.

Este programa inclui vários casos práticos que enriquecem a experiência formativa e permitirá aos participantes obter, reforçar e desenvolver as suas competências:


Formadores

Patrique Fernandes Partner da PwC


PwC 37

1 – Enquadramento

Legislação relevante, regulamentos e standards

profissionais.

2 – Definição da fraude

Definições e apresentação dos principais organismos especializados no seu combate.

3 – Tipificar a fraude

Árvore da fraude, modelo de Lindquist e Bologna, triângulo da fraude, fraude financeira e tecnológica.

4 – Gestão do risco da fraude

Avaliação do risco, processos internos para gestão do risco, corporate governance (“Tone at the top”), modelo de gestão do risco, papel do auditor interno.

5 – Prevenção da fraude

Análise das várias funções e responsabilidades, técnicas e ferramentas (e.g. programas anti fraude, sistemas de controlo interno) e suporte à prevenção do risco de fraude.

6 – Mitigação da fraude

Definição de estratégia e plano de ações de mitigação do risco de fraude, como resultado da sua avaliação, considerando sempre uma adequada relação custo/benefício.

7 – Investigação de fraudes

Abordagem e metodologia, entrevistas, análise de evidências, conclusão / acusação.

Prevenção e investigação da fraude

Programa

Como definir um plano de prevenção da fraude? Que medidas e ações devo implementar?


Dia 1

Dia 2

PwC 38

Formadores e especialistas convidados

Luís Fortes Advisory Manager da PwC

Manager na divisão de Consulting do departamento de Advisory Services da PwC, dispõe de uma vasta experiência profissional e de formação nas áreas de especialidade de auditoria e controlo interno, melhoria de processos e gestão de projetos em distintos setores de atividade. É detentor da certificação CIA - Certified Internal Auditor pelo IIA – The Institute of Internal Auditors. É membro do IIA (The Institute of Internal Auditors, USA) e do IPAI (Instituto Português de Auditoria Interna), e com frequência formador interno e externo da PwC.

Jaime Duarte Advisory Senior Manager da PwC

É atualmente responsável pela área de GRC e pela coordenação de projetos de avaliação e implementação de sistemas de gestão do risco e controlo interno (e.g. Sarbanes-Oxley) incluindo risco de TI, desenvolvimento de frameworks, definição de planos de ações e roadmaps, seleção de ferramentas, em distintas indústrias e setores de atividade em concreto (Banca, Seguros, Transportes e Telecomunicações). É detentor de diversas certificações internacionais, nomeadamente CISA, CGEIT, CRISC, CRMA, sendo membro do IIA, IPAI e da ISACA. Orador em inúmeras ações, cursos e intervenções sobre auditoria de sistema de informação, gestão do risco e controlo interno.

Patrique Fernandes Advisory Partner da PwC

Partner que lidera a área de Forensic Services, sendo também responsável pela gestão do risco da PwC em Portugal. Tem uma vasta experiência em investigações de fraude e outras irregularidades em múltiplos setores de atividade. A sua reconhecida competência em matérias económicas, financeiras e contabilísticas faz com que seja frequentemente nomeado perito em disputas judiciais ou arbitragens. Também presta assessoria em litígios, e foi orador em várias conferências de auditoria interna e de fraude.

PwC 39



Paulo Sousa Advisory Manager da PwC

Manager responsável pela divisão de Forensic Technology Solutions, dentro da área de Forensic Services. Possui uma especialização em análise forense de dispositivos eletrónicos e em técnicas de e-Discovery.

Dispõe de vasta experiência através da sua integração em equipas internacionais, na recolha de evidências eletrónicas em investigações de fraudes e atos irregulares de gestão. Tem experiência internacional em investigações encobertas e descobertas. Também tem um vasto e profundo conhecimento de sistemas de informação ao nível de desenho, programação, implementação e administração.


PwC 40

João Manuel Rodrigues Advisory Senior Associate da PwC

Como consultor e auditor possui experiência diversificada resultante da participação em diferentes projetos nacionais e internacionais, nomeadamente, Auditoria a Sistemas de Informação, IT Governance, avaliação de segregação de funções, CAAT's (Computer Assisted Audit Techniques), avaliação de risco de TI’s, avaliação de controlo gerais de TI’s com foco nos principais sistemas e bases de dados de referência do sector financeiro, sistemas operativos (ex: OS/400, Solaris, AIX, VMS, Windows Server), sistemas (ex: ICBS, Banka, Financa, GIS, Kondor, Swift, Reuters), base de dados (ex: Oracle , SQL Server) e avaliação de controlos aplicacionais de processos e segurança de sistemas legacy e ERP (ex: SAP e Peoplesoft).

.

Júlio Pereira Advisory Manager da PwC

Desenvolve a sua atividade profissional como gestor de projetos do departamento de Advisory na Divisão de Systems and Process Assurance. Como consultor possui experiência no desenvolvimento de projetos na área de avaliação e auditoria a sistemas de informação em diversos sectores de atividade, análise e melhoria de processos de Controlo de Receita (Revenue Assurance) e Sistemas de Informação (IT Governance Framework). Possui experiência diversificada resultante da participação em diferentes projetos, nomeadamente, em trabalhos de avaliação de risco ou desenvolvimento de manuais de procedimentos, e projetos de implementação de controlos Sarbanes Oxley.


Yannick Zigmann Sócio e Diretor Geral da 2RS

Licenciado em Direito Legal, Yannick Zigman é sócio e Diretor Geral na Risk & Reinsurance Solutions (2RS) , tendo desempenhado diferentes responsabilidades na área da gestão de seguro e resseguro de cativas. Trabalhou como subscritor na área de riscos industriais. Foi ainda diretor geral de uma companhia de seguros e responsável pelo desenvolvimento comercial de major accounts no mercado das cativas em diferentes empresas do ramo, dispondo de uma vasta experiência nesta área de especialidade.

PwC 41

Adrião Silva Tax Diretor da PwC

Iniciou a atividade profissional em 1987 numa empresa internacional de auditoria como consultor em assuntos de natureza fiscal e contabilística, possuindo uma experiência significativa na área do IRC, IRS e IVA. Está na PwC desde 1993, sendo especialista em matérias de IRC, tendo trabalhado em diversos projetos de planeamento fiscal junto de empresas nacionais e internacionais, bem como de assessoria permanente junto de clientes, com especial relevância ao nível do setor segurador. É licenciado em Organização e Gestão de Empresas (ISCTE) e Revisor Oficial de Contas.

Augusto Paulino Tax Manager da PwC

Significativa experiência na prestação de serviços de assessoria fiscal, com especialização em matérias de IRC, tendo trabalhado em diversos projetos de assessoria permanente junto de clientes nacionais e internacionais. Possui ainda experiência em operações de reestruturação, projetos de due diligence fiscal e preços de transferência. Esteve envolvido em diversos projetos de implementação dos IAS/IFRS no setor segurador e de conversão para o SNC. É licenciado em Economia, pelo ISEG, e possui Pós-Graduação em Gestão Fiscal das Organizações.


Nick Wild Executive Chairman (Ex Americas) da JLT Insurance Management

Com uma vasta experiência profissional na indústria seguradora de mais de 30 anos, dos quais os últimos vinte e cinco anos a criar e gerir ‘empresas cativas’. Atualmente assume posições de relevo e senioridade na gestão de duas empresas de ‘captive management’, tendo a responsabilidade de criar e gerir mais de setenta cativas. Assume ainda responsabilidades significativas no Board de dezenas de empresas desta área, em domínios de negócio de significativa transversalidade.


Contactos

Conhece a nossa revista on-line? Se a deseja subscrever, visite o website www.pwc.pt/academy ou contacte-nos.

© 2013 PricewaterhouseCoopers /AG - Assessoria de Gestão, Lda. Todos os direitos reservados. PwC refere-se à

PwC Portugal, constituída por várias entidades legais, ou à rede PwC. Cada firma membro é uma entidade legal

autónoma e independente. Para mais informações consulte www.pwc.com/structure.

Informações PwC’s Academy Tel: 213 599 000 Fax: 213 599 986 Soluções formativas à medida Andreia Gonçalves Nascimento Tel: 213 599 287 Fax: 213 599 986 [email protected] Lisboa Palácio Sottomayor Rua Sousa Martins, 1 - 2º 1069-316 Lisboa Porto o’Porto Bessa Leite Complex Rua António Bessa Leite, 1430 - 5º 4150-074 Porto

governance, risk, compliance & fraud · •o que é a cultura organizacional? ... •...

Documents