Em relação aos controles adotados pelo emissor para assegurar a elaboração de demonstrações financeiras confiáveis, indicar:
a) as principais práticas de controles internos e o grau de eficiência de tais controles, indicando eventuais imperfeições e as providências adotadas para corrigi-las
A Companhia atende aos padrões de Governança Corporativa do Novo Mercado e considera seus controles internos suficientes. O ambiente de controles internos abrange toda organização, desde o Conselho de Administração aos colaboradores da Porto Seguro, visando atingir os objetivos de negócios de forma adequada e eficiente, bem como atender as exigências de normas e regulamentações aplicáveis. A efetividade do ambiente de Controles Internos é permanentemente avaliada pelos Auditores Independentes, pela Auditoria Interna, áreas corporativas de Controles Internos e Gestão de Riscos e pelo Comitê de Auditoria, cujos relatórios e reportes periódicos contribuem para ações de melhoria contínua, avaliando diversos temas que percorrem suas operações, seus sistemas de informação e o cumprimento das normas aplicáveis. Nos relatórios emitidos nos últimos exercícios, não foram identificadas falhas que pudessem colocar em risco a efetividade do ambiente de controles internos da Companhia e a continuidade dos seus negócios.
b) as estruturas organizacionais envolvidas:
A Companhia adota o modelo de gestão baseado na abordagem das "três linhas de defesa" onde as unidades de negócio possuem responsabilidade primária de identificar e gerir riscos e controle. Áreas corporativas como Controles Internos e Gestão de Riscos supervisionam as atividades exercidas pelas áreas de negócio, fazendo a função de segunda linha de defesa ao exercer o monitoramento efetivo de ambiente de controles internos da Companhia. Todo esse processo, atividades e áreas de negócio e gestão corporativa ainda são supervisionadas pela terceira linha de defesa, composta pela Auditoria Interna e Externa, cujo papel é aferir a eficiência e integridade dos controles internos. Todas as áreas possuem equipes e gestões individualizadas e independentes, realizando reportes periódicas às suas respectivas diretorias executivas, de negócio ou corporativa, o quê garante os melhores indices de imparcialidade e independência na execução de suas atividades.
São realizados reportes periódicos e independentes ao Comitê de Auditoria que poderá recomendar correção ou aprimoramento de práticas internas para melhoria contínua do ambiente de controles internos.
c) se e como a eficiência dos controles internos é supervisionada pela administração do emissor, indicando o cargo das pessoas responsáveis pelo referido:
A eficiência dos controles internos é supervisionada pela administração através de reportes periódicos realizados tanto pelas áreas de negócio, como pelas áreas corporativas de Controles Internos e Gestão de Riscos. Também há o envolvimento da administração no resultado das avaliações realizadas pela Auditoria Interna e Externa. Todas as oportunidades de melhoria, correção ou adoção de controles internos são realizadas através do estabelecimento de planos de ação que são acompanhandos e geridos sistematicamente pelas áreas corporativas de Controles Internos, Gestão de Riscos, bem como pela Auditoria Interna. Os planos de ação são constantemente monitorados e avaliados para fins de implementação e atendimento do objetivo esperado. Paritipam deste ambiente colaborativo de gestão e monitoramento dos controles internos: Gestores e Diretores responsáveis pelas áreas de negócio, Gestores e Diretores responsáveis pelas áreas corporativas, Diretoria Executiva, Comitê de Auditoria e Conselho de Administração.
d) deficiências e recomendações sobre os controles internos presentes no relatório circunstanciado, preparado e encaminhado ao emissor pelo auditor independente, nos termos da regulamentação emitida pela CVM que trata do registro e do exercício da atividade de auditoria independente:
As deficiências significativas de controle interno apresentadas no relatório dos auditores são: (i) Controle e Gerenciamento de acesso lógico; e, (ii) Restrição e Monitoramento do acesso físico ao Data Center.
As respectivas recomendações dos auditores foram: (i) Controle e Gerenciamento de Acesso Lógico
• Implemente controles afim de manter registrado o último acesso do usuário nos sistemas operacionais;
• Elabore uma matriz de segregação de função dos acessos, mapeando as transações por tipo de usuário e destacando os acessos conflitantes para aprovação por alçada competente e monitoramento de exceções;
• Revise as matrículas dos usuários considerando a aderência ao registro do funcionário no departamento de recursos humanos, assim como revise os acessos concedidos aos analistas/usuários determinando a adequada segregação de funções;
• Revise a relação de usuários com acesso ativo e revogação de acesso aos sistemas aplicativos e a rede; e,
• Elabore procedimentos de revisão de acessos para a realização da gestão dos acessos às ferramentas de execução de mudanças no Ambiente Produtivo dos seus sistemas. (ii) Restrição e Monitoramento do acesso físico ao Data Center
• Recomendamos que a Companhia revise periodicamente a relação dos usuários com acesso ao Data Center e exclua os acessos indevidos.
e) comentários dos diretores sobre as deficiências apontadas no relatório circunstanciado preparado pelo auditor independente e sobre as medidas corretivas adotadas:
Os comentários da Administração, bem como as medidas adotadas para corrigir cada item apontado nas deficiências significativas de controle interno foram:
(i) Controle e Gerenciamento de Acesso Lógico
Tratamento das integrações sistêmicas e fluxos de concessão de acessos, com destaque para o procedimento anual de revisão de todos os acessos em cada sistema com o objetivo de validar se existem colaboradores com perfis conflitantes. Conclusão em 2016 do projeto de mapeamento de perfis de acessos, onde foram definidos os acessos mínimos para cada função (baseado em cargo e centro de custo), bem como a segregação de função específica para o sistema, onde um especialista em Basis e Security auxiliará o dono da ferramenta a criar a matriz de segregação de função. As regras dessa matriz serão aplicadas na ferramenta de governança de acessos.
Gestão de controle de acesso pela equipe de Segurança da Informação que fará a concessão, alteração e desativação de acesso dos usuários conforme movimentação e inativação de perfis.
Gestão e tratamento de contas genéricas, estudando e aprovando os critérios de existência, integração e permissões dentro do sistema.
5.3 - Descrição dos controles internos
(ii) Restrição e Monitoramento do acesso físico ao Data Center
Para gestão e tratamento da deficiência apontada, a Companhia implementou controle que visa a restrição de acessos. A equipe de Controle de Acesso da Supervisão de Segurança ficará encarregada de avaliar e permitir o acesso às áreas de missão crítica. No tocante à concessão de acesso aos CPDs, também foram revistas e atualizadas as regras de prazo e bloqueio de segurança.
Não houve, no último ano, alterações significativas dos principais fatores de risco aos quais a Companhia está exposta.