Análise da Governança da Rede S.A.: Estudo de Caso para MBA em TI, Exercícios de Gestão do Capital de Giro

Baixe Análise da Governança da Rede S.A.: Estudo de Caso para MBA em TI e outras Exercícios em PDF para Gestão do Capital de Giro, somente na Docsity!

FIAP

MBA GESTÃO EM TECNOLOGIA DA INFORMAÇÃO

GOVERNANCE, RISK AND COMPLIANCE

ANÁLISE DA EMPRESA – VISÃO DE GOVERNANÇA REDE S.A.

ALPHAVILLE

Informações de Referência ● Empresa: REDE S.A. Descrição: Empresa do conglomerado Itaú Unibanco, responsável pela captura de transações de crédito e débito das maiores bandeiras nacionais e internacionais. Oferece para seus clientes uma gama de produtos e serviços para aumentar o desempenho de seus negócios, como solução de meios de pagamento online, antecipação de recebíveis, disponibilização de terminais, entre outros. ● Nome dos funcionários que trabalham: Fernando Azeituno Neto Bruno de Francisco da Silva ● Cargo da pessoa que trabalha na empresa: Analistas de Sistemas (Team Lead/Scrum Master) ● Departamento: Diretoria de Adquirência/Superintendência de Sistemas de Canais Digitais ● Tempo que trabalha na empresa: 10 anos 1 ano ● Ramo de atuação da empresa: Financeiro/Adquirência ● Número de funcionários:

● Faturamento anual (estimativa): R$ 3.631 bilhões (2011)

2 - Governança de TI ● Que tipo de CIO você tem na sua empresa (use os tipos listados na apostila e justifique sua resposta? O CIO é do tipo que opta por estabelecer comitês periódicos, para reports e atualizações do andamento de projetos em execução, e ter uma visão clara de tudo que é executado dentro do escopo de TI, e pode sim ser considerado do tipo que pensa sob um ponto de vista bimodal, porém, é perceptível que tratando-se do core da empresa como adquirente, e também do backoffice, ainda seria possível melhorar muito a abordagem em relação à inovação e potencialização de fontes de receita, bem como consolidar o aspecto de inovação digital no formato de jornada. ● Você julga que sua empresa pratica a Governança Bimodal? Sim, a empresa pratica a governança Bimodal, pois por se tratar de uma empresa do setor financeiro, sempre conta com a maximização de seus lucros baseada na continuidade do negócio, associada à necessidade de alta disponibilidade de seus serviços, porém, sem se dissociar do aspecto de inovação tecnológica e transformação digital, que permite o uso de metodologias baseadas em resultados incertos e focados na exploração, tais como metodologias ágeis aplicadas dentro de uma estrutura baseada em exploração. Faz-se a ressalva de que o principal desafio hoje seria o de adequar essa mentalidade a todo o ecossistema da empresa, viabilizando possíveis mudanças no core, que de fato provocariam um impacto maior e mais efetivo. ● Sua empresa está mais para o Modo 1 ou mais para o Modo 2? Acreditamos que a empresa hoje esteja mais inclinada ao Modo 1, mas passando por um processo de transformação digital iniciado através de seus Canais Digitais, e que tem potencial de impactação em todas as suas áreas (operacionais, backoffice e core). ● Você julga que sua empresa está preparada para a Transformação Digital (ou Revolução Digital)? Apresente fatos que justifiquem sua resposta. A empresa está, se considerarmos em percentual, acredito que num patamar de 50 a 60% preparada para a transformação digital, pois tem buscado profissionais no mercado que possuam essa veia, e também devido às tomadas de decisões do ponto de vista estratégico a fim de reposicioná-la, primeiramente mantendo sua posição no mercado em que se encontra. Por outro lado, existe um longo caminho ainda a percorrer, pois trata-se de uma empresa proveniente do mercado fechado, onde havia a exclusividade da atuação no mercado de adquirentes relegada à REDECARD e VISANET (hoje Rede e Cielo respectivamente), o que acabou inevitavelmente estabelecendo um nível de dependência do core bastante desfavorável à transformação. Nos últimos 6 anos, após aquisição da empresa pelo Itaú, esse prognóstico tem mudado, já que se trata do banco que procura por essência como diferencial a inovação no mercado e realiza constantemente a transformação digital, visando atender às suas principais linhas de negócio, sempre tendo o cliente como foco central. A proporção portando aplica-se de forma dividida, pois acredito que a empresa esteja

neste momento, no meio de sua jornada rumo à consolidação como uma empresa totalmente capaz de realizar sua transformação digital por completo. 3 - Compliance ● Sua empresa tem um Depto. de Compliance ou um Depto. Responsável por Compliance? Como é a atuação deste departamento, o que ele faz? A Rede pela sua natureza é regulada por diversos órgãos e está sujeita a um vasto número de leis, regulamentos, códigos, regras e modelos de boas práticas de mercado relacionadas à integridade, conflito de interesses, ética, conduta corporativa e concorrencial, anticorrupção, prevenção à lavagem de dinheiro e ao financiamento do terrorismo, sanções (listas restritivas), entre outros, e o objetivo da gestão de compliance é assegurar a atuação em conformidade com leis e regulamentos internos e externos, alinhando sempre à estratégia da Empresa. Obrigações do Departamento de Compliance são requisitos e compromissos assumidos, e que devem ser considerados no estabelecimento, desenvolvimento, implementação, avaliação e manutenção das atividades. São requisitos de compliance, entre outros: ▪ Leis e regulamentações; ▪ Permissões, licenças ou outras formas de autorização; ▪ Ordens, regras ou diretrizes emitidas; ▪ Decisões de tribunais de justiça ou tribunais administrativos; e ▪ Tratados, convenções e protocolos. São compromissos de Compliance, entre outros: ▪ Autorregulações; ▪ Políticas e normas internas; ▪ Acordos com autoridades públicas e clientes; ▪ Código de Conduta Ética; ▪ Obrigações decorrentes de acordos contratuais com a empresa. Organograma (estrutura de Risco e Compliance)

Realização de entrevistas ▪ Diretor da Dependência ou pessoa indicada por ele para levantamento das principais preocupações da administração em relação ao tema compliance; ▪ Gestores e funcionários envolvidos nos processos para levantamento das obrigações de compliance e potenciais riscos; ▪ Auditoria Interna e/ou DCIR - Agentes de Controles Internos para levantamento dos principais riscos identificados sob a visão de segunda e terceira linha de defesa. ▪ Avaliação do processo de negócio frente às Leis, Regulamentações e demais Obrigações de Compliance a serem cumpridas. Avaliação de Compliance A avaliação de compliance é o resultado do confronto entre o Risco Inerente e a Classificação do Controle, podendo ser: ▪ Conforme: o controle avaliado atende na totalidade o exigido pelas Leis, Regulamentações e demais Obrigações de Compliance. ▪ Conforme mediante Adequação: Significa que o controle atual não atende na totalidade o exigido pelas Leis, Regulamentações e demais Obrigações de Compliance ou que o mesmo, da forma como é realizado, requer alterações em função do grau de exposição do risco inerente, requerendo obrigatoriamente a implementação de Planos de Ação. ▪ Não Conforme: significa que não existe controle ou o controle atual não atende o exigido pelas Leis, Regulamentações e demais Obrigações de Compliance, requerendo obrigatoriamente a implementação de Planos de Ação pelo Gestor. 4 – Gestão de Riscos ● Existe um framework de Gerenciamento de Riscos Corporativos na sua organização? Use os elementos da Visão Geral do Processo de Gestão de Riscos para identificar evidências de que existem processos de Gestão de Riscos. A Rede assim como o banco Itaú como um todo, utiliza as melhores práticas referentes à Gestão de Risco disponíveis no mercado como as normas ISO 31000 (Gestão de Risco), ISO 2000 (ITSM), ISO 27001-2002 (Segurança da Informação), ISO 27005 (Gestão de Riscos em Segurança da Informação) e disponha-se também do uso de frameworks como COBIT 5, Basiléia II, COSO e demais ferramentas de apoio. Utilizando as normas ISO podemos citar que a corporação se utiliza de seus pontos para gerenciamento de seus ativos, a fim de neutralizar qualquer risco contra uma ameaça ou vulnerabilidade apresentada/identificada. Também se utiliza de boas práticas na criação de uma política de segurança da informação e um código de conduta conhecidos por todos na corporação. Também fazendo-se uso dessas boas práticas para obtenção de certificação como PCI. Com os frameworks, deixamos em dia a regulamentação exigida para instituições financeiras, trabalhando diretamente com o Basileia II. O COSO fornece apoio à alta direção ajudando nas decisões tomadas, facilitando a adequação para os demais frameworks desde o nível estratégico da instituição, atuando diretamente com os controles internos de gestão de riscos.

● Os riscos são analisados de forma a garantir que a empresa não está Aceitando Riscos maiores do que está disposta a correr? Apresente elementos que justifiquem sua resposta. Assumir e gerenciar riscos é essencial para nossos negócios, além de serem responsabilidade de todos os nossos colaboradores. Dessa forma, cultivamos objetivos bem definidos em relação ao gerenciamento de riscos. Na Rede/Itaú, o apetite de riscos determina a natureza e o nível dos riscos aceitáveis para a organização, e a cultura de risco orienta as atitudes necessárias para gerenciá-los. É um progressivo esforço para seguir de forma integral as diretrizes de apetite de riscos definidas pelo Conselho de Administração da instituiçao. ▪ Apetite de risco: monitorar o desenvolvimento de áreas tradicionais de risco (risco de mercado, risco de crédito e risco operacional) e, por meio de ferramentas de cultura de riscos, buscar envolver todos os nossos colaboradores no dia a dia do gerenciamento de riscos e, consequentemente, seguir nossas diretrizes de Apetite de Risco. ▪ Risco de negócio: Foco no cliente é um princípio, priorizando a sustentabilidade de relacionamentos. monitorar o perfil em transformação dos clientes e concorrentes, criando novos produtos e serviços focados na satisfação do cliente. ▪ Risco de tecnologia: comprometida a gerenciar o processo de digitalização, para evitar que plataformas ou sistemas tornem-se obsoletos e não consigam mais satisfazer as necessidades do negócio, e para aumentar a produtividade de nosso departamento de TI. ▪ Risco de pessoas: o compromisso de aperfeiçoar os mecanismos de atração, motivação e retenção dos melhores profissionais, além de evitar equipes com concentração deconhecimento em pessoas-chave. Visam também, aperfeiçoar continuamente os modelos de avaliação para a instituiçao ser percebida cada vez mais como justos e meritocráticos. ▪ Risco regulatório: estar atentos à mudanças específicas em leis e normas que possam afetar nossos negócios e aos serviços ou produtos que oferece. Tendo o compromisso de agir proativamente e acompanhar as mudanças regulatórias de forma muito pro- ativa e instantânea. ● Há um processo de Comunicação de Riscos aos executivos da organização, ou seja, os executivos estão cientes dos riscos que a organização está correndo e gerenciam ativamente estes riscos? O Conselho de Administração é responsável pela aprovação das diretrizes e limites do apetite de risco, desempenhando suas responsabilidades com o apoio do Comitê de Gestão de Risco & Capital (CGRC) e do Diretor de Riscos (CRO). O apetite de risco é monitorado dentro da REDE/Itaú, analisado e reportado regularmente aos níveis executivos e também ao Conselho de Administração. Caso o monitoramento de alguma métrica aponte para um nível acima do apetite de risco calculado, em situações normais ou projetadas, há uma governança preestabelecida com alçadas de reporte, inclusive ao Conselho de Administração, que organiza as discussões necessárias e ações a serem tomadas para retomar as exposições aos níveis desejados de apetite de risco. Existe uma reunião pré agendada 04 vezes ao ano a fim de discutir os assuntos pertinentes a gerenciamento de risco orquestrados pelo Conselho de Administração.

Adicionalmente, a REDE/Itaú conta com o Programa Corporativo de Gerenciamento de Crises, que visa a gerenciar eventos de interrupção de negócios, desastres naturais, impactos ambientais, sociais, de infraestrutura/operacionais (incluindo tecnologia da informação) ou de qualquer outra natureza que ameacem a imagem e a reputação e/ou a viabilidade de nossos processos perante colaboradores, clientes, parceiros estratégicos e órgãos reguladores, com respostas tempestivas e integradas. REFERÊNCIAS BIBLIOGRÁFICAS Itaú – Relatório Anual Disponível em: https://www.itau.com.br/relatorio-anual/ Acesso em 26 de fevereiro de 2019 Itaú – Relatório Anual Sustentabilidade Disponível em: https://www.itau.com.br/relatorio-anual/sustentabilidade/ Acesso em 26 de fevereiro de 2019