asseguração de basiléia e auditoria com foco em riscos · 6/7/2010 · banco central do brasil,...
TRANSCRIPT
Asseguração de Basiléia e Auditoria com Foco em
RiscosABBC | JUN 10
AGENDA� Objetivo da Auditoria Interna
� Tendências em Auditoria InternaO papel da AI no processo � O papel da AI no processo de asseguração
� Principais Desafios� Auditoria Interna com Foco em Riscos
� Principais Benefícios
Objetivo da Auditora Interna
Linhas de defesa
Auditoria Interna3
Gestão de Riscos 2
Áreas de Négócio
1
1. Implementação de estrutura de controles internos alinhada aos riscos de negócio.
2. Monitorização do grau de exposição à riscos e aderência (interna e externa) dos processos.
Compliance3. Verificação
independente do grau de exposição a riscos e adequação da estrutura de controles internos.
Tendências em Auditoria Interna
Pressões sobre o Processo Tradicional de Auditoria Interna
Governança� Manutenção da independência
� Gestão de Riscos� Estrutura de Comitês
� Stakeholders
Fatores de Negócio� Pressão por demonstrar valor agregado
� Expectativa de detecção de fraude e oportunidades de redução de custos
� Automatização de processos
Regulamentação� Basiléia II� SOX� IFRS� BACEN/CVM
Outros � Stakeholders� Automatização de processos
� Aumento da complexidade das operações
Outros� Evolução sobre conceitos de Auditoria Interna
� Economia globalizada
� Conhecimento do risco� Aderência regulatória� Aumento da eficiência� Redução de Custos
Chief Executive Auditors
Tendências e Perspectivas do Mercado
• Intenção de tornar a Auditoria Interna uma profissão reconhecida universalmente.
• Aumento do foco nos riscos estratégicos e operacionais como forma de agregar valor.
• Os riscos são dinâmicos e portanto os planos de auditoria deixaram de ser estáticos.
• Novos tipos de asseguração estão se tornando importantes:
�Efetividade do processo de Governança;
�Maturidade dos programas de Compliance;
�Adequação das estruturas de Gestão de Riscos.
Auditoria Interna e Basiléia II
Qual o nível de progresso da instituição em relação à implementação dos seguintes aspectos relacionados à Basiléia II
Fonte: Deloitte Global Risk Management Survey 6th Edition
Auditoria Interna e Basiléia II
RISCO OPERACIONAL
• Resolução 3.380/06 - Art. 3 - Inciso IV - realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de controle de riscos operacionais implementados.
• Comunicado 19.217/09 – Art. 20 - No que diz respeito à análise da conformidade da base de dados de perdas internas de risco operacional, cabe à instituição demonstrar, à satisfação do Banco Central do Brasil, que avalia a abrangência, a consistência, a integridade e a confiabilidade tanto do processo de coleta quanto do conteúdo de sua base de dados de perdas confiabilidade tanto do processo de coleta quanto do conteúdo de sua base de dados de perdas internas.
RISCO DE CRÉDITO
• Resolução 3.721/09 - Art. 4 - Inciso II - adequada validação dos sistemas, modelos e procedimentos internos utilizados para gestão do risco de crédito.
• Comunicado 18.365/09 – Art. 28 - É admitida a utilização de modelos desenvolvidos por terceiros como parte do processo de classificação interna de exposições segundo o risco de crédito. O uso de tais modelos está condicionado à validação de seu uso, segundo os mesmos requisitos para validação do uso de sistemas desenvolvidos internamente, ...
Auditoria Interna e Basiléia II
RISCO DE MERCADO
• Resolução 3.464/07
• Art. 3 - Inciso III - realização, com periodicidade mínima anual, de testesde avaliação dos sistemas de que trata o inciso II.
• Art. 5 - § 3º - O cumprimento da política e dos procedimentos de que trata o caput deve ser devidamente documentado e objeto de verificação pela auditoria interna.
• Circular 3.478/09
• Art. 3 - As instituições devem manter quantidade suficiente de profissionais tecnicamente qualificados em suas áreas de negócio, operacionais, de gerenciamento de risco, de auditoria interna, de tecnologia da informação, bem como em quaisquer outras envolvidas no desenvolvimento, validação, avaliação e utilização dos modelos internos.
Auditoria Interna e Basiléia II
RISCO DE MERCADO (cont.)
• Circular 3.478/09 (cont.)
Avaliação pela Auditoria Interna
• Art. 20. O processo de gerenciamento de risco de mercado da instituição deve ser submetido à avaliação, com periodicidade mínima anual, abrangendo, no mínimo:
I - verificação da eficácia do processo de validação de que trata o art. 19; II - verificação da realização de processos de validação nos casos de mudanças relevantes no modelo II - verificação da realização de processos de validação nos casos de mudanças relevantes no modelo
ou no perfil de risco da instituição, conforme o art. 19, § 3º; III - organização da estrutura de gerenciamento de risco de mercado; IV - integração do modelo interno de risco de mercado às atividades diárias de gerenciamento,
incluindo os testes de estresse; V - integridade dos testes de aderência e sua utilização efetiva na verificação do desempenho e no
aprimoramento do modelo; VI - cumprimento das políticas de gerenciamento de risco, incluídas as estruturas de limites e políticas
relacionadas; VII - suficiência e qualificação técnica dos profissionais das áreas de negócio, operacionais, de
gerenciamento de risco, de tecnologia da informação, bem como de quaisquer outras envolvidas no desenvolvimento, validação e utilização do modelo interno;
VIII - integridade e adequação dos sistemas de informações gerenciais;IX - envolvimento da diretoria da instituição no processo de gestão de risco de mercado; eX - tempestividade e qualidade das informações prestadas ao conselho de administração.
O papel da AI no processo de asseguração
Objetivos da Asseguração
• Verificar a existência de uma estrutura organizacional adequada para a gestão de risco (incluindo políticas, procedimentos, governança, papéis e responsabilidades);
• Avaliar os sistemas de mensuração/análise dos riscos considerando os requisitos de Basiléia II;
• Avaliar questões de disponibilidade de informação, principalmente aquelas relativas às perdas;
• Assegurar que os modelos, processos e sistemas são adequados;
• Assegurar que as informações divulgadas (internamente e externamente) são íntegras;
• Assegurar que a estratégia adotada traz para a instituição benefícios estratégicos e operacionais e garantem conformidade com os requisitos de Basiléia II;
Escopo
Estratégia e Políticas
Modelo de Gestão
Metodologia Análise de
Dados
Metodologia de Avaliação
Comunicação e Fluxo de Informação
Equipe -Habilidades e
RecursosMonitoramento
Estratégia de Gestão de Riscos
Revisão e Atualização das
Políticas
Estrutura Organizacional
Papéis e Envolvimento da
AA
Definição de Risco
Operacional
Definição
Mapeamento das Linhas de Negócio
Procedimentos de Gestão de Riscos
Identificação / Avaliação dos
Riscos
Base de Dados
Procedimento para Coleta de Dados
Conhecimento Técnico
Treinamento
Auditoria Interna
Teste de Estresse
Reporte de Perdas e Ocorrências
Relatórios Gerenciais e Executivos
Tolerância e Apetite ao Risco
Monitoramento de Limites
Mensuração da Performance
Comunicação
Independência das Funções de
Gestão de Riscos
Comitê de Risco
Funções x Unidades de
Negócio
Desenho e Monitoramento do
Processo
Monitoramento de Riscos
Controle / Transferência /
Mitigação
Tecnologia para Coleta de Dados
Armazenamento de Dados Históricos
Modelo de Mensuração e
Abordagem
Relacionamento com Alocação K.Econômico
Tratamento dos Mitigadores de
Risco
Recursos
Tecnologia Envolvida
Comunicação Interna
Reporte ExternoCritérios de
Classificação das Carteiras
Manuais de Precificação
Cálculo de Capital
RC/ RM / RO
RO
RM e RC
Enfoque
A análise da Auditoria Interna deve possibilitar a obtenção de um grau de compreensão suficiente a cerca dos aspectos críticos do processo de Gestão de Riscos, e emitir uma opinião fundamentada sobre os mesmos.
Processo de Gestão
• Resolução 3.380/06• Circular 3.383/08
Modelos Internos
• Comunicado 19.217/09
• Resolução 3.464/07• Circulares 3.354/07, 3.361/07 a
3.366/07, 3.368/07 e 3.389/08
• Resolução 3.721/09• Circular 3.360/07
• Circular 3.478/09
• Comunicado 18.365/09
Documentação
Aderência aos requerimentos de Basiléia II
Principais Atividades
AsseguraçãoAnálise crítica das
iniciativas de Gestão de Riscos
Recomendações para adequação
da Gestão deRiscos
Implementação das
recomendações
Revisão dos modelos internos e do
cumprimento das recomendações e
emissão do relatório de asseguração.
Entendimento da situação atual e das iniciativas (incluindo modelos, estrutura e
processos) para gerenciamento de riscos vis-a-vis os
requerimentos regulatórios aplicáveis
e modelos de referência.
Detalhamento e priorização das
recomendações, de acordo com o nível de
criticidade, para adequação da estrutura
e processos de gerenciamento de risco
de crédito.
Produtos
R02 e R07����Artigo 3º (Inciso V) e Artigos 5º, 6º, 7º e 8º -Política de GRO, papéis e responsabilidades
R06
R9
R01, R05, R08
N/A
Ref. Recom.Áreas Envolvidas
����
�Artigo 2º (§ 1º e §2º) - Definição de RO
����Artigo 3º (Inciso IV) - Testes dos sistemas de controle de RO
���Artigo 3º (Inciso II) - Documentação e armazenamento de perdas
����Artigo 3º (Incisos I e III) e Artigo 5º - Processo de GRO no Banco e em terceiros
TIAR4AR3AR2AR1
Nível AtualItem da Resolução
R02 e R07����Artigo 3º (Inciso V) e Artigos 5º, 6º, 7º e 8º -Política de GRO, papéis e responsabilidades
R06
R9
R01, R05, R08
N/A
Ref. Recom.Áreas Envolvidas
����
�Artigo 2º (§ 1º e §2º) - Definição de RO
����Artigo 3º (Inciso IV) - Testes dos sistemas de controle de RO
���Artigo 3º (Inciso II) - Documentação e armazenamento de perdas
����Artigo 3º (Incisos I e III) e Artigo 5º - Processo de GRO no Banco e em terceiros
TIAR4AR3AR2AR1
Nível AtualItem da Resolução
1
3
3,5
1
2,5
Análise da Aderência à Resolução BACEN nº 3.380/06
R02 e R07����Artigo 3º (Inciso V) e Artigos 5º, 6º, 7º e 8º -Política de GRO, papéis e responsabilidades
R06
R9
R01, R05, R08
N/A
Ref. Recom.Áreas Envolvidas
����
�Artigo 2º (§ 1º e §2º) - Definição de RO
����Artigo 3º (Inciso IV) - Testes dos sistemas de controle de RO
���Artigo 3º (Inciso II) - Documentação e armazenamento de perdas
����Artigo 3º (Incisos I e III) e Artigo 5º - Processo de GRO no Banco e em terceiros
TIAR4AR3AR2AR1
Nível AtualItem da Resolução
R02 e R07����Artigo 3º (Inciso V) e Artigos 5º, 6º, 7º e 8º -Política de GRO, papéis e responsabilidades
R06
R9
R01, R05, R08
N/A
Ref. Recom.Áreas Envolvidas
����
�Artigo 2º (§ 1º e §2º) - Definição de RO
����Artigo 3º (Inciso IV) - Testes dos sistemas de controle de RO
���Artigo 3º (Inciso II) - Documentação e armazenamento de perdas
����Artigo 3º (Incisos I e III) e Artigo 5º - Processo de GRO no Banco e em terceiros
TIAR4AR3AR2AR1
Nível AtualItem da Resolução
1
3
3,5
1
2,5
Análise da Aderência à Resolução BACEN nº 3.380/06Exem
ploExem
ploExem
ploExem
ploExem
ploExem
ploExem
ploExem
plo
Sumário ExecutivoRecomendações
AA, CI, GR,e AIImplantação do Comitê de RiscosR01
Áreas EnvolvidasDescrição SumáriaCód.
AA, CI, GR,e AIImplantação do Comitê de RiscosR01
Áreas EnvolvidasDescrição SumáriaCód.Exem
ploExem
ploExem
ploExem
ploExem
ploExem
ploExem
ploExem
plo
Sumário ExecutivoRecomendações
AA, CI, GR,e AIImplantação do Comitê de RiscosR01
Áreas EnvolvidasDescrição SumáriaCód.
AA, CI, GR,e AIImplantação do Comitê de RiscosR01
Áreas EnvolvidasDescrição SumáriaCód.Exem
ploExem
ploExem
ploExem
ploExem
ploExem
ploExem
ploExem
plo
R012
R4
R05����Artigo 3º (Inciso VI) - Plano de Contingência
���Artigo 3º (Inciso VII) - Plano de Comunicação e Informação
��Artigo 4º - Descrição da estrutura de GRO em relatório de acesso público
R012
R4
R05����Artigo 3º (Inciso VI) - Plano de Contingência
���Artigo 3º (Inciso VII) - Plano de Comunicação e Informação
��Artigo 4º - Descrição da estrutura de GRO em relatório de acesso público
2
3
4,5
� Responsabilidade primária
� Responsabilidade secundária ou suporte ao processo
Legendas das áreas envolvidas: AR1 – xxxx xxxxx AR5 – xxxxxxxxAR2 – xxxxxxx TI – Tecnologia da InformaçãoAR3 – xxxxx xxxxxx AI – Auditoria InternaAR4 – xxxx xxxxx xxxxxx
R012
R4
R05����Artigo 3º (Inciso VI) - Plano de Contingência
���Artigo 3º (Inciso VII) - Plano de Comunicação e Informação
��Artigo 4º - Descrição da estrutura de GRO em relatório de acesso público
R012
R4
R05����Artigo 3º (Inciso VI) - Plano de Contingência
���Artigo 3º (Inciso VII) - Plano de Comunicação e Informação
��Artigo 4º - Descrição da estrutura de GRO em relatório de acesso público
2
3
4,5
� Responsabilidade primária
� Responsabilidade secundária ou suporte ao processo
Legendas das áreas envolvidas: AR1 – xxxx xxxxx AR5 – xxxxxxxxAR2 – xxxxxxx TI – Tecnologia da InformaçãoAR3 – xxxxx xxxxxx AI – Auditoria InternaAR4 – xxxx xxxxx xxxxxx
GR e AIDefinição dos KRI (indicadores chave de riscos)R07
GRAplicação de treinamento e disseminação da cultura de GROR05
GR e CIDefinição da metodologia para auto-avaliação de riscosR03
GR, AI e CIUniformização da matriz de riscos e controlesR02
TI e GRGestão de projetosR08
AA, GR e CIPolíticas e procedimentosR06
AA, CI, GR,e AIImplantação do Comitê de RiscosR01
GRFunção de Gerenciamento de Risco OperacionalR04
GR e AIDefinição dos KRI (indicadores chave de riscos)R07
GRAplicação de treinamento e disseminação da cultura de GROR05
GR e CIDefinição da metodologia para auto-avaliação de riscosR03
GR, AI e CIUniformização da matriz de riscos e controlesR02
TI e GRGestão de projetosR08
AA, GR e CIPolíticas e procedimentosR06
AA, CI, GR,e AIImplantação do Comitê de RiscosR01
GRFunção de Gerenciamento de Risco OperacionalR04
Legendas das áreas envolvidas:
CI –Controles InternosRH – Recursos Humanos
GR – Gestão de Riscos
TI – Tecnologia da Informação
AI – Auditoria InternaAA – Alta Administração
Legendas das áreas envolvidas:
CI –Controles InternosRH – Recursos Humanos
GR – Gestão de Riscos
TI – Tecnologia da Informação
AI – Auditoria InternaAA – Alta Administração
Legenda de priorização das recomendações:
Alta
Média
Melhoria do processo
Em andamento
Legenda de priorização das recomendações:
Alta
Média
Melhoria do processo
Em andamento
GR e AIDefinição dos KRI (indicadores chave de riscos)R07
GRAplicação de treinamento e disseminação da cultura de GROR05
GR e CIDefinição da metodologia para auto-avaliação de riscosR03
GR, AI e CIUniformização da matriz de riscos e controlesR02
TI e GRGestão de projetosR08
AA, GR e CIPolíticas e procedimentosR06
AA, CI, GR,e AIImplantação do Comitê de RiscosR01
GRFunção de Gerenciamento de Risco OperacionalR04
GR e AIDefinição dos KRI (indicadores chave de riscos)R07
GRAplicação de treinamento e disseminação da cultura de GROR05
GR e CIDefinição da metodologia para auto-avaliação de riscosR03
GR, AI e CIUniformização da matriz de riscos e controlesR02
TI e GRGestão de projetosR08
AA, GR e CIPolíticas e procedimentosR06
AA, CI, GR,e AIImplantação do Comitê de RiscosR01
GRFunção de Gerenciamento de Risco OperacionalR04
Legendas das áreas envolvidas:
CI –Controles InternosRH – Recursos Humanos
GR – Gestão de Riscos
TI – Tecnologia da Informação
AI – Auditoria InternaAA – Alta Administração
Legendas das áreas envolvidas:
CI –Controles InternosRH – Recursos Humanos
GR – Gestão de Riscos
TI – Tecnologia da Informação
AI – Auditoria InternaAA – Alta Administração
Legenda de priorização das recomendações:
Alta
Média
Melhoria do processo
Em andamento
Legenda de priorização das recomendações:
Alta
Média
Melhoria do processo
Em andamento
Produtos
Mapeamento integrado
R13
Nível
Avaliação consolidada dos
riscos
R01
Apetite ao Risco
R03
Divulgação da estrutura
R07
Monitoramento de riscos e perdas
R11
Auditoria da GRO
R08
Sss ssss ssssss
R02
xxxxxxx
R05
Incentivo para melhoria GRO
R14
Captura de perdas operacionais
R10
Refinamento da quantificação dos
riscos
R15
Realização de piloto
R04
Priorização dos planos de ação e
investimentos
R12
“Roll-out” da avaliação dos
principais riscos
R06
Plano de Continuidade de
Negócios
R09
Otimizado
Gerenciado
Estabilizado
Não
Sistematizado
3
5 6
7
8
5
4
3
2
Priorização das Recomendações - Projetos
Mapeamento integrado
R13
Nível
Avaliação consolidada dos
riscos
R01
Apetite ao Risco
R03
Divulgação da estrutura
R07
Monitoramento de riscos e perdas
R11
Auditoria da GRO
R08
Sss ssss ssssss
R02
xxxxxxx
R05
Incentivo para melhoria GRO
R14
Captura de perdas operacionais
R10
Refinamento da quantificação dos
riscos
R15
Realização de piloto
R04
Priorização dos planos de ação e
investimentos
R12
“Roll-out” da avaliação dos
principais riscos
R06
Plano de Continuidade de
Negócios
R09
Otimizado
Gerenciado
Estabilizado
Não
Sistematizado
3
5 6
7
8
5
4
3
2
Priorização das Recomendações - Projetos
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Estratégia e Pol íticas
Modelo de Gestão
Comunicação e Fluxo de Informa ção
Metodologia Avaliação Qualitativa
MonitoramentoMetodologia Análise de
Dados
Metodologia Avaliação
Quantitativa
Equipe -Habilidades e
Recursos
Definição de Risco
Operacional
Ações para cobertura dos gaps.
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Estratégia e Pol íticas
Modelo de Gestão
Comunicação e Fluxo de Informa ção
Metodologia Avaliação Qualitativa
MonitoramentoMetodologia Análise de
Dados
Metodologia Avaliação
Quantitativa
Equipe -Habilidades e
Recursos
Definição de Risco
Operacional
Ações para cobertura dos gaps.
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
Exemplo
13© Deloitte Touche Tohmatsu 2007. Todos os direitos reservados
Legenda de Priorizaçãodas recomendações:
Alta Média Baixa / Melhoria do processo Em andamento
1
riscos piloto principais riscos Negócios
Inicial 2 4
2
1
13© Deloitte Touche Tohmatsu 2007. Todos os direitos reservados
Legenda de Priorizaçãodas recomendações:
Alta Média Baixa / Melhoria do processo Em andamento
1
riscos piloto principais riscos Negócios
Inicial 2 4
2
1
• Considerar a implantação de função/área de suporte para controle e acompanhamento das ações em curso e planejadas (Gestão de Projetos) relativas a risco operacional.
Gestão de Projetos
Políticas Gestão Informa çãoQualitativa Dados Quantitativa RecursosOperacional
• Definição de comitê para tratamento dos aspectos relacionados a risco operacional, com envolvimento da Alta Administração.
• Elaboração de relatório executivo considerando os resultados mensais da exposição a risco operacional, a ser utilizado nas reuniões do comitê.
• Definição dos participantes, responsabilidades, periodicidade e pauta das reuniões do comitê.
• Incorporação da avaliação de risco operacional na tomada de decisão relativa a novos produtos.
Implantação do Comitê de Riscos
• Definição de estrutura organizacional independente e centralizada, responsável pelos aspectos relacionados a GRO.
• Desenvolvimento e implementação de metodologia, processos e atividades, mecanismos de comunicação com os gestores dos processos.
Função de Gerenciamento
de Risco Operacional
Legenda de priorização das recomendações:
Alta
Média
Melhoria do processo
Em andamento
Legenda de priorização das recomendações:
Alta
Média
Melhoria do processo
Em andamento
• Revisão da política de Risco Operacional e inclusão dos níveis de tolerância para os riscos identificados, bem como as ações a serem tomadas no caso de descumprimento dos limites de tolerância. Desenvolvimento de normativa referente ao grau de apetite ao risco da instituição.
• Divulgação da política de GRO aos terceiros provedores de serviços críticos.
Políticas e procedimentos
• Considerar a implantação de função/área de suporte para controle e acompanhamento das ações em curso e planejadas (Gestão de Projetos) relativas a risco operacional.
Gestão de Projetos
Políticas Gestão Informa çãoQualitativa Dados Quantitativa RecursosOperacional
• Definição de comitê para tratamento dos aspectos relacionados a risco operacional, com envolvimento da Alta Administração.
• Elaboração de relatório executivo considerando os resultados mensais da exposição a risco operacional, a ser utilizado nas reuniões do comitê.
• Definição dos participantes, responsabilidades, periodicidade e pauta das reuniões do comitê.
• Incorporação da avaliação de risco operacional na tomada de decisão relativa a novos produtos.
Implantação do Comitê de Riscos
• Definição de estrutura organizacional independente e centralizada, responsável pelos aspectos relacionados a GRO.
• Desenvolvimento e implementação de metodologia, processos e atividades, mecanismos de comunicação com os gestores dos processos.
Função de Gerenciamento
de Risco Operacional
Legenda de priorização das recomendações:
Alta
Média
Melhoria do processo
Em andamento
Legenda de priorização das recomendações:
Alta
Média
Melhoria do processo
Em andamento
• Revisão da política de Risco Operacional e inclusão dos níveis de tolerância para os riscos identificados, bem como as ações a serem tomadas no caso de descumprimento dos limites de tolerância. Desenvolvimento de normativa referente ao grau de apetite ao risco da instituição.
• Divulgação da política de GRO aos terceiros provedores de serviços críticos.
Políticas e procedimentos
Principais Desafios
Conhecimento: Conhecimento dos auditores internos em relação aos requerimentos do Novo Acordo da Basiléia.
Capacitação Técnica: Profissionais especializados em temas específicos como TI, matemática, estatística e análise de dados.
Escopo: Definição clara dos aspectos a serem considerados na validação
Plano de Trabalho: elaboração de roteiros completos, com testes e
Desafios para os Trabalhos de Asseguração
roteiros completos, com testes e relatórios específicos.
Auditabilidade: Possibilidade de avaliação dos critérios adotados para construção dos modelos internos.
Auditoria Interna com Foco em Riscos
Segmentos funcionais e
organizacionais
Integração insatisfatória
Duplicação
Fraudes
Complexidade
Recursos
Evolução da Auditoria Interna
Estado Atual
Ausência de visibilidade
FragmentaçãoCustos Altos Perda de
informações
RecursosDesperdiçados
Vulnerabilidade
Complexidade desnecessária e inflexibilidade
Integração
Estado Desejado
Evolução da Auditoria Interna
Transparência e
Diálogo comum
� EquipeAlinhamento de lideranças e combinação correta de habilidades para analisar a situação como um todo
� Abertura Disposição para ouvir e enfrentar os fatos – “não matar o
FATORES CRÍTICOS PARA O SUCESSO
Transparência e Visibilidade
Custos menores
Processos mapeados
Segurança
Uso eficiente e eficaz de recursos
Disposição para ouvir e enfrentar os fatos – “não matar o mensageiro”
� Perspectiva da Companhia Sair de uma visão limitada e parcial para uma visão abrangente e completa
� Análise direcionada a fatos Informações relevantes e precisas que refletem a realidade; utilização de métodos quantitativos e qualitativos
� Relatos claros e obrigatórios Números não falam por si só – exemplos numéricos devem ser suportados por narrativas
AI Tradicional vs. AI com Foco em Riscos
AI Tradicional AI com Foco em Riscos
� Sistema de Controles internos� Ocorrências do Passado
� Riscos do negócio� Exceções Futuras
FOCO DO TRABALHO � Ocorrências do Passado � Exceções Futuras
� Testes com base em programa de trabalho endereçando objetivos de controle padrão
� Testes de todos os controles
� Testes com base nos riscos de negócio identificados no levantamento de informações
� Testes focalizados, somente dos controles que minimizam os riscos relevantes
� Adequação e eficácia dos controles internos
� Inspecionar, detectar e reagir aos riscos de negócios
� Adequação e eficácia da gestão dos riscos
� Antecipar e prevenir riscos de negócios na origem
TRABALHO
FOCO DOS TESTES
FOCO DO RELATÓRIO
Abordagem
Análise Geral de Riscos(Nível Corporativo)
• Conhecimento do ambiente de
Análise específica de riscos e controles
(Nível de Processos)
• Entendimento e mapeamento
Apresentação dos Resultados
• Reporte das vulnerabilidades e • Conhecimento do ambiente de negócios
• Entendimento da visão de valor dos acionistas
• Definição do modelo de gestão dos processos de negócio
• Identificação e avaliação dos riscos de negócios
• Identificação dos processos críticos do negócio
• Definição do universo de atuação da Auditoria Interna (*)
• Entendimento e mapeamento detalhado dos riscos e controles do processo
• Análise da estrutura de controles e comparação com melhores práticas
• Avaliação (teste) dos controles e mensuração dos riscos
• Identificação das causas e soluções para mitigar os riscos
• Reporte das vulnerabilidades e oportunidades de melhoria alinhadas aos objetivos de negócio
• Discussão / aprovação dos planos de ação para mitigação dos riscos
• Emissão do relatório de auditoria
(*) deve ser revisado constantemente com base na a tualização das informações e do nível de exposição a os riscos.
Principais Benefícios
� Alinhamento com os direcionadores de valor dos acionistas.
� Visão dos principais riscos de negócios e dos processos críticos da organização.
� Demonstração da evolução dos riscos para a Alta Administração.
Principais Benefícios
Administração.
� Contribuição para melhoria da eficiência dos processos .
� Otimização dos recursos de AI e direcionamento adequado dos trabalhos.
Informações AdicionaisInteligência em Riscos
Frederico [email protected]
www.deloitte.com.br
[email protected](11) 5186-6242
ABBC | JUN 10
Asseguração de Basiléia e Auditoria com Foco em
Riscos