universidade candido mendes pÓs-graduaÇÃo “latu sensu ... · gerando um plano de cargos e...
TRANSCRIPT
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATU SENSU”
PROJETO A VEZ DO MESTRE
OS BENEFÍCIOS PARA UMA ENTIDADE DE FUNDO
DE PENSÃO PRIVADO AO ESTABELECER
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
PAULO RICARDO LOPES VOLTZ
LUCIANO GERARD
Professor Orientador
SETEMBRO, 2010
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATU SENSU”
PROJETO A VEZ DO MESTRE
OS BENEFÍCIOS PARA UMA ENTIDADE DE FUNDO DE PENSÃO PRIVADO AO ESTABELECER SISTEMA DE
GESTÃO
DE SEGURANÇA DA INFORMAÇÃO
Monografia apresentada como requisito indispensável para a pós- graduação latu-sensu em Auditoria e Controladoria .
Autor: Paulo Ricardo Lopes Voltz
SETEMBRO, 2010
AGRADECIMENTOS
À Deus, minha “força” nos momentos difíceis, minha “luz” nos momentos de escuridão.
Aos meus pais, pelo carinho e dedicação e apoio constante.
Aos colegas de faculdades pela amizade companheirismo
Aos professores pelos ensinamentos que me fizeram subir mais um degrau em
minha vida pessoal e profissional.
À toda diretoria da empresa UHY Moreira – Auditores pelo apoio, incentivo e
cobrança permanente da necessidade do desenvolvimento continuado de seus
executivos.
Dedico a meus filhos Thales, Thomas, Nikolas e Anthony, amigos e familiares que tiveram participação direta e indireta no processo, apoiando e aceitando a distância.
RESUMO
O objetivo do trabalho é apresentar os benefícios para a entidade Fundo de Pensão de Privado, ao estabelecer o Sistema de Gestão de Segurança da Informação, quanto no tratamento da informação, objetivando a sua Confidencialidade, Disponibilidade e sua Integridade aos Gestores, Empregados, Fornecedores, Contribuintes, Beneficiários, Patrocinadores, Órgão Regulador, Fisco e a Sociedade com relação a legislação praticada, normas, regulamentos, estatuto social, entre outros fatos relevantes direcionados aos Fundos de Pensão Privado.
Palavras-chaves: Fundos de Pensão; Sistema de Informação; Segurança da Informação.
METODOLOGIA
O método utilizado para desenvolvimento do trabalho foi com base da pesquisa
de Legislação e normas pertinentes ao negócio, regulamento interno, estatuto
padrão para Fundo de Pensão Privado, Norma Brasileira ABNT NBR ISO/IEC
27001:2006 – “Tecnologia da Informação – Técnicas de Segurança - Sistema
de Gestão de Segurança da Informação – Requisitos”, ABNT NBR ISO
19011:2002 – “Diretrizes para Auditorias de Sistema de Gestão de Qualidade
e/ou Ambiental”, bibliografias e depoimentos em jornais, revistas e pesquisas
na internet.
SUMÁRIO
Resumo .................................................................................................................... 05
Metodologia .............................................................................................................. 06
Introdução ................................................................................................................ 08
CAPÍTULO I - Sistema de Gestão de Segurança da Informação.............................. 11
CAPÍTULO II - Norma de Segurança de Gestão Segurança da Informação ............ 15
CAPÍTULO III - Regulamentação para Fundo de Pensão - Previdência
Complementar .................................................................................. 33
CAPÍTULO IV – Fraudes Ocorridas Contra Fundo de Pensão – Previdência
Complementar ................................................................................. 40
CAPÍTULO V - Projeto de Auditoria Sistema de Gestão Segurança da
Informação ........................................................................................ 49
Conclusão ................................................................................................................. 59
Bibliografia consultada .............................................................................................. 61
Folha de avaliação .................................................................................................... 63
8
INTRODUÇÃO
O crescimento econômico acentuado do Brasil está acelerando o
desenvolvimento cultural e se adequando aos Paises desenvolvidos através de
vários processos de transformação, deixando de lado Socialismo e partindo com
tudo para o Capitalismo, através de projetos e ações do Congresso, Senado,
Governo e Sociedade de forma geral, assim criando políticas de participação popular
no sentido de reduzir o déficit público na Previdência Social, com reformulação da
legislação, que alterou o limite mínimo de idade para aposentadoria, aumentando a
participação dos empresários e empregados na contribuição através de novas bases
de cálculos, e com critérios diferenciados para atualização dos benefícios, onde
utilizado índice de correção dos benefícios diferenciada em relação ao salário
mínimo, usando índices redutores, e assim definindo teto máximo de recebimento de
benefícios, bem abaixo dos ganhos normais de alguns profissionais durante a vida
ativa, gerando impacto negativo para o contribuinte.
Os profissionais ativos com renda superior ao teto da Previdência Social,
conhecedores do histórico de grandes executivos aposentados, onde tiveram sua
renda praticamente reduzida em até 70 % do seu salário nominal após a
aposentadoria, começaram a se mobilizar em conjunto com entidades de classe,
sindicatos e com as empresas, buscando alternativas, através de pesquisas em
vários Países, das boas práticas de projeto de poupança para quando da
aposentadoria, tendo a oportunidade do complemento da renda, sem prejuízo em
virtude da aposentadoria.
As instituições financeiras identificaram um novo nicho de mercado e as
empresa em geral uma nova forma de remunerar o profissional diferenciado,
gerando um Plano de Cargos e Salários onde o a redução do encargo e uma
remuneração equilibrada para os profissionais com remuneração acima do Teto da
Previdência Social, então surgindo assim os Fundos de Pensão de Previdência
Complementar, na qual surgiram leis, normas e resoluções para disciplinar essa
nova modalidade de benefício, com participação do empregado denominado como
beneficiários e o empregador denominado como Patrocinador.
9
A Secretaria de Previdência Complementar iniciou o desenvolvimento, ao
longo do tempo, baseando se no Conselho Monetário Nacional, legislação, normas e
resoluções, bem como foi avaliado as experiências negativas e as novas práticas da
Previdência Social e aprimorou os Fundos de Pensão de Previdência
Complementar. Atualmente a Secretaria de Previdência Social passou a ser
denominado de PREVIC1.
O Fundo de Pensão de Previdência Complementar tem regras
determinantes para alto nível de Governança Corporativa, com formação de
Conselho Fiscal, Conselho Executivo e nomeação da Diretoria Executiva composta
geralmente por Superintendente, Diretor Administração/Financeiros, Diretor de
Benefícios, Diretor de Investimentos, Atuário responsável entre outros de alta
especialidade, Auditoria Interna, Auditoria Independente, Auditoria Independente da
patrocinadora.
A Diretoria em conjunto com Conselho Fiscal e Executivo desenvolvem
Políticas de Investimentos, Planos de Benefícios, Regulamentos Interno, Avaliação
de Riscos e Ações para Minimizar Riscos, Código de Ética, Controles Internos,
Planos de Cargos e Salários, Plano de divulgação de informações em site e para
Órgão Regulador, e Gerência trata de implementar e periodicamente de avaliar e
fazer os ajustes e comunicar os indicadores para alta Diretoria, assim atender a
pleno o que está previsto na Legislação, Normas de Fundo de Pensão de
Previdência Complementar.
Os Fundos de Pensão de Previdência Complementar estão com ativos na
ordem de 450 Bilhões, tornando um filé de mercado para o Governo Federal para os
investimentos estruturais para Pré-Sal (Petróleo), Copa do Mundo no ano de 2014, e
Olimpíadas no ano de 2016, embora dê para afirmar que participação dos Fundos
em grandes empreendimentos como Shoppings, Hotéis, Fundos de Investimentos
de desenvolvimento, praticamente assumindo parcialmente a posição de Banco de
Desenvolvimento.
O crescimento das oportunidades aos Gestores de Fundos de Pensão de
Previdência Complementar em ampliar as aplicações e solidificar os ativos de forma
1 PREVIC - Superintendência Nacional de Previdência Complementar
10
rápida e segura, de toda forma está preocupando os beneficiários e as
patrocinadoras, pelos altos riscos de mercado, pois não se pode deixar de lado o
objetivo principal, que é gerar aos aposentados sua renda vitalícia para ele e para
seus dependentes.
O Fundo de Pensão de Previdência Complementar não vai falir nunca, e sim
poderá faltar recursos para pagar os aposentados, isso acontecendo, se extingue o
Fundo de Pensão de Previdência Complementar, e como já comentado
anteriormente, extingue simultaneamente a Renda Vitalícia, sendo que tal fato já
aconteceu com alguns Fundos de Pensão de Previdência Privada, gerado pela falha
de Gestão combinada com Fraude.
Os Executivos de muitos Fundos de Pensão de Previdência Privada são
amadores e sem experiência em Gestão, e a PREVIC através de seu comitê
fiscalizador está gerando novas regras para exigência de desenvolvimento de
continuidade de capacitação para os executivos e limitadores de despesas
administrativas para Fundos de Pensão de Previdência Complementar, e ao mesmo
tempo o mercado está desenvolvendo ferramentas de Tecnologia da Informação
para controlar e monitora os Gestores contra a fraude.
Os Gestores de Fundo de Pensão de Previdência Complementar estão
passando por uma grande turbulência, ou seja, os riscos do negócio estão
aumentando, a estrutura funcional aumentando, PREVIC fiscalizando mais e
gerando inúmeras regras com aplicação imediata, os beneficiários e patrocinadores
com mais expertise e com muita informação estão cada vez participativo.
Tudo acontecendo em favor ao crescimento dos Fundos de Pensão de
Previdência Complementar, mas em contrapartida aumentando a demanda e volume
de transações, número de profissionais envolvidos, da concorrência pelo mesmo
negócio, portanto os riscos são significativos, e os Gestores precisam avaliar
permanentemente o Sistema de Gestão de segurança da Informação, verificando se
a Política de Segurança da Informação está de acordo com o negócio, analisando a
matriz de risco e ações corretivas e preventivas. Para evidenciar os Benefícios ao
estabelecer o Sistema de Gestão de Segurança da Informação Adequado pode
trazer para uma excelência na Gestão de Fundo de Pensão Previdência
Complementar será comentando nos capítulos a seguir procedimentos de boas
práticas de mercado.
11
CAPÍTULO I
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Sistema de Gestão de Segurança da Informação é baseada em uma
abordagem de risco a instituição, para estabelecer, implementar, operar monitora,
manter e melhorar a segurança da informação.
O Sistema de Gestão inclui ao Fundo de Pensão, estrutura, política,
atividades de planejamento, responsabilidade, práticas, procedimentos, processos e
recursos. Para o gerenciamento da segurança da informação, seu escopo, a
administração e os recursos dependerão do tamanho do Fundo de Pensão. Convém
que a segurança da informação seja parte integral da cultura de operação e
negócios do Fundo.
Gestão de segurança da informação não é um exercício pontual, e deve ser
vista como uma atividade permanente de melhoria contínua. A segurança da
informação corretamente gerenciada facilita os negócios.
Um sistema de segurança da informação corretamente gerenciada facilita
os negócios, pois nenhuma instituição pode operar de maneiro exitosa no mundo
atual sem segurança da informação. Um Sistema de gestão de controles
cuidadosamente escolhidos, que sejam adequadamente implementados e utilizados,
contribuindo positivamente para o sucesso da instituição, deixando de ser apenas
mais um custo no balanço final.
Somente sobreviverão e crescerão as instituições que forem capazes de
manter e atingir de forma sistemática suas metas. As organizações que deixarem de
atingir suas metas perderam gradualmente o mercado e desaparecerão. Existem
vários exemplos dessas instituições.
A informação é um dos ativos mais valioso de uma organização, sem
proteção adequada, a informação pode ser revelada, violada ou divulgada de forma
não-autorizada, modificada sem o conhecimento da instituição para se tornar menos
valiosa, perdida sem rastreabilidade ou chance de recuperação, indisponível quando
necessária.
12
A informação é responsabilidade de todos da instituição, no sentido que
esteja adequadamente protegida das varias ameaças. A informação deve ser
protegida e adequadamente gerenciada como qualquer outro ativo importante da
organização, de forma constante e pró-ativa.
Confidencialidade, Integridade e Disponibilidade são os fundamentos da
segurança da informação.
Confidencialidade visa assegurar a proteção da informação para que
esteja disponível, em qualquer forma, enquanto armazenada, processada ou
transportada, apenas para instituição ou pessoas sejam autorizadas pelo seu
responsável. Existem muitas formas de controle de acesso basicamente para
proteger a confidencialidade, por exemplo a codificação da informação.
Integridade visa assegurar que a informação seja exata e completa no
armazenamento e transporte, que seja corretamente processada e que não seja
modificada de uma forma não-autorizada. Controles de integridade são essenciais
em sistemas operacionais, softwares e aplicativos a fim de prevenir corrupções
intencionais dos programas e dados durante o processamento.
Disponibilidade visa assegurar que os usuários autorizados tenham
acesso à informação e ativos associados quando necessários. Na prática a
disponibilidade da informação requer um sistema de controles, por exemplo,
backups de informação, planejamento da capacidade, procedimentos e critérios para
aceitação de sistemas, procedimentos de incidentes, gestão de mídias removíveis,
procedimento de manuseio da informação, manutenção e testes de equipamentos,
procedimentos para monitoramento de uso do sistema e procedimentos de
continuidade da instituição.
É fundamental que uma instituição identifique os seus requisitos de
segurança da informação. Existem três fontes principais, sendo que a primeira é
obtida a partir da análise e avaliação de riscos, levando-se em conta os objetivos e
estratégias globais da instituição.
Através da análise e avaliação de riscos, são identificadas as ameaças aos
ativos e as vulnerabilidade destes, e realizada destes, e realizada uma estimativa da
13
probabilidade de ocorrência das ameaças e do impacto potencial ao Fundo de
Pensão.
A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as
cláusulas contratuais que o Fundo de Pensão, seus parceiros comerciais,
contratados e provedores de serviço têm que atender, além do seu ambiente
sociocultural.
A terceira fonte é o conjunto particular de princípios, objetivos e os requisitos
do negócio para o processamento da informação que um Fundo de Pensão tem que
desenvolver para apoiar suas operações.
Os requisitos de segurança da informação são identificados por meio de uma
análise e avaliação sistemática dos riscos de segurança da informação. Os gastos
com os controles precisam ser balanceados de acordo com os danos causados ao
Fundo de Pensão geradas pelas potenciais falhas na segurança da informação. Os
resultados da análise e avaliação de riscos ajudarão a direcionar e determinar as
ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da
segurança da informação, e para a implementação dos controles selecionados para
a proteção contra estes riscos.
Identificados os riscos e as decisões para tratamento, convém que os
controles apropriados sejam selecionados e implementados para assegurar que os
riscos sejam reduzidos a um nível aceitável. A seleção de controles de segurança da
informação depende das decisões do Fundo de Pensão, baseado nos critérios para
aceitação de risco, nas opções para tratamento do risco e no enfoque geral da
gestão de risco aplicado a Fundo de pensão, e convém que também esteja sujeito a
todas as legislações e regulamentações nacionais e internacionais, relevantes.
Os controles considerados essenciais para um Fonte de Pensão, sob ponto
de vista legal são:
- Proteção de dados e privacidade de informações pessoais;
- Proteção de registros do fundo de pensão;
- Direitos de propriedade intelectual;
- Documento da política de segurança da informação;
- Atribuição de responsabilidades para a segurança da informação;
14
- Conscientização, educação e treinamento em segurança da informação;
- Processamento correto nas aplicações;
- Gestão de vulnerabilidades técnicas;
- Gestão de continuidade de negócio;
- Gestão de Incidentes da Informação e Melhorias.
Convém observar, embora todos os controles sejam importantes e devam
ser consideradas, a relevância de qualquer controle deve ser determinada segundo
os risco específicos do Fundo de Pensão está exposto.
Os fatores críticos para o sucesso da implementação da segurança da
informação dentro de um Fundo de Pensão são:
1 - Política de segurança da informação, objetivos e atividades, que reflitam os objetivos;
2- Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que sejam consistentes com a cultura;
3-Comprometimento e apoio visível de todos os níveis;
4 -Um bom entendimento dos requisitos de segurança da informação, da análise e avaliação de riscos e da gestão de risco;
5- Divulgação eficiente da segurança da informação para todos envolvidos para se alcançar a conscientização;
6- Distribuição de diretrizes sobre a política de segurança da informação para todos envolvidos;
7- Provisão de recursos financeiros para as atividades da gestão da segurança da informação.
8- Provisão de conscientização, treinamento e educação adequados;
9- Estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação;
10-Implementação de sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação parara obtenção de sugestões para a melhoria.
15
CAPÍTULO II
NORMA DE SEGURANÇA DE GESTÃO SEGURANÇA DA
INFORMAÇÃO – REQUISITOS
A norma² especifica os requisitos para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de
Segurança da Informação documentado dentro do contexto de risco do Fundo de
Pensão.
Os requisitos da norma são genéricos, porém a exclusão de quaisquer dos
requisitos especificados nas seções 4, 5, 6, 7 e 8 não é aceitável para o Fundo de
Pensão com objetivo de atender a norma. Qualquer exclusão de controles
considerados necessários para satisfazer aos critérios de aceitação de riscos
precisa ser justificada.
Para estabelecer o Sistema de Gestão de Segurança da Informação em um
Fundo de Pensão deve ser definida política de Sistema de Gestão de Segurança da
Informação documentada de acordo com escopo e os limites característicos do
Fundo de pensão, a localização, ativos, tecnologia, legislação, regulamentos,
obrigações contratuais; gestão de risco, estabelecer os critérios em relação que
riscos serão avaliados e que tenha aprovação da direção.
A definição da abordagem de análise e avaliação dos riscos com uma
metodologia de análise e avaliação e os critérios de aceitação, ou seja, identificando
os níveis aceitáveis de risco.
Identificação dos riscos dos ativos dentro do escopo Sistema de Gestão de
Segurança da Informação e os proprietários destes ativos, as ameaças, a
vulnerabilidade e o impacto que as perdas de confidencialidade, integridade e
disponibilidade podem causar aos ativos.
Analisar e avaliar o impacto para o Fundo de Pensão que podem resultar de
falhas na segurança, a probabilidade real de ocorrência de falhas de segurança à luz
de ameaças e vulnerabilidades em relação aos controles implementados, estimando
16
os níveis de riscos, determinando se os riscos são aceitáveis ou se requerem
tratamento utilizando critérios para aceitação de riscos estabelecidos.
Identificar e avaliar as opções para tratamento de riscos, se os controles são
apropriados e aceitação dos riscos de forma consciente e objetivamente, desde que
satisfaçam claramente às Políticas do Fundo de Pensão e aos critérios de aceitação
de riscos, evitando riscos, bem como transferir os riscos para terceiros como as
seguradoras e fornecedores.
O estabelecimento de Sistema de Gestão de Segurança da Informação se
completa com a seleção dos objetivos de controles de controles para tratamento de
riscos, preparação da declaração de aplicabilidade incluindo os objetivos de
controles selecionados, implementados e a justificativa da exclusão de quaisquer
controles de controles do anexo A da norma.
Os riscos de Fundo de Pensão são definidos com de mercado, de crédito,
operacional, de liquidez, de descasamento entre ativos e passivos.
Em seu artigo intitulado “Gestão de Riscos em Fundos de Pensão no Brasil:
Situação Atual da Legislação e Perspectivas “, Fernando Ceschin Rieche (2005)
afirma que:
Os principais riscos com os quais as entidades fechadas de previdência complementar (EFPCs), também conhecidas como fundo de pensão, tem que lidar na gestão de seus recursos: risco de mercado, risco de crédito, risco operacional, risco de liquidez e risco de descasamento entre ativos e passivos. Além disso, são apresentadas as técnicas mais utilizadas pata mitiga-los e analisados os instrumentos de gestão de riscos a luz da legislação brasileira, procurando-se avaliar o quão adequadas e efetivas são as nossas exigências legais. Por fim, compara-se a legislação brasileira aos princípios estabelecidos pela Organização para Cooperação e Desenvolvimento Econômico (OCDE) para regulação de fundos de pensão.
É fundamental obter da direção a aprovação dos riscos residuais propostos,
bem como a autorização para implementar e operar Sistema de Gestão de
Segurança da Informação.
17
2.1. A implementação do Sistema de Gestão de Segurança da
Informação o Fundo de Pensão
Deve ter formulado um plano de tratamento de riscos que identifique a ação
de gestão apropriada, recursos, responsabilidade e prioridades. Ao implementar o
plano de tratamento de riscos para alcançar os objetivos de controles identificados,
que inclua considerações de financiamentos e atributos de papéis e
responsabilidades.
Deve definir como medir a eficácia dos controles ou grupos de controles
selecionados, e especifica como estas medidas devem ser usadas para avaliar a
eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis. É
fundamental implementar programas de conscientização e treinamento, bem como
gerenciar as operações e o recursos para o Sistema de Gestão Segurança da
Informação. Procedimentos e outros controles capazes de permitir a pronta detecção
de eventos de segurança da informação e resposta a incidentes de segurança da
informação soa boas práticas de implementação.
2.2. A monitoração do Sistema de Gestão de Segurança da
Informação o Fundo de Pensão
Deve executar procedimentos de monitoração e análise crítica e outros
controles com objetivo de detectar erros nos resultados de processamento,
identificar tentativas de violação, permitir a direção determinar se as atividades de
segurança da informação são delegadas a pessoas por meio tecnologia da
informação e que são executadas conforme esperado, ajudar a detectar eventos de
segurança da informação e assim prevenir incidentes pelo uso de indicadores e
determinar ações tomadas para solucionar uma violação foram eficazes.
É importante realizar análise critica do Sistema de Gestão da Segurança da
Informação, medir a eficácia dos controles e analisar criticamente as análise e
avaliações de riscos em intervalos planejados, levando em consideração mudanças
relativas a:
18
I. Fundo de pensão;
II. Tecnologias;
III. Objetivos e processos de negócios;
IV. Ameaças identificadas;
V. Eficácia dos controles implementados; e
VI. Eventos externos, tais como mudanças nos ambientes legais ou
regulamentares, alterações contratuais e mudanças na conjuntura social.
Registrar ações e eventos que possam ter um impacto na eficácia ou
desempenho do Sistema de Gestão de Segurança da Informação de um Fundo de
Pensão.
2.3. Manter e melhorar o Sistema de Gestão de Segurança da
Informação de um Fundo de Pensão
Deve regularmente implementar as melhorias identificadas, executar ações
preventivas e corretivas, comunicar as ações de melhorias a todas as partes
interessadas com um detalhamento apropriado e assegurar-se de que as melhorias
atinjam os objetivos desejados.
2.4. A melhoria do Sistema de Gestão de Segurança da Informação
o Fundo de Pensão
Deve continuamente melhorar a eficácia por meio do uso da política da segurança
da informação utilizando-se dos resultados de auditoria, análises de eventos
monitorados, ações corretivas e preventivas e análise critica pela direção.
A ação corretiva é um procedimento documentado com objetivo eliminar
uma não-conformidade, logo determinar as causas, avaliar a necessidade da ação
para assegurar para que não ocorram novamente e determinar e implementar ações
necessárias, bem como registrar os resultados das ações corretivas e analisar
criticamente as ações executadas.
19
A ação preventiva é um procedimento de eliminar as causas de não-
conformidade potenciais, de forma a evitar sua ocorrência. O procedimento
documentado deve identificar não-conformidades potenciais e suas causas, avaliar a
necessidade de ações a evitar a ocorrência, determinar e implementar as ações
necessárias, registrar os resultados e analisar criticamente a ações executadas.
O Fundo de Pensão deve identificar mudanças nos riscos, bem como os
requisitos de ações focando atenção nos riscos significativamente alterados.
A prioridade de ações preventivas deve ser determinada com base nos resultados
da análise e avaliação dos riscos.
A documentação do Sistema de Gestão de Segurança da Informação de um Fundo
de Pensão deve incluir:
Ø Declarações da política e objetivos;
Ø Escopo;
Ø Procedimentos de controles;
Ø Descrição de metodologia de análise de riscos;
Ø Relatório de análise e avaliação de riscos;
Ø Plano de tratamento de riscos;
Ø Registros;
Ø Declaração de aplicabilidade;
A documentação do Sistema de Gestão de Segurança da Informação
devem ser protegidas e controladas das seguintes formas :
Ø Aprovar pela diretoria;
Ø Analisar criticamente e atualiza;
Ø Assegurar que as alterações sejam identificadas;
Ø Assegurar que as versões estejam disponíveis;
Ø Assegurar que permaneçam legíveis e prontamente identificáveis;
Ø Assegurar que estejam disponíveis aos autorizados;
20
Ø Assegurar que de origem externa sejam identificados;
Ø Assegurar que a distribuição sejam controlados; e
Ø Prevenir o uso não intencional de documentos obsoletos.
Os registros devem ser estabelecidos e mantidos para fornece evidência de
conformidade aos requisitos e da operação eficaz do Sistema de Gestão de
Segurança da Informação. Os controles necessários para a identificação,
armazenamento, proteção, recuperação, tempo de retenção e disposição de
registros devem ser documentados e implementados.
A responsabilidade da alta direção pelo Sistema de Gestão de Segurança
da Informação e identificada através:
Ø Comprometimento na garantia do estabelecimento do Sistema de Gestão de
Segurança da Informação;
Ø Gestão de recursos através de provisão orçamentária;
Ø Treinamento, conscientização e competência, autorizando programas de
desenvolvimentos eficazes;
Ø Determinando auditoria interna e externa de forma periódica;
Ø Participando ativamente da análise critica; e
Ø Tomando decisões e ações relacionadas as análises critica do processo.
O Sistema de Gestão e Segurança da Informação para ter sucesso é
fundamental a participação de todos colaboradores em um Fundo de Pensão.
Os objetivos de controles e controles do Sistema de Gestão de Segurança
da Informação de uma entidade são verificados de acordo com a lista de verificação
abaixo:
- Política da segurança da informação:
- Documento;
- Análise crítica.
21
- Organizando a segurança da informação:
Infra-estrutura
§ Comprometimento da direção;
§ Coordenação;
§ Atribuição de responsabilidades;
§ Processo de autorização para recursos;
§ Acordos de confidencialidade;
§ Contato com autoridades;
§ Contato com grupos especiais; e
§ Análise critica independente.
Partes externas
§ Identificação dos riscos relacionados;
§ Identificação quando tratando com os clientes; e
§ Identificação nos acordos com terceiros.
Gestão de ativos
Responsabilidades pelos ativos
§ Inventário;
§ Proprietário;
§ Uso Aceitável.
Classificação da informação
§ Recomendações;
§ Rótulos e tratamento;
22
Segurança em recursos humanos:
Antes da contratação
§ Papeis e responsabilidades;
§ Seleção;
§ Termo r condições.
Durante a contratação
§ Responsabilidades da direção;
§ Conscientização, educação e treinamento; e
§ Processo disciplinar.
Encerramento ou mudanças da contratação
§ Encerramento de atividades;
§ Devolução de ativos; e
§ Retirada de direitos de acesso.
Segurança física e do ambiente:
Áreas seguras
§ Perímetro de segurança física;
§ Controles de entrada física;
§ Segurança em escritórios, salas e instalações;
§ Proteção contra ameaças e do meio ambiente;
§ Trabalhando em áreas seguras; e
§ Acesso do público, áreas de entrega e de carregamento.
23
Segurança de equipamentos
§ Instalação e proteção do equipamento;
§ Utilidades;
§ Segurança do cabeamento;
§ Manutenção dos equipamentos;
§ Segurança dos equipamentos fora da dependências;
§ Reutilização e alienação segura de equipamentos; e
§ Remoção de propriedade.
Gerenciamento das operações e comunicações
Procedimentos e responsabilidades operacionais
§ Documentação;
§ Gestão de mudanças;
§ Segregação de funções;
§ Separação dos recursos de desenvolvimento, teste e de produção.
Gerenciamento de serviços terceirizados
§ Entrega de serviços;
§ Monitoramento e análise crítica de serviços;
§ Gerenciamento de mudanças para serviços.
Planejamento e aceitação dos sistemas
§ Gestão de capacidade;
§ Aceitação de sistemas.
24
Proteção contra códigos maliciosos e códigos móveis
§ Controles contra códigos malicioso;
§ Controles contra códigos móveis.
Cópias de segurança
§ Cópias de segurança das informações
Gerenciamento da segurança em redes
§ Controles de redes;
§ Segurança dos serviços de rede.
Manuseio de mídias
§ Gerenciamento de mídias removíveis;
§ Descarte de mídias;
§ Procedimentos para tratamento de informação;
§ Segurança da documentação dos sistemas.
Troca de informações
§ Política e procedimentos para troca de informações;
§ Acordos para a troca de informações;
§ Mídias em trânsito;
§ Mensagem eletrônicas;
§ Sistemas de informações do negócio.
25
Serviços de comércio eletrônico
§ Comércio eletrônico;
§ Transações on-line;
§ Informações publicamente disponíveis;
Monitoramento
§ Registros de auditoria;
§ Monitoramento do uso do sistema;
§ Proteção das informações dos registros (logs);
§ Registros (log) de administrador e operador;
§ Registros (logs) de falhas; e
§ Sincronização dos relógios.
Controle de acessos
Requisitos de negócios para controle de acesso
§ Política de controle de acesso
Gerenciamento de acesso do usuário
§ Registro de usuário;
§ Gerenciamento de privilégios;
§ Gerenciamento de senha do usuário;
§ Análise crítica dos direitos de acesso de usuário.
Responsabilidade dos usuários
§ Uso de senhas;
§ Equipamentos de usuários sem monitoração;
26
§ Política de mesa limpa e tela limpa;
Controle de acesso à rede
§ Política de uso dos serviços de rede;
§ Autenticação para conexão externa do usuários;
§ Identificação de equipamento em redes;
§ Proteção e configuração de portas de diagnóstico remotas;
§ Segregação de redes;
§ Controle de conexão de rede;
§ Controle de roteamento de redes;
Controle de acesso ao sistema operacional
§ Procedimentos seguros de entrada no sistema (log-on);
§ Identificação e autenticação de usuários;
§ Sistema de gerenciamento de senha;
§ Uso de utilitários de sistemas;
§ Desconexão de terminal por inatividade;
§ Limitação de horário de conexão.
Controle de acesso à aplicação e à informação
§ Restrição de acesso à informação;
§ Isolamento de sistemas sensíveis.
Computação móvel e trabalho remoto
§ Computação e comunicação móvel;
§ Trabalho remoto.
27
Aquisição, desenvolvimento e manutenção de sistemas de informação:
Requisitos de segurança de sistema de informação
§ Análise e especificação dos requisitos de segurança;
Processamento correto de aplicações
§ Validação dos dados de entrada;
§ Controle interno do processamento;
§ Integridade de mensagens;
§ Validação de dados de saídas.
Controles criptográficos
§ Política para uso de controles criptográficos;
§ Gerenciamento de chaves.
Segurança dos arquivos do sistema
§ Controle de software operacional;
§ Proteção dos dados para teste de sistema;
§ Controle de acesso ao código-fonte de programa.
Segurança em processos de desenvolvimento e de suporte
§ Procedimentos para controle de mudanças;
§ Análise critica técnica das aplicações após mudanças no sistema operacional;
§ Restrições sobre mudanças em pacotes de software;
§ Vazamento de informações;
§ Desenvolvimento terceirizado de software.
28
Gestão de vulnerabilidades técnicas
§ Controle de vulnerabilidades técnicas.
Gestão de incidentes de segurança da informação:
Notificação de fragilidades e eventos de segurança da informação
§ Notificação de eventos de segurança da informação; e
§ Notificando fragilidades de segurança da informação.
Gestão de incidentes de segurança da informação e melhorias
§ Responsabilidades e procedimentos;
§ Aprendendo com os incidentes de segurança da informação;
§ Coleta de evidências.
Gestão da continuidade do negócio
Aspectos da gestão da continuidade do negócio, relativos à segurança da
informação
§ Incluindo segurança da informação no processo de gestão da continuidade de
negócio;
§ Continuidade de negócios e análise e avaliação de riscos;
§ Desenvolvimento e implementação de planos de continuidade relativos à
segurança da informação;
§ Estrutura do plano de continuidade do negócio;
§ Teste, manutenção e reavaliação dos planos de continuidade do negócio.
29
Conformidade
Conformidade com requisitos legais:
§ Identificação da legislação;
§ Direitos de propriedade intelectual;
§ Proteção de registros organizacionais;
§ Proteção de dados e privacidade da informação pessoal;
§ Prevenção de mau uso de recursos de processamento da informação; e
§ Regulamentação de controles de criptografia.
Conformidade com normas e política de segurança da informação e
conformidade técnica
§ Conformidade com as políticas e normas de segurança da informação;
§ Verificação da conformidade técnica.
Considerações quanto à auditoria de sistemas de informações
§ Controles de auditoria de sistema de informação;
§ Proteção de ferramentas de auditoria de sistemas de informação.
É importante comentar que são 11 (onze) seções e 33 (trinta e três)
controles, sendo que nem todas as entidades utilizarão todos os 33 (trinta e três)
controles, porém é fundamental justificar a exclusão de qualquer um dos controles
de forma correta.
30
Figura 1 – Estrutura dos Controles de Controles
15 – Conformidade 1.Conformidade com Requisitos Legais/2. conformidade com Normas e Políticas de Segurança e Conformidade Técnica/3. Considerações Quanto à Auditoria de Sistema de Informação.
14 – Gestão
de C
ontin
uidad
e do Neg
ócio
1. A
specto
s da G
estão da C
ontin
uidad
e do Neg
ócio
, Relativo
s à Seg
uran
ça da In
form
ação
10 – Gerenciamento das Operações e Comunicações 1. Procedimentos e Responsabilidades Operacionais/2. Gerenciamentos de Serviços Terceirizados/3. Planejamento e Aceitação dos sistemas/4. Proteção Contra Códigos Maliciosos e Códigos Móveis/5. Cópias de segurança/6. Gerenciamento da Segurança das redes/7. Manuseio de Mídias/8. Troca de Informações/ 9. Serviços de Comércio Eletrônico/ 10. Monitoramento.
7 - Gestão de Ativo
s 1. Res
ponsabilidad
e Pelos Ativo
s/2. Class
ificaç
ão da Inform
ação
6 - Organizando a Segurança da Informação 1. infra-estrutura da Segurança da Informação/ 2. Partes Externas
5 – Política de Segurança 1. Política de Segurança da Informação
13 – Gestão de Incidentes de Segurança da Informação 1. Notificação de Fragilidades de Segurança da Informação/2. Gestão de Incidentes de segurança da Informação e Melhorias
12 – Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação 1. Requisitos de Segurança de Sistema de Informação/2. Processamento Correto de Aplicações/3. Controles Criptográficos/4. Segurança dos Arquivos do Sistema/5. Segurança em Processos de desenvolvimento e de Suporte/6. Gestão de Vulnerabilidades Técnicas
11 – controle de Acesso 1. Requisitos de Negócio para Controle de Acesso/2.Gerenciamento de Acesso de Usuário/3.Responsabilidade dos Usuários/4. Controle de Acesso à Rede/5. controle de Acesso ao Sistema Operacional/6. Controle de Acesso à Aplicação e à Informação/7. Computação Móvel e Trabalho Remoto
8 - Segurança em Recursos Humanos 1.Antes da Contratação/2. Durante a Contratação/ 3. Encerramento ou Mudança da Contratação
9 – Segurança Física e do Ambiente 1. Áreas Seguras/2. Segurança de
Equipamentos
31
Figura 2 -Modelo de PDCA³ Aplicado aos Processos de Sistema Gestão Segurança Informação
Fonte:
Planejar, Estabelece o Sistema Gestão Segurança da Informação - PLAN
Estabelecer a política, objetivos, processo e procedimentos do Sistema
Gestão Segurança Informação relevantes para a gestão de riscos e melhoria da
segurança da informação para produzir resultados de acordo com as políticas e
objetivos globais de uma entidade.
Fazer, Implementar e Operar o Sistema Gestão Segurança Informação – DO
Implementar e operar a política, controles, processo e procedimentos do
Sistema Gestão Segurança Informação da entidade.
Partes Interessadas
Expectativas e Requisitos de Segurança da Informação
Partes Interessadas Segurança da Informação Gerenciada
** PLAN ** Estabelecimento Sistema Gestão
Segurança Informação
** DO ** Implementação e Operação Sistema Gestão Segurança
Informação
** CHECK ** Monitoramento e Análise Critica Sistema Gestão
Segurança Informação
** ACT ** Manutenção e
Melhoria Sistema Gestão Segurança
Informação
32
Checar, Monitorar e Analisar Criticamente o Sistema Gestão Segurança
Informação – CHECK
Avaliar e, quando aplicável, medir o desempenho de um processo frente à
política, objetivos e experiência prática do Sistema Gestão Segurança Informação e
apresentar os resultados para a análise crítica pela direção.
Agir, Manter e Melhorar o Sistema Gestão Segurança Informação – ACT
Executar as ações corretivas e preventivas, com base nos resultados da
auditoria interna do Sistema Gestão Segurança Informação e da análise crítica pela
direção ou outra informação pertinente, para alcançar a melhoria contínua do
Sistema Gestão Segurança Informação.
33
Capítulo III
REGULAMENTAÇÃO PARA FUNDO DE PENSÃO
PREVIDÊNCIA COMPLEMENTAR
O Fundo de Pensão – Previdência Complementar é um negócio muito
atrativo e a moda de mercado na captação de recursos das empresas em
desenvolvimento, e o risco é alto para os gestores, onde é fundamental a
identificação, avaliação e o tratamento dos riscos de forma quase precisa.
Os Fundos de Pensão são regulados e fiscalizados pelo Ministério da
Previdência Social por intermédio do Conselho de Gestão da Previdência
Complementar, e da Previc, porém outros órgãos possuem papel normativo oi
fiscalizador como o Conselho Monetário Nacional, Comissão de Valores Mobiliários
e secretaria da Receita Federal.
A seguir na figura 3 será demonstrada a estrutura da funcionalidade das
normas e regulamentos que abordam a Governança Corporativa, comentadas
algumas normas, resolução, instrução de controles.
34
Figura 3 – Regulamentos que abordam Governança Corporativa para Fundo de Pensão
4
Lei Complementar 108 29/05/2001 - Públicas
Lei Complementar 109 29/05/2001 – Abertas e
Fechadas
Emenda Constitucional
nº 20 16/12/1998
Decreto nº 4942
30/12/2003
Resolução MPS/CGPC 28 26/01/2009
Resolução MPS/CGPC 17 28/03/2006
Resolução MPS/CGPC 20 17/09/2002
Resolução MPS/CGPC 18 28/03/2006
Resolução MPS/CGPC 01 19/12/2001
Resolução MPS/CGPC 03 19/12/2001
Resolução MPS/CGPC 13 01/10/2004
Resolução Bacen 3792 26/09/2009
Resolução MPS/CGPC 29 31/08/2009
Procedimento Fiscalização Penalidades
Procedimentos Contábeis
Instituidor Parâmetros Técnicos Atuariais
Prazo para Prestação de Informações
aos Participantes
Auditoria Atuarial e de Benefícios
Aplicação de Recursos dos planos de Benefícios
Governança Corporativa, Gestão e controles Internos
Limites Despesas
Administrativas
Auditoria Externa
35
Seção 1 – Resolução MPS/CGPC nº 28, de 26/01/2009 – Procedimentos
Contábeis
Regulamenta a padronização do plano de contas, das demonstrações
financeiras e regra contábeis especificas para Fundo de Pensão – Previdência
complementar.
Seção 2 – Resolução MPS/CGPC n° 17, de 28/03/2006 – Auditoria
Regulamenta a periodicidade de 5 (cinco) exercícios para a troca da
auditoria independente, bem como a definição da empresa trocada só após três.
Seção 3 – Resolução MPS/CGPC n° 20, de 17/09/2002 - Instituidor
Regulamenta a constituição e funcionamento do Fundo de Pensão –
Previdência Complementar e Planos de Benefícios constituído pelo instituidor.
Seção 4 – Resolução MPS/CGPC nº 18, de 28/3/2006 - Parâmetros Técnicos
Atuariais
Estabelece parâmetros técnicos atuariais para estruturação de plano de
benefícios de Fundo de Pensão – Previdência Complementar, e dá outras
providências.
Seção 5 - Resolução MPS/CGPC nº 01, de 19/12/2001 – Prazo para Prestação
de Informações para seus Participantes
Estabelece o prazo para prestação de informações para os Fundos de
Pensão – Previdência Complementar para seus participantes.
36
Seção 6 - Resolução MPS/CGPC nº 03, de 19/12/2001 – Condições para
Realização de Auditoria de Benefícios
Estabelece as condições para realização de auditorias de benefícios em
Fundo de Pensão – Previdência Complementar.
Seção 7 - Resolução MPS/CGPC nº 13, de 01/10/2004 – Governança
Corporativa e Controles Internos
Estabelece princípios, regras e práticas de governança, gestão e controles
internos a serem observados pelo Fundo de Pensão – Previdência Complementar.
Seção 8 - Resolução MPS/CGPC nº 29, de 31/08/2009 – Limite Despesas
Administravas
Dispõe sobre os critérios e limites para custeio das despesas
administrativas pelo Fundo de Pensão – Previdência Complementar, e dás outras
providencias.
Seção 9 – Resolução Bacen nº 3792, de 26/09/2009 – Aplicação dos Recursos
Garantidores dos Planos Administrados
Dispõe sobre as diretrizes de aplicação dos recursos garantidores dos
planos administrados pelo Fundo de Pensão – Previdência complementar.
Seção 10 – Estrutura e Governança do Fundo de Pensão – Previdência
Complementar.
A legislação regulamenta a estrutura de governança para Fundo de Pensão
– Previdência Complementar conforme figura 2 e abaixo a de fundamentação, bem
como descrição e definição de cada parte integrante dessa estrutura.
37
Figura 4 – Estrutura e Governança do Fundo de Pensão – Previdência Complementar
Conselho Deliberativo
O Conselho deliberativo é um órgão representante dos interesses dos
patrocinadores, participantes e assistidos, a presença no Fundo de Pensão –
Previdência Complementar deve ser definida como um órgão permanente de
disciplina e avaliação da diretoria executiva, e ao Conselho Fiscal, conforme a lei
complementar de nº 108, do ano de 2001, compete a determinação de:
• Política Geral de Administração do Fundo de Pensão – Previdência
Complementar e de seus Benefícios;
• Alteração de Estatuto e Regulamentos dos Planos de Benefícios;
• Gestão de Investimentos e Planos de Aplicação dos Recursos;
• Contratação do Auditor Independente Atuário;
• Nomeação e exoneração dos membros da Diretoria Executiva; e
• Exame, em grau de recursos, das decisões da Diretoria Executiva.
Assembléia Patrocinadora
Conselho Deliberativo
Diretoria Executiva
Plano Benefícios
Conselho Fiscal
Auditoria Interna
Comitê Auditoria
38
O Conselho Deliberativo do Fundo de Pensão – Previdência Complementar
deverá se composto por no máximo seis membros de forma paritária entre
representantes dos participantes, assistidos e patrocinadores, cabendo a indicação
do Conselheiro Presidente, que terá o voto qualidade².
Conselho Fiscal
O Conselho Fiscal é o órgão de controle do Fundo de Pensão – Previdência
Complementar, as condições para membros do Conselho Fiscal são as mesmas do
Conselho Fiscal, a Lei Complementar nº 108 regulamenta a composição por no
máximo quatro membros, sendo paritária entre representantes de patrocinadores,
assistidos, cabendo indicação do Conselheiro Presidente, que terá o seu voto e o
voto de qualidade.
A lei complementar nº 109 prevê a mesma regra de composição e de
requisitos para os membros dos Conselho Fiscal e do Conselho Deliberativo.
O Conselho Fiscal é responsável por examinar e emitir parecer sobre a aderência da
gestão dos recursos garantidores dos planos de benefícios e em relação a normas
em vigor e a política de investimentos, a aderência das premissas e hipóteses
atuariais, a execução orçamentária, demonstrações financeiras e prestação de
contas.
Diretoria Executiva
A Diretoria Executiva é responsável pela administração do Fundo de
Pensão, seguindo a política definida pelo Conselho deliberativo. A Diretoria
Executiva será composta por no máximo seis membros, definidos em função do
patrimônio do Fundo de Pensão ou número de participantes, sendo previsto a forma
de composição e mandato no estatuto do Fundo de Pensão.
A Diretoria Executiva deverão atender os requisitos previstos no
regulamento do órgão regulador – PREVIC e na Lei Complementar nº 108 e 109, do
ano de 2001.
39
Comitê de Auditoria
O Comitê de Auditoria é composto de um especialista financeiro e contábil,
se reporta ao Conselho Deliberativo, não é obrigatório, porém se tornou requisito de
boas práticas de governança corporativa do Fundo de Pensão.
Auditoria Interna
Auditoria Interna é realizada pela equipe interna do Fundo de Pensão, se
reporta ao Conselho Deliberativo, não é obrigatória, porém se tornou boas práticas
de governança corporativa no Fundo de Pensão.
Ao longo desse capítulo foi apresentada parte da regulamentação do Fundo
de Pensão, evidenciando a preocupação dos legisladores em mitigar os riscos
estratégicos, financeiros, operacionais e regulatório, deixando claro também a
necessidade de ser feita a monitoração freqüente da aplicação pelos Gestores,
através de um Sistema de Gestão de Segurança da Informação.
40
CAPÍTULO IV
FRAUDES OCORRIDAS CONTRA FUNDO DE PENSÃO
PREVIDÊNCIA COMPLEMENTAR
Nesse capítulo serão apresentados alguns artigos e reportagens de
algumas fraudes ocorridas contra o patrimônio dos Fundos de Pensão, sendo os
gestores os maiores responsáveis, bem como a falta de um Sistema de Gestão de
Segurança da Informação, segue abaixo relatos de fraudes.
“Furnas e o seu fundo de pensão”2
“Os diretores dos fundos têm autonomia para tomar decisões de
investimento, nem sempre acertadas ou confiáveis. E esses fundos têm sido
protagonistas de episódios de má gestão. Em 1997, a CPI dos títulos públicos
mostrou que os Fundos Petros, Telos (dos funcionários da Telebrás) e Funcef
sofreram grandes prejuízos ao aplicar recursos em títulos dos Estados de Santa
Catarina e Pernambuco e do Município de São Paulo. Como os fundos não podem
comprar os títulos no mercado primário, recorrem a intermediários. Algumas
operações tiveram fortes indícios de fraude, pois os fundos pagaram mais caro do
que os papéis realmente valiam em mercado. Estimou-se, à época, que a aquisição
de títulos de Santa Catarina resultou em prejuízo de R$ 38 milhões para o Petros,
R$ 37 milhões para o Telos e R$ 23 milhões para o Funcef.
Prejuízos ainda maiores ocorreram com os precatórios da Prefeitura
paulistana. Da chamada "corrente da felicidade" participavam as distribuidoras de
valores JHL, Split, Ativação e Olímpia, além da IBF Factoring e o Banco Vetor, que
já desapareceram. Depois daqueles escândalos houve mudanças favoráveis aos
fundos. A Secretaria da Previdência Complementar (SPC) submeteu-os a
fiscalização mais rigorosa. Três dirigentes do Fundo Núcleos foram autuados pela
SPC, por prejuízos estimados em R$ 40 milhões na aquisição de títulos públicos. 2Artigo do Jornal Estado de São Paulo editorial de 23 de fevereiro de 2009 Disponível em :< http://arquivoetc.blogspot.com/2009/02/furnas-e-o-seu-fundo-de-pensao.html >
41
Outros fundos estatais continuaram a mostrar maus resultados de
investimentos passados, como a participação em imóveis não concluídos ou em
empreendimentos deficitários, como o Parque Tangará, hotéis do Sauipe e parques
turísticos. Outro exemplo de gestão deficiente foi o desequilíbrio atuarial do Fundo
Petros, que obrigou a Petrobrás a aportar dezenas de bilhões de reais à entidade de
previdência, em que predominam planos muito generosos com os trabalhadores
defendidos pela Federação Única dos Petroleiros (FUP).
Há um ano e meio, o PMDB indicou Luiz Paulo Conde para dirigir Furnas - e, por
duas vezes, ele tentou afastar o presidente do Real Grandeza, Sérgio Ferraz Fontes,
e o diretor de Investimentos, Ricardo Gurgel. Conde foi substituído por um
funcionário de carreira da estatal, Carlos Nadalutti Filho, também indicado pelo
PMDB - e, novamente, a diretoria quis trocar a chefia do fundo e os empregados de
Furnas mobilizaram-se contra ela. "A legislação garante que os dirigentes do fundo
devem seguir seu mandato até o fim e que os membros do Conselho não devem
seguir ordem de ninguém", afirmou a presidente da associação dos aposentados
(Pós-Furnas), Tânia Vera de Araújo. "Para um presidente do fundo ser exonerado
tem que haver um motivo mais forte do que o apresentado."
Os empregados de Furnas são os beneficiários do fundo de pensão e a
garantia da aposentadoria complementar depende da boa gestão da carteira de
investimentos. O Real Grandeza já foi vítima de má gestão, perdendo R$ 150
milhões em certificados de depósito bancário do Banco Santos. Seus diretores foram
punidos pela SPC e substituídos - e o fundo de Furnas optou por uma política de
investimentos mais conservadora.
O Real Grandeza deu prova de boa gestão em 2007 - quando teve superávit
de R$ 1,2 bilhão, contabilizado como lucro da Eletrobrás, que é a controladora de
Furnas. Qualificação técnica e seriedade é só o que se espera dos gestores de
fundos.”
42
“Fraudes em Planaltina”3
“Ex-tesoureira do Prevplan conta como recursos desapareceram em negociações
com corretora e prefeitura”
Cheques robustos, um rombo milionário, violência e ameaças. Esse é o
enredo que envolve as contas do Fundo de Previdência dos Servidores de Planaltina
de Goiás (Prevplan). Josiane Tomaz de Oliveira, ex-tesoureira da entidade e peça
chave nas investigações do Ministério Público, relata fraudes e irregularidades na
gestão do fundo. Revela ainda que parte do dinheiro desapareceu em negociações
com a corretora Euro, investigada pela Comissão Mista Parlamentar de Inquérito
(CPMI) dos Correios, em 2006. Uma empresa que deixou um rastro de prejuízos em
Tocantins e no Rio de Janeiro e era investigada por ter quebrado pelo menos três
regimes de previdência. A mulher decidiu vir a público depois de ser agredida pelo
atual presidente da Prevplan, Benedito Castro da Rocha.
Em 25 de abril, o Correio denunciou movimentações suspeitas entre as
contas da Prefeitura e do fundo de previdência. Um cheque de R$ 720 mil havia sido
retirado da Prevplan e depositado no Fundo para a Educação Básica. “Na época me
chamaram no gabinete do prefeito e disseram que a Previdência ia fazer um
empréstimo para a Prefeitura. Eu achei estranho, mas como recebia ordens,
obedeci. Depois, a secretária de Educação me disse que precisava de apenas R$
330 mil para quitar as contas e que tinha devolvido o restante dos R$ 700 mil para a
Prefeitura. Não faço ideia de onde foi parar esse dinheiro”, disse Josiane Tomaz.
O rombo no Fundo de Previdência de Planaltina de Goiás (Prevplan) está
estimado em R$ 4 milhões, segundo a ex-tesoureira. Parte do dinheiro teria
desaparecido em negociações com a extinta corretora Euro. “Assim que o Ozano
(Barcelos de Oliveira, presidente até julho de 2009) assumiu, o prefeito pediu para
vender os títulos que estavam na Euro. O fundo perdeu muito dinheiro nessa venda
com operações de deságio. A diferença, muita gente embolsou”, afirmou Josiane
sem citar nomes. Um técnico qualificado do governo federal que preferiu não se
identificar informou que os Regimes Próprios de Previdência, como são chamados
os fundos que devem garantir a aposentadoria de servidores municipais e estaduais,
3Artigo publicado em 20/095/2010 no Jornal Correio Braziliense.disponível em :< http://www.correiobraziliense.com.br/app/noticia182/2010/05/20/economia,i=193418/FRAUDES+EM+PLANALTINA.shtml>
43
é um prato cheio para prefeitos. “São fundos políticos a serviço de partidos”, disse.
Irregularidades
A ex-tesoureira do Prevplan concorda com a afirmação e levantou suspeitas
de que antes de assumir a direção financeira da entidade, o fundo pode ter sido
usado até para financiar campanhas. Outra irregularidade constatada por Josiane foi
acerca dos recursos arrecadados pela Prefeitura. “Eles faziam o desconto no salário
dos servidores, mas não repassavam para o fundo. Eu não recebi esse dinheiro do
desconto e não sei dizer quem recebeu”, denunciou.
Rocha negou todas as acusações. Afirmou que o Ministério Público precisa
aprofundar as investigações para “ver a verdade” e desqualificou a ex-tesoureira.
“No fim do ano nós a desligamos porque ela é de uma incompetência fenomenal.
Tivemos de refazer todos os balancetes por conta de erros dela e do antigo
contador”, disse. Ele ainda garantiu que não estapeou Josiane e que ela poderia ter
“consumido algum tipo de droga” quando ocorreu o estresse entre os dois. “Ela é
uma louca. Arremessou o copo sobre mim”, contou.
A suposta contabilidade forjada, que motivou a cena de violência na sede do
Prevplan, teria pagamentos supervalorizados para servidores e aplicações
“estranhas”, segundo Josiane. Uma delas, de R$ 28 mil na corretora Euro. Dinheiro
que teria ficado nessa empresa até dezembro de 2009, data em que a corretora já
havia deixado de funcionar. Todos esses documentos foram entregues por Josiane
ao Ministério Público.
Entenda o caso - Festival de irregularidades
» A prefeitura de Planaltina de Goiás cobrava as contribuições dos servidores para
garantir um complemento de suas aposentadorias. Mas a maior parte do dinheiro
era desviada.
» Um dos caminhos seguidos pelos gestores da Prevplan era aplicar os recursos em
corretoras de valores sem tradição no mercado, que já estavam acostumadas a
fechar negócios irregulares, de olho em uma gorda comissão.
» A principal corretora usada no esquema era a Euro, que foi citada várias vezes na
CPI dos Correios, em 2006, como uma das integrantes do mensalão, esquema que
pagava propinas a parlamentares da base aliada do governo Lula.
44
» A corretora Euro operava com títulos públicos. Em várias operações combinadas,
acertavam deságios (descontos) nos papéis, que resultavam em ganhos
extraordinários para os integrantes do esquema.
» As fraudes no PrevPlan também envolviam operações irregulares com cheques. O
órgão e a prefeitura de Planaltina misturavam os gastos, de forma a confundir os
auditores. Era recorrente ainda o uso de notas frias para justificar despesas.
» O PrevPlan criou uma folha de funcionários fantasmas e contratou, de forma
fictícia, consultorias para dar pareceres aos pedidos de benefícios feitos pelos
servidores.
» Em uma primeira auditoria, o Ministério da Previdência constatou um rombo de
aproximadamente R$ 3 milhões no caixa do fundo de previdência. Mas a ex-
tesoureira do PrevPlan Josiane Tomaz afirma que o deficit é maior e pode passar de
R$ 4 milhões.
» As denúncias das irregularidades feitas pelo Correio em 25 de abril levaram o
Ministério Público a pedir o afastamento do prefeito de Planaltina de Goiás e dos
gestores do PrevPlan. Anteontem, ao se recusar a assinar documentos fraudados
para encobrir os desvios, Josiane foi agredida pelo presidente do fundo de
previdência, Benedito Castro. O caso foi parar na delegacia da cidade.”
45
“Irregularidades em fundos previdenciários de servidores de estados e
municípios disparam”4
“O Ministério da Previdência Social acendeu o sinal de alerta após constatar
fraudes e irregularidades generalizadas em fundos previdenciários de estados e
municípios. Falta de transparência na gestão, desequilíbrio financeiro e
desaparecimento de contribuições trabalhistas encabeçam o rol dos problemas.
Apenas em 2009, 450 desses regimes foram auditados. Segundo levantamento feito
pelo Correio, quase 80% dos fundos de servidores das capitais brasileiras estão
irregulares. Nem mesmo com a instauração de inquéritos civis, os gestores dos
recursos se intimidam. O rombo na seguridade municipal já é calculado em cifras
milionárias, a exemplo da previdência da prefeitura de Planaltina de Goiás, onde o
Ministério Público tenta descobrir qual destino levaram mais de R$ 3 milhões.
Os mistérios que envolvem o vultoso sumiço no município, distante 63
quilômetros de Brasília, envolvem uma farra de cheques altíssimos, a conta bancária
do Fundo de Manutenção e Desenvolvimento da Educação Básica (Fundeb) e até
mesmo uma suposta corretora de valores no Rio de Janeiro. Na última auditoria
realizada pela Previdência no local, foram constatadas irregularidades nas
contribuições que formam o fundo. Os valores, segundo documentos obtidos pelo
Correio, foram descontados do salário de trabalhadores e do orçamento da
prefeitura, na forma de contribuição patronal, mas não chegaram ao Instituto de
Previdência dos Servidores de Planaltina (Prevplan).
Em revelações que surpreendem pela franqueza, o prefeito da cidade, José
Olinto Neto (PSC), e o presidente do Prevplan, Benedito Castro da Rocha, admitiram
o desfalque. “Parte dele é porque a prefeitura não tem dinheiro e nós fizemos um
desconto virtual nos salários e apenas geramos um débito com o fundo dos
servidores”, afirmou. “Criamos uma conta para o município pagar no futuro. O
desconto está no contracheque do servidor, mas nós não recolhemos de verdade”,
emendou o prefeito Olinto Neto. Para o Ministério Público e a Previdência, essa
contabilidade é “estranha” e os indícios mostram que os descontos são reais. “Se 4 Artigo publicado no Jornal Correio Braziliense em 25/04/2010.Disponível em :< http://www.correiobraziliense.com.br/app/noticia182/2010/04/25/economia,i=188556/IRREGULARIDADES+EM+FUNDOS+PREVIDENCIARIOS+DE+SERVIDORES+DE+ESTADOS+E+MUNICIPIOS+DISPARAM.shtml >
46
realmente houve o desconto e o dinheiro não chegou ao fundo, já se caracteriza
como improbidade administrativa. Mas só poderemos fazer uma afirmação concreta
quando a perícia nos documentos estiver pronta”, diz a promotora Lucrécia Cristina
Guimarães.
Sangria
Uma farra de cheques também colabora para que o rombo se aprofunde.
Em um único mês, o Prevplan emitiu quase 60. Com uma despesa calculada em R$
1,4 milhão ao ano com benefícios, segundo dados da projeção atuarial, o instituto
gastou, num único dia — em 31 de julho de 2009 — R$ 1,7 milhão em
transferências. O dinheiro saiu da conta do instituto quase 25 dias após o período de
pagamento aos participantes. Ainda que fosse para quitar salários, a sangria foi
muito superior aos R$ 124,2 mil gastos mensalmente com vencimentos. O valor
pagaria ainda boa parte das dívidas atrasadas de energia que a prefeitura tem com
a Celg Distribuição.
Um dos cheques emitidos no último dia de julho do ano passado, de R$ 732
mil, foi depositado na conta do Fundeb. “Por uma confusão nos números das contas
da prefeitura, o dinheiro foi parar lá. O valor é do Imposto de Renda e várias
contribuições que o instituto devia à prefeitura. Nós emitimos o boleto e o Prevplan
pagou”, relatou o prefeito. Mas, de acordo com servidores do município, o fundo da
educação estava desfalcado e os recursos não seriam suficientes para quitar as
obrigações. O cheque também é questionado pelo Ministério Público e pela
Previdência e está sendo periciado.
“Essa desculpa é muito estranha. Fundo de pensão não tem lucro do ponto
de vista contábil, tem deficit ou superavit atuarial, então não paga Imposto de
Renda”, afirma um técnico do governo federal especializado. Outra irregularidade
investigada é a falsificação do Certificado de Regularidade Previdenciária (CRP),
necessário para que os institutos recebam doações voluntárias da União. Há ainda
casos de investimentos duvidosos em títulos públicos que teriam dado prejuízos de
mais de R$ 1 milhão.
47
Memória: Prev-Rio perde R$ 70 milhões
A prefeitura do Rio de Janeiro está tentando reaver na Justiça mais de R$
70 milhões do fundo de previdência do município, o Prev-Rio. O dinheiro teria sido
aplicado irregularmente no mercado financeiro. A Casual Dinning Participações,
escolhida pelo fundo para adquirir títulos, comprou papéis da Aster Fundo de
Investimento. Mais tarde, descobriu-se que os diretores, tanto da Casual quanto da
Aster, eram os mesmos, situação que contraria as regras da Comissão de Valores
Mobiliários (CVM). O problema ainda se agravou porque o município ficou
preocupado com os riscos na operação, já que o fundo no qual os recursos estavam
aplicados existia há menos de um ano. Sem capital, cobrava taxa de 2,5% (comum
para pessoas físicas de baixa aplicação) e oferecia rentabilidade abaixo da Selic —
em resumo, um péssimo negócio. A prática pouco ortodoxa veio a público no fim de
março e, hoje, o dinheiro está em depósito judicial à espera de uma decisão para
seu destino. A Casual tenta reverter a liminar que congelou os recursos.
Maioria no vermelho
Em todo o Brasil, existem cerca de 2 mil regimes previdenciários municipais
e estaduais semelhantes ao de Planaltina que, na maioria, apresentam problemas
desde que foram criados. Apenas seis fundos de servidores públicos de capitais
estão com o nome limpo no banco de dados do Ministério da Previdência
atualmente: Distrito Federal, Rio de Janeiro, Salvador, Curitiba, Natal e Boa Vista.
As entidades das outras capitais estão no vermelho. Em função do grande volume
de suspeição, a pasta pretende criar ferramentas para aprimorar o controle desses
fundos e contabilizar o tamanho do rombo nos cofres da seguridade municipal —
volume que nunca foi avaliado.
As irregularidades mais comuns, de acordo com dados no site do Ministério
da Previdência, estão nas contribuições que são supostamente recolhidas dos
trabalhadores e dos patrões (prefeituras e governos), mas nunca depositadas. A
política de investimentos e a administração dos recursos também são pouco
transparentes e figuram entre os problemas registrados. A maioria dos fundos de
servidores geridos em grandes cidades do país está com algum problema. Os de
48
João Pessoa (PB), Belém (PA) e Macapá (AP), por exemplo, batem recordes. Cada
um coleciona seis irregularidades.
Porteira
Segundo um técnico do governo federal especializado em previdência, e
que pediu para não ser identificado, os fundos municipais e estaduais são uma
excelente ideia, mas ainda não deram certo no Brasil. Transformaram-se em uma
porteira para o enriquecimento fácil e para manobras contábeis. “Essas entidades
são pouco profissionais e acabam virando um fundo de um órgão político”, sustenta.
“A proximidade entre essas entidades e os governos não dá certo. Nos fundos de
pensão estatais já é muito complicado. Imagina nesses municipais e estaduais?”
Proximidade que, no caso de Planaltina de Goiás, é umbilical, como afirma
o presidente do Sindicato dos Servidores Públicos da Cidade, Humberto Neris. “É
muito fácil tirar dinheiro do instituto. O presidente é também advogado particular do
prefeito”, denuncia. A exemplo de Planaltina, que compõe o Entorno do DF, todos os
outros municípios da região também estão irregulares, com exceção de Padre
Bernardo. Um deles, Valparaíso, nem sequer chegou a receber a auditoria da
Previdência.”
Acima foi apresentado alguns artigos e reportagens de fraudes, onde foi
também demonstrada a fragilidade de gestão e a falta de um Sistema de Gestão de
Segurança da Informação, e no capítulo a seguir será apresentada uma Proposta de
Auditoria de Sistema de Gestão de Segurança da Informação.
49
CAPÍTULO V
PROJETO DE AUDITORIA SISTEMA
DE GESTÃO SEGURANÇA DA INFORMAÇÃO
Nesse capítulo será apresentado um plano de auditoria de Sistema de
Gestão de Segurança da Informação baseado na legislação praticada para Fundo
de Pensão, de forma detalhada, objetivando testar o situação de atual do Sistema de
Gestão de Segurança da Informação em relação às exigências da legislação
pertinente do órgão regulador. A seguir será detalhado o processo.
Figura- Órgãos Anuentes do Sistema de Gestão de Segurança da Informação
2005
2009
50
5.1. Base legal
LEI COMPLEMENTAR nº 108, de 29 de maio de 2001
Dispõe sobre a relação entre a União, os Estados, o Distrito Federal e os Municípios, suas Autarquias, fundações, sociedades de economia mista e outras entidades públicas e suas respectivas entidades fechadas de previdência complementar, e dá outras providências.
LEI COMPLEMENTAR nº 109, de 29 de maio de 2001
Dispõe sobre o Regime de Previdência Complementar e dá outras providências.
DECRETO nº 4.942, de 30 de dezembro de 2003
Regulamenta o processo administrativo para apuração de responsabilidade por infração à legislação no âmbito do regime da previdência complementar, operado pelas entidades fechadas de previdência complementar, de que trata o art. 66 da Lei Complementar nº 109, de 29 de maio de 2001, a aplicação das penalidades administrativas, e dá outras providências.
RESOLUÇÃO CGPC nº 13, de 1 de outubro de 2004
Estabelece princípios, regras e práticas de governanta, gestão e controles internos a serem observados pelas Entidades Fechadas de Previdência Complementar – EFPC.
RESOLUÇÃO CMN nº 3.456, de 1 de junho de 2007
Dispõe sobre as diretrizes de aplicação dos recursos garantidores dos planos de benefícios Administrados pelas entidades fechadas de previdência complementar.
51
5.2. Normas de Referência
Norma ABNT NBR ISO/IEC 27001
Orienta como estabelecer, implementar e documentar um Sistema de
gestão de segurança da informação (SGSI) e apresenta controles de segurança
para serem implementados de acordo com as necessidades de cada organização
individualmente.
Norma ABNT NBR ISO/IEC 27002
Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e
melhorar a gestão de segurança da informação em uma organização.
5.3.Riscos
Ø Problemas de qualidade nos cadastrados existentes, gerando:
• Para o Fundo de Pensão:
• Cálculos atuariais incorretos;
• Provisões inadequadas;
• Falhas na identificação das reservas técnicas;
• Pagamento de contribuições com valores a menor;
• Pagamento de contribuições indevidas.
Ø Para a Patrocinadora:
• Retenções indevidas em folha de pagamento;
• Repasses a maior para o Fundo de Pensão.
52
Ø Para ambos:
• Distorções no programa de custeio, assistencial e de política de investimento.
• Vulnerabilidades no processo de troca eletrônica de dados entre Fundo de Pensão
e Patrocinadora;
• Problemas de integridade, confiabilidade e disponibilidade dos dados armazenados
no sistema informatizado que controla os processos do Fundo de pensão.
5.4. Processos Alvo da Auditoria
Adesão do colaborador ao plano de benefício do Fundo de Pensão.
Recebimento dos valores descontados das folhas de
pagamento e contribuições extras.
Pagamento de benefícios de aposentadoria complementar.
Aplicação dos recursos garantidores dos planos de
benefícios.
Cálculo do passivo e resultados do Fundo de Pensão e definição de políticas de custeio do plano.
Contabilização e escrituração dos
lançamentos.
Rotinas relacionados com o back office do Fundo de Pensão.
Processos críticos
53
5.5. Metodologia
Vulnerabilidade fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
Ameaça [ISO/IEC 13335-1:2004] causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
Ativo [ISO/IEC 13335-1:2004] qualquer coisa que tenha valor para a organização.
Controle formar de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.
processos críticos
54
5.6. Avaliação
55
5.7.Escopo de Auditoria
Ø Procedimentos de segurança da informação
Avaliação da Política e Infra-estrutura de Segurança da Informação, Plano
de Continuidade de Negócios, Política e procedimentos de backup e Topologia de
Rede de acordo com práticas preconizadas pela Norma ABNT NBR ISO/IEC 27001;
Avaliação técnica do Datacenter do beneficiário, procurando analisar
aspectos de Segurança da Informação de acordo com práticas preconizadas pela
Norma ABNT NBR ISO/IEC 27002.
Ø Documentação técnica do sistema informatizado
Análise de toda documentação técnica do Sistema (descrição, objetivos,
funcionalidades, manuais técnicos e de usuários, fluxogramas, diagramas, modelo e
dicionário de dados, estruturas e mecanismos de log);
Avaliação dos princípios de integridade, disponibilidade e confidencialidade
das funcionalidades existentes no sistema informatizado.
Ø Testes do sistema informatizado
Avaliação do fluxo operacional “in-loco” objetivando validação dos tempos e
condições de registro das operações no Sistema informatizado;
Análise crítica do processo de cadastro efetuado no sistema informatizado
com foco no fluxo da informação e em contratos, levando em consideração:
Contrato (de adesão) entre o Fundo de Pensão e a Patrocinadora;
Cadastro de pessoa participante (ativo, contribuinte) e assistido (inativo e
pensionista);
Registro do Termo de inscrição;
Registro do plano de benefícios.
56
Comparação, por amostragem, de documentos físicos com os dados
armazenados no Sistema Informatizado;
Testes de confiabilidade do Sistema informatizado, relativamente:
• à integridade dos dados;
• às medidas de tempo entre falhas;
• às medidas de tempo de reparo;
• ao máximo de defeitos ou taxa de defeitos;
Interoperabilidade e integridade com outros sistemas informatizados do
Fundo de Pensão.
Ø Testes de performance do Sistema informatizado, em termos de:
• Tempo de resposta para uma transação;
• Estimativas de transações com o banco de dados;
• Quantidade de acessos simultâneos;
• Quantidade de transações por segundo; e
• Área de armazenamento.
57
5.8. Etapas da Auditoria
Relatório conclusivo com o resultado das análises realizadas
pela equipe de auditoria, com recomendações de ações.
Execução da auditoria, buscando conformidade em relação às
normas legais vigentes e boas práticas de mercado.
Com base no escopo definido, montar o plano e papéis de
trabalho.
Definição de datas e locais em que a auditoria será realizada.
Alinhamento do escopo do trabalho entre UHY e o Fundo de Pensão a fim de confirmar os processos e
58
5.9.Benefícios da Auditoria
Acima foi apresentado todo o processo de uma auditoria de sistema de
gestão de segurança da informação, e no final o benefícios que poderão ser gerados
aos gestores, patrocinadores, assistidos e participantes do Fundo de Pensão.
59
CONCLUSÃO
O Fundo de Pensão – Previdência Complementar é um negócio muito
atrativo para Gestores, Investidores, Patrocinadores, Assistidos e Participantes, com
ativos na casa de bilhões, e que apresenta um risco enorme a todos envolvidos, tais
como riscos estratégicos, financeiros, operacionais e regulatório, portanto é
fundamental ter um Sistema de Gestão de Segurança da Informação eficaz, para
que seja mitigados esses riscos e controlados, pois a regulamentação é muito bem
estruturada e ampla, determinando obrigatoriedades e controles fundamentados ao
negócios e aos riscos, mas sem estabelecer um Sistema de Gestão de Segurança
da Informação eficaz, de nada adianta a regulamentação, pois foi comentado no
capítulo anterior algumas fraudes, mesmo com uma regulamentação e com
punições severas, portanto a Gestão precisa ser monitorada, através de auditorias
independentes com uma grande freqüência.
Para estabelecer um Sistema de Gestão de Segurança da Informação é
preciso identificar os processos necessários para o sistema. A seqüência e a
interação entre esses processo deve ser determinada, e também os critérios e
métodos necessários para assegurar a operação eficaz e controle dos processos do
Fundo de Pensão – Previdência Complementar.
O Fundo deve assegurar a disponibilidade de toda informação necessária
para apoiar a operação e monitoramento desses processos.
Os processos devem se medidos, monitorados e analisados, e toda ação
necessária para atingir os resultados planejados dever ser implementado, por para
estabelecer o Sistema de Gestão de Segurança da Informação precisa ser
documentado com base na regulamentação, normas e legislação praticada, e
implementar, operar e monitorar todos os processos do Fundo de Pensão –
Previdência Complementar.
O objetivo do Fundo de Pensão – Previdência Complementar é identificar e
atender as necessidades e expectativas de seus patrocinadores, assistidos,
participantes, funcionários e outras partes interessadas (fornecedores e a
sociedade), para alcançar vantagem competitiva de uma maneira eficiente e eficaz,
e manter e melhorar o desempenho do Fundo de Pensão – Previdência
Complementar e as suas capacidades.
60
Ao estabelecer um Sistema de Gestão de Segurança da Informação não só
provê benefícios diretos, mas também traz uma importante contribuição para
gerencia custos e riscos. Benefício, custo e gestão de riscos são considerações
importantes para um Fundo de Pensão – Previdência Complementar, seus clientes e
outras partes interessadas.
Essas contribuições de desempenho global no Fundo de pensão –
Previdência Complementar podem impactar: a confidencialidade, integridade e
disponibilidade informação; lealdade dos patrocinadores, assistidos, participantes,
fornecedores e funcionários; atrair novos participantes; resultados operacionais,
receitas e participação em novos mercados; análise critica periódica de ameaças e
vulnerabilidades; utilização eficiente e eficaz dos recursos; alinhamento de
processos para alcançar o resultados desejados para o patrocinador, assistidos e
participantes; vantagens competitivas através de melhorias das capacidades do
Fundo de Pensão – Previdência Complementar; entendimento e motivação das
pessoas paras as metas e objetivos, bem como sua participação na melhoria
continua; confiança dos patrocinadores, assistidos e participantes na eficiência e
eficácia do Fundo de Pensão – Previdência Complementar, conforme demonstrado
pelos benefícios financeiros e sociais oriundos do desempenho, ciclo de vida dos
planos e aplicações dos recursos; e por fim habilidade em criar valor tanto para o
Fundo de Pensão – Previdência Complementar quanto a seus fornecedores através
da otimização de custos e recursos bem como a flexibilidade e velocidade de
respostas conjuntas ás alterações mercadológica e regulamentares.
Fica bem claro os benefícios com o estabelecimento de um Sistema de
Gestão de Segurança da Informação adequado, traz eficiência e eficácia para o
Fundo de Pensão – Previdência Complementar, oferecendo, assim,
confidencialidade, integridade e disponibilidade da informação para o patrocinador,
assistido, participantes, funcionários e o mercado.
61
BIBLIOGRFIA CONSULTADA
ABRAPP – Manual de Controles Internos. Comissão Técnica Nacional de Compliance e controles Internos. São Paulo: 2005.
ABNT, Norma Brasileira ABNT NBR ISO/IEC 27001:2006, Rio de Janeiro: 2006. ANDRADE , Crispina Fontes de. Política de Segurança da Informação Estudo de Caso: Assembléia Nacional, Campus Universitário da Cidade da Praia Cidade da Praia, Santiago - 2009.Disponível em :< http://bdigital.unipiaget.cv:8080/dspace/bitstream/123456789/247/1/Crispina%20Andrade.pdf.>Acesso em 24 de agosto de 2010. ATTIE, Willian. Auditoria: conceitos e aplicações. 3ª Ed. São Paulo: Atlas, 2006.
BAASCH, Ana Carolina. Plano multiportfólio e sua aplicabildaide nos fundos de pensão. Brasília , 2009..Disponível em :< www.gama-ca.com.br/.../MONOGRAFIA%20-%20PLANOS%20MULTIPORTFOLIO%20-%20ANA%20BAASC >Acesso em 23 de agosto de 2010. CUNHA, Luzia Rodrigues da et al. Segurança da informação. Faculdade Cenecista De Brasília – FACEB Aprender e Conviver Credenciada pela Portaria MEC nº 998, de 14/07/2000 Curso de Sistemas de Informação, 2007. FRANCO, Hilário; MARRA, Ernesto. Auditoria Contábil. 2 ed. São Paulo: Atlas, 1992. GABAS, Carlos Eduardo. Aspectos gerais da gestão dos fundos de pensão. (Artigo publicado no Livro “Gestão Estratégica dos Fundos de Pensão”. São Paulo, Abrapp/ICSS/Sindapp, 2008, p. 79-98)Disponível em :< www.previdênciasocial.gov.br/.../3_090420-113416-054.pdf - >Acesso em 23 de agosto de 2010 GOLEMAN, Daniel. Tecnologia e Gestão da Informação. Rio de Janeiro: Editora Campus Elsevier, 2009. PENA, Ricardo Previdência Complementar no Brasil: história, evolução e desafios . Artigo publicado na Revista FUNDOS DE PENSÃO, da Abrapp/ICSS/Sindapp, Ano XXVII, Número 340, de maio/2008, p. 13-15. PINHO, Ruth carvalho de Santana. Fundamentos de Auditoria: auditoria contábil / outras aplicações de auditoria. São Paulo: Atlas, 2007.
62
RIECHE, FERNANDO CESCHIN. Gestão de Riscos em Fundos de Pensão no Brasil: Situação Atual da Legislação e Perspectivas. REVISTA DO BNDES, RIO DE JANEIRO, V. 12, N. 23, P. 219-242, JUN. 2005.
SÊMOLA, Marcos. Gestão da Segurança da Informação. Rio de Janeiro: Editora campus Elsevier, 2002. SPC – Coletânea de Normas dos Fundos de Pensão, Ministério da Previdência Social (MPS), Secretaria de Previdência Complementar; 3ª edição, Brasília: outubro 2007. SPC – Análise de Compatibilidade da legislação Brasileira dos Fundos de Pensão aos Instrumentos do Acquis, da OCDE. Ministério da Previdência Social; Brasília: fevereiro 2008. UNIVERSIDADE CANDIDO MENDES.Manual de trabalhos acadêmicos. Rio de Janeiro –– 2010 Disponível em :<www.vezdomestre.com.br>, acesso em 24/08/2010.
63
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATU SENSU”
PROJETO A VEZ DO MESTRE
OS BENEFÍCIOS PARA UMA ENTIDADE DE FUNDO DE PENSÃO PRIVADO AO ESTABELECER SISTEMA DE GESTÃO
DE SEGURANÇA DA INFORMAÇÃO
Monografia apresentada à Universidade Candido Mendes do Rio de Janeiro como requisito parcial para a obtenção do título de especialista em Auditoria e Controladoria.
Nota ( )
Professor ___________________________________________
Professor ___________________________________________
Professor ___________________________________________
RIO DE JANEIRO, _________ DE SETEMBRO de 2010.