workshop sobre formulário de referência: sistemas de ... · • as estruturas organizacionais...

(DC1) Uso Interno na PwC - Confidencial

Workshop sobre Formulário de Referência: Sistemas de gerenciamento de riscos e deficiências de controles internos

www.pwc.com.br

Abril 2017


PwC | Deficiências de Controles Internos e Sistemas de Gerenciamento de risco em foco

Agenda

2

março 2017

9h00 Abertura (IBRI)

9h10 Responsabilidade Societária

9h20 Examinando a iCVM 552

10h Sistemas de Gerenciamento de Riscos

10h30 Coffee Break

10h50 Controles Internos

11h20 Comitês de Divulgação

11h30 Mesa Redonda - Perguntas e Respostas

12h15 Encerramento



Abertura


PwC | Deficiências de Controles Internos e Sistemas de Gerenciamento de risco em foco 2

Contexto

• Seção 1 Responsabilidades estatutárias e parâmetros

• Seção 2Examinando a iCVM 552

• Seção 3Sistemas de Gerenciamento de Riscos

• Seção 4 Reportando Deficiências de Controles Internos

• Seção 5 Os Comitês de Divulgação



Seção 1

Responsabilidades estatutárias e parâmetros

3PwC | Deficiências de Controles Internos e Sistemas de Gerenciamento de risco em foco

PwC | Deficiências de Controles Internos e Sistemas de Gerenciamento de risco em foco(DC1) Uso Interno na PwC - Confidencial

• Crescentes cenários de crimes econômicos e recuperação financeira das organizações em decorrências de crises mundiais tem provocado reflexões e discussões sobre a adoção de práticas de governança corporativa.

• Resultado mais relevante e emblemático foi a publicação dos Princípios de Governança Corporativa do G-20/OCDE, adotado também pelo Brasil, observado nos materiais e guias emitidos pelos órgãos de Governança como IBGC.

• No Brasil, o frequente debate sobre os escândalos envolvendo corrupção e fraude em agentes públicos e privados tem fomentado essa reflexão.

6

Responsabilidades estatutárias e parâmetrosContexto

• Nesse sentido, de acordo com a CVM, as mudanças vem em momento oportuno e pretendem fomentar a divulgação das informações de forma coerente com as melhores práticas de governança corporativa.

• A Audiência Pública SDM nº 03/2013 promovida pela CVM recebeu comentários do público para registrar as principais colocações e sugestões de órgãos e instituições relevantes na economia e no estabelecimento de práticas de governança como:

• ABRASCA • ANBIMA • BM&FBOVESPA S.A• dentre outros.


7

O papel do Presidente e do DRI

• O Formulário de Referência deverá ser disponibilizado, anualmente, até 31 de maio.

• O CEO e o diretor de RI deverão declarar, anualmente e individualmente, a veracidade e a precisão do conjunto de informações financeiras e não financeiras apresentadas no Formulário de Referência.

7



Declarações em separado

8

Inclusão das declarações individuais do Presidente e do Diretor de Relações com Investidores, atestando que:

I. revisaram o formulário;

II. todas as informações contidas no formulário atendem ao disposto na Instrução N0rmativa; e

III. o conjunto de informações nele contido é um retrato verdadeiro, preciso e completo da situação econômico financeira do emissor e dos riscos inerentes às suas atividades e dos valores mobiliários por ele emitidos.

A CVM salientou que as declarações do Presidente e do Diretor de Relações com Investidores são independentes. O objetivo é que uma declaração própria de cada um fará com que ambos se sintam responsáveis por todo o formulário.



Seção 2

Examinando a iCVM 552



• A instrução CVM n° 552 introduziu importantes alterações às regras de “disclosure” das Companhias Abertas brasileiras.

• Entrou em vigor em 1º de janeiro de 2015, com exceção do previsto no art. 4º (alterações no formulário de referência), que passou a vigorar a partir de 1º de janeiro de 2016.

• No que se refere ao art. 4º, a principal e mais profunda alteração, válida para os formulários de referência arquivados em 2016 (março/abril de 2016) - data base 31 de dezembro de 2015, está na Seção 5 (Política de gerenciamento de riscos e controles internos) do Anexo 24 “Conteúdo do Formulário de Referência”.

Seção

1O risco de não cumprimento está em:

10

Instrução CVM 552

a) ter que declarar ao mercado que suas companhias não adotam boas práticas de controle de riscos, incluindo boas práticas de Controles Internos sobre a Elaboração das Demonstrações Financeiras.

b) assinar declarações errôneas, por desconhecer os impactos e a abrangências dos objetos da instrução.


11

Análise do formulário de referência

A. Atualmente não faz parte do escopo do auditor independente porque não esta publicado em conjunto com as demonstrações financeiras (DFP).

B. Obrigatório para lançamento de ofertas (pela CVM 480).

C. As obrigações de seção 5 se referem à emissoras de categoria A *, exceto deficiências reportadas pelo auditor e comentários de administração sobre a mesma (5.3 d e 5.3 e).

D. Deficiências reportados pelo auditor devem ser incluídas no Formulário.

E. Novidades: “Aplicar ou explicar” o novo Código Brasileiro de Governança Corporativo.

Duas categorias de emissores (conforme o valor mobiliário admitido à negociação):

A. Autorizada a negociar quaisquer valores mobiliários em mercados regulamentados; e

B. Não pode negociar ações, certificados de depósito de ações (DRs), Valores mobiliários Conversíveis em ações do emissor ou de uma Sociedade do grupo, ou que deem ao seu titular o direito de adquirir tais ações ou certificados de ações.



Política de gerenciamento de riscos e controles internos (Seção 5)

12

• Item 5.1 – Descrição da política de gerenciamento dos fatores de risco adotada pelo emissor

• Item 5.2 – Descrição da política de gerenciamento de riscos de mercado adotada pelo emissor

• Item 5.3 – Controles internos



Item 5.1 – Descrição da política de gerenciamento dos fatores de risco adotada pelo emissor

13

Orientação CVM:Entende-se por política de gerenciamento de riscos o conjunto de regras e objetivos que formam um programa de ação, estabelecidos pelos seus administradores, de maneira a mitigar ou controlar riscos.

A companhia deverá divulgar:

• se possui uma política formalizada de gerenciamento de riscos, destacando, em caso afirmativo, o órgão que a aprovou e a data de sua aprovação, e, em caso negativo, as razões pelas quais o emissor não adotou uma política;

• os objetivos e estratégias da política de gerenciamento de riscos, quando houver, incluindo:

• os riscos para os quais se busca proteção;

• os instrumentos utilizados para proteção; e

• a estrutura organizacional de gerenciamento de riscos.

• a adequação da estrutura operacional e de controles internos para verificação da efetividade da política adotada.



Item 5.2 – Descrição da política de gerenciamento de riscos de mercado adotada pelo emissor

14

A companhia deverá divulgar:

• se possui uma política formalizada de gerenciamento de riscos de mercado, destacando, em caso afirmativo, o órgão que a aprovou e a data de sua aprovação, e, em caso negativo, as razões pelas quais o emissor não adotou uma política;

• os objetivos e estratégias da política de gerenciamento de riscos de mercado, quando houver, incluindo:

• os riscos de mercado para os quais se busca proteção;

• a estratégia de proteção patrimonial (hedge);

• os instrumentos utilizados para proteção patrimonial (hedge);

• os parâmetros utilizados para o gerenciamento desses riscos;

• se o emissor opera instrumentos financeiros com objetivos diversos de proteção patrimonial (hedge) e quais são esses objetivos;

• a estrutura organizacional de controle de gerenciamento de riscos de mercado.

• A adequação da estrutura operacional e controles internos para verificação da efetividade da política adotada.



Item 5.3 - Política de gerenciamento de riscos e controles internos (ICFR)

15

Em relação aos controles adotados pelo emissor para assegurar a elaboração de demonstrações financeiras confiáveis, indicar:

• as principais práticas de controles internos e o grau de eficiência de tais controles, indicando eventuais imperfeições e as providências adotadas para corrigi-las;

• as estruturas organizacionais envolvidas;

• se e como a eficiência dos controles internos é supervisionada pela administração do emissor, indicando o cargo das pessoas responsáveis pelo referido acompanhamento;

• deficiências e recomendações sobre os controles internos presentes no relatório circunstanciado, preparado e encaminhado ao emissor pelo auditor independente;

• comentários dos diretores sobre as deficiências apontadas no relatório circunstanciado preparado pelo auditor independente e sobre as medidas corretivas adotadas.

• Indicar órgãos da administração, comitês ou outras estruturas assemelhadas envolvidas;

• Discriminar as responsabilidades específicas de cada um desses órgãos; e

• Indicar a estrutura hierárquica desses órgãos.



Exceções -

16

• Caso o emissor não adote estrutura organizacional ou sistemas de controle interno voltados para a verificação da efetividade das políticas adotadas (5.1, 5.2 e 5.3), deverá deixar expresso esse fato. Nesse caso, o emissor deverá informar ainda o motivo pelo qual não adota esses procedimentos.

• Também podem ser comentados eventuais projetos de implantação de novas práticas, estágio de desenvolvimento e tempo estimado para adoção.

• As companhias que não adotarem política de gerenciamento de risco devem deixar explícita esta condição, bem como informar os motivos pelos quais não adotam tal política.



Seção 3

Sistemas de Gerenciamento de Riscos




O novo COSO ERMA nossa visão para Gestão de riscos corporativos (ERM)

Porque gestão de riscos?


O Ofício-Circular/CVM/SEP/n.02/2016 10.2.5 na seção Política de gerenciamento de riscos e controles internos (seção 5).

a. Descrição da política de gerenciamento dos fatores de risco adotada pelo emissor (item 5.1), esclarece.

19

Instrução CVM 552

Entende-se por política de gerenciamento de riscos o conjunto de regras e objetivos que formam um programa de ação, estabelecidos pelos seus administradores, de maneira a mitigar ou controlar riscos.

O emissor deve, ainda, destacar se adota estruturas de controle que envolvam a companhia como um todo, órgãos de gestão, diretorias, especialmente a Diretoria de Compliance, e outros órgãos e comitês específicos, como a Auditoria Interna e o Comitê de Auditoria, conforme princípios adotados por entidades reconhecidas, como o COSO

(Committee of Sponsoring Organizations of the Treadway Comission).



Porque gestão de riscos?

20

Algumas questões para reflexão:

• Ao definirmos nossos objetivos e metas, temos um claro entendimento dos riscos aos quais estaremos expostos e quais são aceitáveis para a empresa?

• Temos informações, análises e ferramentas para nos dar maior conforto para tomar decisões importantes?

• Estamos investindo demais para “não correr riscos”? Nossos investimentos em ações de mitigação são proporcionais aos riscos?

• Assumimos riscos suficientes para atingir nossos objetivos e metas? Estamos sendo recompensados adequadamente pelos riscos que tomamos?

“Somos uma empresa bem-sucedida e fazemos negócios com segurança, sem muitos riscos. Já fazemos uma boa gestão de riscos.”



O atual ambiente de Riscos...

21

Atual ambiente de negócios

As organizações tem encontrado uma série de desafios, entre eles aqueles relacionados ao tema riscos e compliance. Diversos casos recentes têm demonstrado a necessidade de fortalecer os instrumentos de governança e de gestão relacionados ao tema.

Os instrumentos de Gestão de riscos adotados na maior parte das organizações estão focados no que denominamos “process level”, e não tratam de forma estruturada e consistente dos riscos do negócio em alto nível.

Desafios da governança no tocante a riscos e compliance:

• Definir claramente os papéis e responsabilidades na identificação, avaliação e monitoramento dos Riscos de negócio.

• Identificar, avaliar e gerenciar os riscos aos quais os negócios estão expostos.

• Assegurar a eficácia da estrutura de gestão de riscos: governança; políticas e procedimentos, instrumentos e ferramentas; organização.



Novo COSO Enterprise Risk Management (ERM) alinha Riscos a estratégia e performance... está em fase final de aprovação e deve ser lançado em Junho de 2017

22

2004 COSO ERM Graphic Updated COSO ERM Graphic



As mudanças mais significativas são relacionadas a…

1 2 3 4

Strategy CulturePerformance Controls

Elevates discussion of strategy

Enhances alignment between performance and

enterprise risk management

Examinesthe role of culture

Delineates between enterprise risk

management and internal controls

O que mudou...



Visão PwC Gestão de Riscos corporativos (ERM)

24

• Risco é o potencial de incerteza no alcance da sua estratégia ou objetivos de negócio.

• Gestão de riscos corporativos (ERM) é composto de métodos e processos que as organizações aplicam continuamente para gerir riscos a um nível aceitável com o objetivo de alcançar a estratégia e objetivos do negócio.

• Apetite a risco é a quantidade de riscos, no sentido mais amplo, que uma organização está disposta a aceitar em sua busca dos objetivos estratégicos.


PwC | Deficiências de Controles Internos e Sistemas de Gerenciamento de risco em foco 25

Gestão de Riscos deve estar diretamente relacionada ao planejamento estratégico da Organização



Risco é o potencial de incerteza no alcance da estratégia e objetivos de negócio da organização

26

A adoção de um modelo estruturado de gestão de riscos corporativos possibilita um melhor entendimento da relação entre risco e desempenho, instrumentalizando a tomada de decisão sobre temas como:

• Entendimento dos objetivos e metas de desempenho e a definição dos limites para variações aceitáveis no desempenho.

Missão,

visão e valores

Estratégia,

objetivos e metas Desempenho

Riscos

Riscos

Impacto

Gestão de riscos

corporativos

• Avaliação da adequação das ações de mitigação de risco para diferentes níveis de desempenho.

• Identificação de pontos de ajuste na estratégia ou nos objetivos e metas.



Riscos são dinâmicos e podem variar de acordo com o nível de desempenho pretendido e o apetite a risco da organização

27

Apetite a risco

Risk

O quanto de

risco estamos

dispostos

a tomar?

Meta de

desempenho

Variação aceitável

em desempenho

Nív

el

de

ris

co

Desempenho

Apetite

a risco

Meta

Tolerância



Uma política de gerenciamento de riscos é pouco efetiva se não houver mecanismos eficientes para implementá-la. É por meio de informações sobre estrutura operacional e controles internos que é possível averiguar a qualidade da governança do emissor. Por essas razões, a CVM considera importante que o emissor comente a adequação da sua estrutura operacional e controles internos em relação à política de gerenciamento de riscos adotada.

28

(Relatório de Análise da SDM/CVM sobre a Audiência Pública nº 07/2008; Dezembro, 2009)



Estrutura de Gestão de riscos corporativos inclui governança, política e procedimentos e ferramentas

Strategy, appetite & profile

• Formal definitions of risk

appetite, capacity and

tolerance;

• Formal definition of the

Firm’s risk profile.

Training & Risk Culture

• Development and

implementation of enterprise risk

management training for senior

management, aligned with the

ERM strategy and approach;

• Development of metrics and

criteria to assess risk culture.

29

ERM

PwC

Governance & monitoring

• Implementation of organizational

structure responsible for

enterprise risk management,

including definition of functions,

roles and responsibilities;

• Development of a formal process

for monitoring and reporting of

enterprise-level risks.

Policies, processes & normatives

• Development of ERM policy;

• Integration of ERM process with other

management processes (strategic planning);

Methodology & tools

• Development of structured risk assessment process

and methodology to be consistently applied by all

departments, including standard metrics and criteria;

• Development of KRIs to enable consistent monitoring

and reporting;

• Adoption of quantitative modelling techniques for

financial risks, as well as other enterprise-level risks

(when feasible).



Excelência em Gestão de Riscos

Além de ser um elemento essencial de uma boa governança corporativa, a gestão de riscos corporativos traz vários benefícios ao negócio

30

1. Gera valor ao negócio: alocação ótima dos recursos da companhia

2. Minimiza o custo de captação de recursos

3. Reduz a probabilidade e/ou impacto de eventos de perda

4. Promove a transparência de riscos aos stakeholders

5. Melhora os padrões de governança e a comunicação

6. Aprimora o posicionamento competitivo da companhia

Processos e metodologia

Ferramentas GovernançaPolíticas

+ + =+


31

Coffee Break10h30- Coffee Break

10h50- Controles Internos

11h20- Comitês de Divulgação

11h30- Mesa Redonda/Perguntas e Respostas

12h15- Encerramento



Seção 4

Reportando Deficiências de Controles Internos




Item 5.3 - Política de gerenciamento de riscos e controles internos (ICFR)

33

Em relação aos controles adotados pelo emissor para assegurar a elaboração de demonstrações financeiras confiáveis, indicar:

• as principais práticas de controles internos e o grau de eficiência de tais controles, indicando eventuais imperfeições e as providências adotadas para corrigi-las;

• as estruturas organizacionais envolvidas;

• se e como a eficiência dos controles internos é supervisionada pela administração do emissor, indicando o cargo das pessoas responsáveis pelo referido acompanhamento;

• deficiências e recomendações sobre os controles internos presentes no relatório circunstanciado, preparado e encaminhado ao emissor pelo auditor independente;

• comentários dos diretores sobre as deficiências apontadas no relatório circunstanciado preparado pelo auditor independente e sobre as medidas corretivas adotadas.

a. Indicar órgãos da administração, comitês ou outras estruturas assemelhadas envolvidas;

b. Discriminar as responsabilidades específicas de cada um desses órgãos; e

c. Indicar a estrutura hierárquica desses órgãos.


• A ISA 260 não exige que o auditor execute procedimentos especificamente direcionados para identificar quaisquer outros assuntos para comunicar aos responsáveis pela governança, mas se existirem temas que possam ser significativos e referentes a estruturas ou processos de governança, e decisões ou ações significativas da alta administração, os mesmos podem ser comunicados, mas com adequados caveats (ver item A25 e A27), como por exemplo, com indicação de que “não foram realizados procedimentos para determinar se existem outros assuntos desse tipo”.

34

O papel do auditor independente

• O auditor considera os controles internos relevantes para a elaboração e adequada apresentação das demonstrações financeiras, com o objetivo de planejar os procedimentos de auditoria que sejam apropriados nas circunstâncias, mas não para fins de expressar uma opinião sobre a eficácia desses controles internos da Companhia.

• Emite a Carta de Controles Internos, que endereça deficiências de controles internos identificadas.


Obrigação do auditor (NBC TA (ISA) 265:

• Comunicar as deficiências de controle interno;

• Endereça-las à administração (ou responsáveis pela governança);

• Tempestividade: quando tomar conhecimento das deficiências.

35

O papel do auditor independente

Tipo de entidade Prazo máximo para emissão

Capital Aberto Antes do arquivamento, pelo cliente, do

seu Formulário de Referência ou até a

data final para arquivamento dos papéis

de trabalho, o que ocorrer primeiro.

Demais entidades Data do arquivamento dos papéis

de trabalho.


36

Deficiências de Controles Internos

ISA

Deficiência de controle interno existe quando:

I. o controle é planejado, implementado ou operado de tal forma que não consegue prevenir, ou detectar e corrigir tempestivamente, distorções nas demonstrações contábeis; ou

II. falta um controle necessário para prevenir, ou detectar e corrigir tempestivamente, distorções nas demonstrações contábeis.

PCAOB

A deficiency in internal control over financial reporting exists when the design or operation of a control does not allow management or employees, in the normal course of performing their assigned functions, to prevent or detect misstatements on a timely basis.

ISA PCAOB


37

Deficiências de Controles Internos reportados pelo auditor

ISA PCAOB

Deficiência significativa de controle interno é a deficiência ou a combinação de deficiências de controle interno que, no julgamento profissional do auditor, é de importância suficiente para merecer a atenção dos responsáveis pela governança.

A significant deficiency is a deficiency, or a combination of deficiencies, in internal control over financial reporting that is less severe than a material weakness, yet important enough to merit attention by those responsible for oversight of the company's financial reporting.

A material weakness is a deficiency, or a combination of deficiencies, in internal control over financial reporting, such that there is a reasonable possibility that a material misstatement of the company's annual or interim financial statements will not be prevented or detected on a timely basis.


38

Deficiências de Controles Internos reportados pelo auditor

(*) deficiências reportados para o público no 20-F (**) deficiências reportados para o público no Formulário de Referencia

Control deficiencies

Signficant deficiencies (**)

US GAAS

ISAControl deficiencies

Signficant deficiencies

Material weakness (*)


39

O papel do Comite de Auditoria

• Enquanto uma empresa listada em Nova Iorque é obrigada a levar ao conhecimento do mercado as suas “deficiências materiais” (material weaknesses) de controles internos (internal controls over financial reporting), evidenciado pela ressalva no parecer do auditor e detalhada o no Form 20-F, conforme a SOX 404, as falhas significativas (significant deficiencies) não são divulgadas publicamente sendo limitado a divulgação a um debate (privado) no contexto do auditor/Comitê de Auditoria.

• No caso da companhia aberta brasileira as deficiências matérias e as deficiências significativas são divulgadas ao mercado.

• O Comitê de Auditoria deverá acompanhar estas classificações e entender as eventuais consequências.



Seção 5

Os Comitês de Divulgação




To give investors an accurate and complete picture of the potential risks and prospects posed by an issuer, nearly all securities regulators today require issuers to make financial disclosures. (…) However, information contained solely in an issuer’s financial statements often provides an incomplete picture of an issuer’s financial prospects. Consequently, many jurisdictions require that issuers also disclose all other material information as well —information that a reasonable investor would want to know when making an investment decision. (…) In order for issuers and their boards of directors to make full and accurate financial and nonfinancial statement disclosures, issuers need strong and thorough internal control systems that capture and verify the types of information needed for these disclosures. These internal controls are important to investors, who rely on issuer disclosures when making investment decisions, as well as management itself, which relies on internal controls to assess the performance of its operations and compliance programs.

(Strengthening Capital Markets against Financial Fraud, IOSCO Technical Committee; February, 2005)

62PwC | Deficiências de Controles Internos e Sistemas de Gerenciamento de risco em foco(DC1) Uso Interno na PwC - Confidencial


42

Comitês de Divulgação

• Os CEOs e CFOs de empresas abertas dos EUA precisam atestar a correção material das emonstraçõesfinanceiras e a eficácia dos controles e procedimentos relacionados aos relatórios financeiros (Section 30 da SOx).

• Geralmente, as empresas americanas estabelecem comitês de divulgação de nível gerencial para apoiar essas certificações. Tais comitês compreendem de forma geral a administração, com as áreas de operações, finanças e jurídica. O comitê de divulgação ajuda a assegurar a integridade das informações relatadas e discute outras questões e acontecimentos relacionados aos relatórios durante cada período. Muitas empresas exigem certificações adicionais de gestores em muitos níveis da empresa, e assim os comitês de divulgação também abordam todas as exceções identificadas ou questões levantadas nesse processo de certificação mais amplo. Em outros países, as empresas também têm essas revisões de divulgação, que normalmente envolvem os participantes listados acima, embora elas não sejam realizadas por um “comitê de divulgação” formalmente designado.


43

Mesa Redonda Q&A


44

Publicações PwC


Obrigado!

© 2017 PricewaterhouseCoopers Brasil Ltda. Todos os direitos reservados. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Brasil Ltda., firma membro do network da

PricewaterhouseCoopers, ou conforme o contexto sugerir, ao próprio network. Cada firma membro da rede PwC constitui uma pessoa jurídica separada e independente. Para mais

detalhes acerca do network PwC, acesse: www.pwc.com/structure


[email protected]

[email protected]

[email protected]

[email protected]

mailto:[email protected]




workshop sobre formulário de referência: sistemas de ... · • as estruturas organizacionais...

Documents