Contract Management, Governança

e Compliance
 INSTRUTOR

Paulo César Rodrigues - CISA®

Graduação:
Tecnologia de Processamento de Dados pela UNICAMP e
E-Commerce pela Anhembi-Morumbi.
•Project Management na University of Florida.
•Pós-graduando em Ciências da Computação pela UNICAMP
•Certificado COBIT Foundations
•CISA®
•Certificado pela IT Preneurs para atuar como formador de
instrutores do curso COBIT Foundations.

• Sócio Diretor da World Pass

• Membro do ISACA e ITSMF
• Foi CIO de Empresas como Goodyear do Brasil, Harris e DuPont.
• Vivência em projetos de Governança Corporativa, SOX
(Sarbannes & Oxley), ITIL, COBIT.
 PRINCIPAIS PARCEIROS

World Pass IT Solutions, Primeira Empresa Referendada e Auditada pela

ISACA São Paulo para treinamento COBIT.

World Pass IT Solutions, Primeira Empresa Brasileira Patrocinadora Oficial do

ITGI. (Órgão mantenedor do COBIT e do Val IT).

Phoenix, Líder na América do Norte em implantação de Governança de TI e

Governança Corporativa, com o maior número de cases de sucesso em
implantações SOX. A World Pass IT Solutions é parceira da Phoenix para uso
da metodologia, ferramentas e expertise para consultoria e auditoria em
Governança.
 AGENDA

O que é Gestão
O que é Governança
Governança Corporativa
Principais regulamentações
Compliance: onde está sua Empresa?
Controles Internos e Riscos: Principais Modelos
Gerenciamento de Contratos e Compliance
 O que é Gestão?

O que é Gestão

Planejar, organizar, liderar e controlar as pessoas e

outros recursos que constituem uma organização e as
tarefas e atividades por estes realizadas, de maneira
a atingir os objetivos estatégicos.
 O que é Gestão?

Estratégia e Tática

As palavras "tática" e "estratégia" vêm ambas do

grego, "taktos" e "strategós". Tática era a arte de
dispor as tropas e manobrá-las em um campo de
batalha. Estratégia é uma derivação da palavra usada
para definir quem comandava a batalha, o
"estratego", ou general. Ou seja, tática é a arte e a
ciência de vencer uma batalha, e estratégia é a
maneira de ganhar a guerra. (Ricardo Bonalume
Neto)
 O que é Governança?

Governança Corporativa é o sistema pelo qual as

sociedades são dirigidas e monitoradas, envolvendo
os relacionamentos entre Acionistas/Cotistas,
Conselho de Administração, Diretoria, Auditoria
Independente e Conselho Fiscal. As boas práticas de
governança corporativa têm a finalidade de aumentar
o valor da sociedade, facilitar seu acesso ao capital e
contribuir para a sua perenidade. (IBGC)
 O que é Governança?

Princípios da Governança Corporativa:

Transparência
Eqüidade
Prestação de contas (accountability)
Responsabilidade Corporativa
 O que é Governança?

Princípios da Governança Corporativa:

Transparência

Mais do que "a obrigação de informar", a Administração deve

cultivar o "desejo de informar", sabendo que da boa
comunicação interna e externa, particularmente quando
espontânea, franca e rápida, resulta um clima de confiança, tanto
internamente, quanto nas relações da empresa com terceiros. A
comunicação não deve restringir-se ao desempenho
econômico-financeiro, mas deve contemplar também os demais
fatores (inclusive intangíveis) que norteiam a ação empresarial e
que conduzem à criação de valor.
 O que é Governança?

Princípios da Governança Corporativa:

Eqüidade

Caracteriza-se pelo tratamento justo e igualitário de

todos os grupos minoritários, sejam do capital ou das
demais "partes interessadas" (stakeholders), como
colaboradores, clientes,fornecedores ou credores.
Atitudes ou políticas discriminatórias, sob qualquer
pretexto, são totalmente inaceitáveis.
 O que é Governança?

Princípios da Governança Corporativa:

Prestação de contas (accountability)

Os agentes da governança corporativa devem prestar

contas de sua atuação a quem os elegeu e
respondem integralmente por todos os atos que
praticarem no exercício de seus mandatos.
 O que é Governança?

Princípios da Governança Corporativa:

Responsabilidade Corporativa

Conselheiros e executivos devem zelar pela

perenidade das organizações (visão de longo prazo,
sustentabilidade) e, portanto, devem incorporar
considerações de ordem social e ambiental na
definição dos negócios e operações.
 Regulamentações

Sarbanes&Oxley Act
HIPAA
PCI
Basel II
Normativas Bacen (3380 e outras), Anatel, ANS,
Anvisa, CVM
ISOs (9000, 14000, 17799, 20000, 27000, ...)
FDA
Código Civil
Mercado de Capitais (lei nº 4.728/65)
Lei das S.A.s(lei nº 6.404/76, 10.303/01)
Novo Mercado
 Regulamentações: onde está sua empresa?

UNIBANCO

Normativas Bacen
Basiléia II
Solvência II
SOX
ISOs
Código Civil
CLT
Outras leis em cada país que opera
 Regulamentações: onde está sua empresa?

Cada vez mais os registros de conformidade estão

nos computadores das empresas.

O QUANTO A CONFORMIDADE DEPENDE

DE TI VARIA DE EMPRESA PARA EMPRESA
 Controles Internos e Riscos: Principais Modelos

Seja pela questão de Governança ou pela questão de

Conformidade, as empresas tiveram (e têm) que
implantar um modelo de Controles Internos e de
Gerenciamento de Riscos.
 Controles Internos e Riscos: Principais Modelos

Cadbury – 1992
Coco – 1998
King Report – 2001
COSO Internal Control – Integrated Framework – 1994
COSO Enterprise Risk Management – IF – 2004
Cobit® - 1996, 1998, 2000, 2005, 2007
 Gerenciamento de Riscos e Contratos – SOX e COSO

O contrato é um controle! (SOX e COSO)

Controle é um processo (definição do COSO)

Conclusão 1: o contrato não termina na assinatura, a assinatura

é o início (ou muito próximo do início) de um processo.

SOX 8-K (mudanças no ambiente de controles) requer que sejam

reportados:
Finalização de contrato por quebra de contrato

Redução ou finalização de receita devido mudança contratual

com cliente
Conclusão 2: não dá para reportar sem um processo de gestão

de contratos que acompanhe toda a vida dos contratos

significativos
 Gerenciamento de Riscos e Contratos - COBIT

DS2 Manage Third-party Services

DS2.1 Identification of All Supplier Relationships
Identify all supplier services, and categorise them according to supplier type, significance and criticality. Maintain formal
documentation of technical and organisational relationships covering the roles and responsibilities, goals, expected deliverables,
and credentials of representatives of these suppliers.
DS2.2 Supplier Relationship Management
Formalise the supplier relationship management process for each supplier. The relationship owners should liaise on customer
and supplier issues and ensure the quality of the relationship based on trust and transparency (e.g., through SLAs).
DS2.3 Supplier Risk Management
Identify and mitigate risks relating to suppliers’ ability to continue effective service delivery in a secure and efficient manner on
a continual basis. Ensure that contracts conform to universal business standards in accordance with legal and regulatory
requirements. Risk management should further consider non-disclosure agreements (NDAs), escrow contracts, continued
supplier viability, conformance with security requirements, alternative suppliers, penalties and rewards, etc.
DS2.4 Supplier Performance Monitoring
Establish a process to monitor service delivery to ensure that the supplier is meeting current business requirements and
continuing to adhere to the contract agreements and SLAs, and that performance is competitive with alternative suppliers and
market conditions.
Gerenciamento de Riscos e Contratos - eSCM-SP
 Gerenciamento de Riscos e Contratos - eSCM-SP

Nível 1
Provendo Serviços (Providing Services): O nível 1 não possui nenhuma Prática. Os provedores neste nível
podem ou não ter implementado práticas dos níveis 2 e 3 do modelo. Estes provedores de serviço
oferecem alto risco porque geralmente prometem mais que podem cumprir e porque não desenvolvem
habilidades críticas para o fornecimento do serviço.
Nível 2
Atendendo aos Requisitos Consistentemente (Consistently Meeting Requirements): os provedores de
serviço neste nível tem procedimentos formalizados para obtenção dos requisitos e execução dos serviços
de acordo com os compromissos firmados com os clientes e outros envolvidos. Neste nível, os serviços
fornecidos não diferem significantemente da experiência do provedor, podendo valer para apenas um
relacionamento de fornecimento. O provedor implementa todas as 48 Práticas do nível, sendo capaz de
obter e entender de
forma sistemática os requisitos, projetar e elaborar os serviços e executá-los com sucesso conforme os
acordos de nível de serviço.
 Gerenciamento de Riscos e Contratos - eSCM-SP

Nível 3 Gerenciando o Desempenho Organizacional (Managing Organizational Performance): neste nível,

o provedor é capaz de manter as características do nível 2 mesmo quando os serviços diferem
significantemente da experiência do provedor. Neste caso as práticas devem cobrir um contexto mais
complexo, onde a gerência de relacionamentos simultâneos faz-se necessária. O provedor é capaz de
gerenciar seu desempenho por toda a organização; perceber as tendências do mercado de serviços e as
variações dos requisitos, incluindo atributos culturais específicos; identificar e gerenciar os riscos
entre relacionamentos; e projetar e executar os serviços baseados em procedimentos estabelecidos. O
provedor atende a esta capacidade através: do compartilhamento e utilização do conhecimento e
experiência obtidos nos relacionamentos anteriores; medindo objetivamente e recompensando o
desempenho das equipes; e monitorando e controlando a infra-estrutura tecnológica.
Nível 4 - Agregando valor pró-ativamente (Proactively Enhancing Value): os provedores de serviço no
Nível 4 são capazes de continuamente inovar e agregar valor aos serviços fornecidos aos clientes e outros
envolvidos. Neste nível, o provedor é capaz de customizar os serviços de acordo com o cliente e prever o
seu
desempenho baseado nas experiências anteriores. O provedor atende esta capacidade através da avaliação
e adoção de avanços tecnológicos e definindo metas de desempenho baseadas na análise comparativa de
benchmarks internos e externos.
 Gerenciamento de Riscos e Contratos - eSCM-SP

Nível 5
Mantendo a Excelência (Sustaining Excellence): os provedores de serviço neste nível demonstraram
desempenho e melhoria consistente pela implementação das Práticas dos níveis 2, 3 e 4 por duas ou mais
avaliações de certificação, durante um período de pelo menos dois anos. Não existem Práticas adicionais
neste nível, a implementação efetiva e contínua de todas as Práticas do eSCM-SP em um ambiente de
mudanças rápidas demonstra a capacidade de manter a excelência em toda organização no decorrer do
tempo.
 Conclusão

Em ambientes cada vez mais terceirizados, ou dependentes de

suprimentos baseados em contratos de médio/longo prazo, a relação
entre Governança (o que deve ser feito / estratégia), Gestão (como
fazer / tática) e Conformidade (melhores práticas e regulamentações)
define o Gerenciamento de Ciclo de Vida de Contratos como item
essencial.
? DÚVIDAS ?