asseguração de basiléia e auditoria com foco em riscos · 6/7/2010 · banco central do brasil,...

Asseguração de Basiléia e Auditoria com Foco em

RiscosABBC | JUN 10

AGENDA� Objetivo da Auditoria Interna

� Tendências em Auditoria InternaO papel da AI no processo � O papel da AI no processo de asseguração

� Principais Desafios� Auditoria Interna com Foco em Riscos

� Principais Benefícios

Objetivo da Auditora Interna

Linhas de defesa

Auditoria Interna3

Gestão de Riscos 2

Áreas de Négócio

1

1. Implementação de estrutura de controles internos alinhada aos riscos de negócio.

2. Monitorização do grau de exposição à riscos e aderência (interna e externa) dos processos.

Compliance3. Verificação

independente do grau de exposição a riscos e adequação da estrutura de controles internos.

Tendências em Auditoria Interna

Pressões sobre o Processo Tradicional de Auditoria Interna

Governança� Manutenção da independência

� Gestão de Riscos� Estrutura de Comitês

� Stakeholders

Fatores de Negócio� Pressão por demonstrar valor agregado

� Expectativa de detecção de fraude e oportunidades de redução de custos

� Automatização de processos

Regulamentação� Basiléia II� SOX� IFRS� BACEN/CVM

Outros � Stakeholders� Automatização de processos

� Aumento da complexidade das operações

Outros� Evolução sobre conceitos de Auditoria Interna

� Economia globalizada

� Conhecimento do risco� Aderência regulatória� Aumento da eficiência� Redução de Custos

Chief Executive Auditors

Tendências e Perspectivas do Mercado

• Intenção de tornar a Auditoria Interna uma profissão reconhecida universalmente.

• Aumento do foco nos riscos estratégicos e operacionais como forma de agregar valor.

• Os riscos são dinâmicos e portanto os planos de auditoria deixaram de ser estáticos.

• Novos tipos de asseguração estão se tornando importantes:

�Efetividade do processo de Governança;

�Maturidade dos programas de Compliance;

�Adequação das estruturas de Gestão de Riscos.

Auditoria Interna e Basiléia II

Qual o nível de progresso da instituição em relação à implementação dos seguintes aspectos relacionados à Basiléia II

Fonte: Deloitte Global Risk Management Survey 6th Edition


RISCO OPERACIONAL

• Resolução 3.380/06 - Art. 3 - Inciso IV - realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de controle de riscos operacionais implementados.

• Comunicado 19.217/09 – Art. 20 - No que diz respeito à análise da conformidade da base de dados de perdas internas de risco operacional, cabe à instituição demonstrar, à satisfação do Banco Central do Brasil, que avalia a abrangência, a consistência, a integridade e a confiabilidade tanto do processo de coleta quanto do conteúdo de sua base de dados de perdas confiabilidade tanto do processo de coleta quanto do conteúdo de sua base de dados de perdas internas.

RISCO DE CRÉDITO

• Resolução 3.721/09 - Art. 4 - Inciso II - adequada validação dos sistemas, modelos e procedimentos internos utilizados para gestão do risco de crédito.

• Comunicado 18.365/09 – Art. 28 - É admitida a utilização de modelos desenvolvidos por terceiros como parte do processo de classificação interna de exposições segundo o risco de crédito. O uso de tais modelos está condicionado à validação de seu uso, segundo os mesmos requisitos para validação do uso de sistemas desenvolvidos internamente, ...


RISCO DE MERCADO

• Resolução 3.464/07

• Art. 3 - Inciso III - realização, com periodicidade mínima anual, de testesde avaliação dos sistemas de que trata o inciso II.

• Art. 5 - § 3º - O cumprimento da política e dos procedimentos de que trata o caput deve ser devidamente documentado e objeto de verificação pela auditoria interna.

• Circular 3.478/09

• Art. 3 - As instituições devem manter quantidade suficiente de profissionais tecnicamente qualificados em suas áreas de negócio, operacionais, de gerenciamento de risco, de auditoria interna, de tecnologia da informação, bem como em quaisquer outras envolvidas no desenvolvimento, validação, avaliação e utilização dos modelos internos.


RISCO DE MERCADO (cont.)

• Circular 3.478/09 (cont.)

Avaliação pela Auditoria Interna

• Art. 20. O processo de gerenciamento de risco de mercado da instituição deve ser submetido à avaliação, com periodicidade mínima anual, abrangendo, no mínimo:

I - verificação da eficácia do processo de validação de que trata o art. 19; II - verificação da realização de processos de validação nos casos de mudanças relevantes no modelo II - verificação da realização de processos de validação nos casos de mudanças relevantes no modelo

ou no perfil de risco da instituição, conforme o art. 19, § 3º; III - organização da estrutura de gerenciamento de risco de mercado; IV - integração do modelo interno de risco de mercado às atividades diárias de gerenciamento,

incluindo os testes de estresse; V - integridade dos testes de aderência e sua utilização efetiva na verificação do desempenho e no

aprimoramento do modelo; VI - cumprimento das políticas de gerenciamento de risco, incluídas as estruturas de limites e políticas

relacionadas; VII - suficiência e qualificação técnica dos profissionais das áreas de negócio, operacionais, de

gerenciamento de risco, de tecnologia da informação, bem como de quaisquer outras envolvidas no desenvolvimento, validação e utilização do modelo interno;

VIII - integridade e adequação dos sistemas de informações gerenciais;IX - envolvimento da diretoria da instituição no processo de gestão de risco de mercado; eX - tempestividade e qualidade das informações prestadas ao conselho de administração.

O papel da AI no processo de asseguração

Objetivos da Asseguração

• Verificar a existência de uma estrutura organizacional adequada para a gestão de risco (incluindo políticas, procedimentos, governança, papéis e responsabilidades);

• Avaliar os sistemas de mensuração/análise dos riscos considerando os requisitos de Basiléia II;

• Avaliar questões de disponibilidade de informação, principalmente aquelas relativas às perdas;

• Assegurar que os modelos, processos e sistemas são adequados;

• Assegurar que as informações divulgadas (internamente e externamente) são íntegras;

• Assegurar que a estratégia adotada traz para a instituição benefícios estratégicos e operacionais e garantem conformidade com os requisitos de Basiléia II;

Escopo

Estratégia e Políticas

Modelo de Gestão

Metodologia Análise de

Dados

Metodologia de Avaliação

Comunicação e Fluxo de Informação

Equipe -Habilidades e

RecursosMonitoramento

Estratégia de Gestão de Riscos

Revisão e Atualização das

Políticas

Estrutura Organizacional

Papéis e Envolvimento da

AA

Definição de Risco

Operacional

Definição

Mapeamento das Linhas de Negócio

Procedimentos de Gestão de Riscos

Identificação / Avaliação dos

Riscos

Base de Dados

Procedimento para Coleta de Dados

Conhecimento Técnico

Treinamento

Auditoria Interna

Teste de Estresse

Reporte de Perdas e Ocorrências

Relatórios Gerenciais e Executivos

Tolerância e Apetite ao Risco

Monitoramento de Limites

Mensuração da Performance

Comunicação

Independência das Funções de

Gestão de Riscos

Comitê de Risco

Funções x Unidades de

Negócio

Desenho e Monitoramento do

Processo

Monitoramento de Riscos

Controle / Transferência /

Mitigação

Tecnologia para Coleta de Dados

Armazenamento de Dados Históricos

Modelo de Mensuração e

Abordagem

Relacionamento com Alocação K.Econômico

Tratamento dos Mitigadores de

Risco

Recursos

Tecnologia Envolvida

Comunicação Interna

Reporte ExternoCritérios de

Classificação das Carteiras

Manuais de Precificação

Cálculo de Capital

RC/ RM / RO

RO

RM e RC

Enfoque

A análise da Auditoria Interna deve possibilitar a obtenção de um grau de compreensão suficiente a cerca dos aspectos críticos do processo de Gestão de Riscos, e emitir uma opinião fundamentada sobre os mesmos.

Processo de Gestão

• Resolução 3.380/06• Circular 3.383/08

Modelos Internos

• Comunicado 19.217/09

• Resolução 3.464/07• Circulares 3.354/07, 3.361/07 a

3.366/07, 3.368/07 e 3.389/08

• Resolução 3.721/09• Circular 3.360/07

• Circular 3.478/09

• Comunicado 18.365/09

Documentação

Aderência aos requerimentos de Basiléia II

Principais Atividades

AsseguraçãoAnálise crítica das

iniciativas de Gestão de Riscos

Recomendações para adequação

da Gestão deRiscos

Implementação das

recomendações

Revisão dos modelos internos e do

cumprimento das recomendações e

emissão do relatório de asseguração.

Entendimento da situação atual e das iniciativas (incluindo modelos, estrutura e

processos) para gerenciamento de riscos vis-a-vis os

requerimentos regulatórios aplicáveis

e modelos de referência.

Detalhamento e priorização das

recomendações, de acordo com o nível de

criticidade, para adequação da estrutura

e processos de gerenciamento de risco

de crédito.

Produtos

R02 e R07��Artigo 3º (Inciso V) e Artigos 5º, 6º, 7º e 8º -Política de GRO, papéis e responsabilidades

R06

R9

R01, R05, R08

N/A

Ref. Recom.Áreas Envolvidas

��

�Artigo 2º (§ 1º e §2º) - Definição de RO

��Artigo 3º (Inciso IV) - Testes dos sistemas de controle de RO

��Artigo 3º (Inciso II) - Documentação e armazenamento de perdas

��Artigo 3º (Incisos I e III) e Artigo 5º - Processo de GRO no Banco e em terceiros

TIAR4AR3AR2AR1

Nível AtualItem da Resolução


R06

R9

R01, R05, R08

N/A


��





TIAR4AR3AR2AR1


1

3

3,5

1

2,5

Análise da Aderência à Resolução BACEN nº 3.380/06


R06

R9

R01, R05, R08

N/A


��





TIAR4AR3AR2AR1



R06

R9

R01, R05, R08

N/A


��





TIAR4AR3AR2AR1


1

3

3,5

1

2,5

Análise da Aderência à Resolução BACEN nº 3.380/06Exem

ploExem

ploExem

ploExem

ploExem

ploExem

ploExem

ploExem

plo

Sumário ExecutivoRecomendações

AA, CI, GR,e AIImplantação do Comitê de RiscosR01

Áreas EnvolvidasDescrição SumáriaCód.


Áreas EnvolvidasDescrição SumáriaCód.Exem

ploExem

ploExem

ploExem

ploExem

ploExem

ploExem

ploExem

plo

Sumário ExecutivoRecomendações


Áreas EnvolvidasDescrição SumáriaCód.


Áreas EnvolvidasDescrição SumáriaCód.Exem

ploExem

ploExem

ploExem

ploExem

ploExem

ploExem

ploExem

plo

R012

R4

R05��Artigo 3º (Inciso VI) - Plano de Contingência

��Artigo 3º (Inciso VII) - Plano de Comunicação e Informação

��Artigo 4º - Descrição da estrutura de GRO em relatório de acesso público

R012

R4




2

3

4,5

� Responsabilidade primária

� Responsabilidade secundária ou suporte ao processo

Legendas das áreas envolvidas: AR1 – xxxx xxxxx AR5 – xxxxxxxxAR2 – xxxxxxx TI – Tecnologia da InformaçãoAR3 – xxxxx xxxxxx AI – Auditoria InternaAR4 – xxxx xxxxx xxxxxx

R012

R4




R012

R4




2

3

4,5

� Responsabilidade primária

� Responsabilidade secundária ou suporte ao processo

Legendas das áreas envolvidas: AR1 – xxxx xxxxx AR5 – xxxxxxxxAR2 – xxxxxxx TI – Tecnologia da InformaçãoAR3 – xxxxx xxxxxx AI – Auditoria InternaAR4 – xxxx xxxxx xxxxxx

GR e AIDefinição dos KRI (indicadores chave de riscos)R07

GRAplicação de treinamento e disseminação da cultura de GROR05

GR e CIDefinição da metodologia para auto-avaliação de riscosR03

GR, AI e CIUniformização da matriz de riscos e controlesR02

TI e GRGestão de projetosR08

AA, GR e CIPolíticas e procedimentosR06


GRFunção de Gerenciamento de Risco OperacionalR04









Legendas das áreas envolvidas:

CI –Controles InternosRH – Recursos Humanos

GR – Gestão de Riscos

TI – Tecnologia da Informação

AI – Auditoria InternaAA – Alta Administração






Legenda de priorização das recomendações:

Alta

Média

Melhoria do processo

Em andamento


Alta

Média


Em andamento




























Alta

Média


Em andamento


Alta

Média


Em andamento

Produtos

Mapeamento integrado

R13

Nível

Avaliação consolidada dos

riscos

R01

Apetite ao Risco

R03

Divulgação da estrutura

R07

Monitoramento de riscos e perdas

R11

Auditoria da GRO

R08

Sss ssss ssssss

R02

xxxxxxx

R05

Incentivo para melhoria GRO

R14

Captura de perdas operacionais

R10

Refinamento da quantificação dos

riscos

R15

Realização de piloto

R04

Priorização dos planos de ação e

investimentos

R12

“Roll-out” da avaliação dos

principais riscos

R06

Plano de Continuidade de

Negócios

R09

Otimizado

Gerenciado

Estabilizado

Não

Sistematizado

3

5 6

7

8

5

4

3

2

Priorização das Recomendações - Projetos

Mapeamento integrado

R13

Nível

Avaliação consolidada dos

riscos

R01

Apetite ao Risco

R03

Divulgação da estrutura

R07

Monitoramento de riscos e perdas

R11

Auditoria da GRO

R08

Sss ssss ssssss

R02

xxxxxxx

R05

Incentivo para melhoria GRO

R14

Captura de perdas operacionais

R10

Refinamento da quantificação dos

riscos

R15

Realização de piloto

R04

Priorização dos planos de ação e

investimentos

R12

“Roll-out” da avaliação dos

principais riscos

R06

Plano de Continuidade de

Negócios

R09

Otimizado

Gerenciado

Estabilizado

Não

Sistematizado

3

5 6

7

8

5

4

3

2

Priorização das Recomendações - Projetos

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Estratégia e Pol íticas

Modelo de Gestão

Comunicação e Fluxo de Informa ção

Metodologia Avaliação Qualitativa

MonitoramentoMetodologia Análise de

Dados

Metodologia Avaliação

Quantitativa


Recursos


Operacional

Ações para cobertura dos gaps.

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Estratégia e Pol íticas

Modelo de Gestão

Comunicação e Fluxo de Informa ção

Metodologia Avaliação Qualitativa

MonitoramentoMetodologia Análise de

Dados

Metodologia Avaliação

Quantitativa


Recursos


Operacional

Ações para cobertura dos gaps.

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

Exemplo

13© Deloitte Touche Tohmatsu 2007. Todos os direitos reservados

Legenda de Priorizaçãodas recomendações:

Alta Média Baixa / Melhoria do processo Em andamento

1

riscos piloto principais riscos Negócios

Inicial 2 4

2

1

13© Deloitte Touche Tohmatsu 2007. Todos os direitos reservados

Legenda de Priorizaçãodas recomendações:

Alta Média Baixa / Melhoria do processo Em andamento

1

riscos piloto principais riscos Negócios

Inicial 2 4

2

1

• Considerar a implantação de função/área de suporte para controle e acompanhamento das ações em curso e planejadas (Gestão de Projetos) relativas a risco operacional.

Gestão de Projetos

Políticas Gestão Informa çãoQualitativa Dados Quantitativa RecursosOperacional

• Definição de comitê para tratamento dos aspectos relacionados a risco operacional, com envolvimento da Alta Administração.

• Elaboração de relatório executivo considerando os resultados mensais da exposição a risco operacional, a ser utilizado nas reuniões do comitê.

• Definição dos participantes, responsabilidades, periodicidade e pauta das reuniões do comitê.

• Incorporação da avaliação de risco operacional na tomada de decisão relativa a novos produtos.

Implantação do Comitê de Riscos

• Definição de estrutura organizacional independente e centralizada, responsável pelos aspectos relacionados a GRO.

• Desenvolvimento e implementação de metodologia, processos e atividades, mecanismos de comunicação com os gestores dos processos.

Função de Gerenciamento

de Risco Operacional


Alta

Média


Em andamento


Alta

Média


Em andamento

• Revisão da política de Risco Operacional e inclusão dos níveis de tolerância para os riscos identificados, bem como as ações a serem tomadas no caso de descumprimento dos limites de tolerância. Desenvolvimento de normativa referente ao grau de apetite ao risco da instituição.

• Divulgação da política de GRO aos terceiros provedores de serviços críticos.

Políticas e procedimentos

• Considerar a implantação de função/área de suporte para controle e acompanhamento das ações em curso e planejadas (Gestão de Projetos) relativas a risco operacional.

Gestão de Projetos

Políticas Gestão Informa çãoQualitativa Dados Quantitativa RecursosOperacional

• Definição de comitê para tratamento dos aspectos relacionados a risco operacional, com envolvimento da Alta Administração.

• Elaboração de relatório executivo considerando os resultados mensais da exposição a risco operacional, a ser utilizado nas reuniões do comitê.

• Definição dos participantes, responsabilidades, periodicidade e pauta das reuniões do comitê.

• Incorporação da avaliação de risco operacional na tomada de decisão relativa a novos produtos.

Implantação do Comitê de Riscos

• Definição de estrutura organizacional independente e centralizada, responsável pelos aspectos relacionados a GRO.

• Desenvolvimento e implementação de metodologia, processos e atividades, mecanismos de comunicação com os gestores dos processos.

Função de Gerenciamento

de Risco Operacional


Alta

Média


Em andamento


Alta

Média


Em andamento

• Revisão da política de Risco Operacional e inclusão dos níveis de tolerância para os riscos identificados, bem como as ações a serem tomadas no caso de descumprimento dos limites de tolerância. Desenvolvimento de normativa referente ao grau de apetite ao risco da instituição.

• Divulgação da política de GRO aos terceiros provedores de serviços críticos.

Políticas e procedimentos

Principais Desafios

Conhecimento: Conhecimento dos auditores internos em relação aos requerimentos do Novo Acordo da Basiléia.

Capacitação Técnica: Profissionais especializados em temas específicos como TI, matemática, estatística e análise de dados.

Escopo: Definição clara dos aspectos a serem considerados na validação

Plano de Trabalho: elaboração de roteiros completos, com testes e

Desafios para os Trabalhos de Asseguração

roteiros completos, com testes e relatórios específicos.

Auditabilidade: Possibilidade de avaliação dos critérios adotados para construção dos modelos internos.

Auditoria Interna com Foco em Riscos

Segmentos funcionais e

organizacionais

Integração insatisfatória

Duplicação

Fraudes

Complexidade

Recursos

Evolução da Auditoria Interna

Estado Atual

Ausência de visibilidade

FragmentaçãoCustos Altos Perda de

informações

RecursosDesperdiçados

Vulnerabilidade

Complexidade desnecessária e inflexibilidade

Integração

Estado Desejado

Evolução da Auditoria Interna

Transparência e

Diálogo comum

� EquipeAlinhamento de lideranças e combinação correta de habilidades para analisar a situação como um todo

� Abertura Disposição para ouvir e enfrentar os fatos – “não matar o

FATORES CRÍTICOS PARA O SUCESSO

Transparência e Visibilidade

Custos menores

Processos mapeados

Segurança

Uso eficiente e eficaz de recursos

Disposição para ouvir e enfrentar os fatos – “não matar o mensageiro”

� Perspectiva da Companhia Sair de uma visão limitada e parcial para uma visão abrangente e completa

� Análise direcionada a fatos Informações relevantes e precisas que refletem a realidade; utilização de métodos quantitativos e qualitativos

� Relatos claros e obrigatórios Números não falam por si só – exemplos numéricos devem ser suportados por narrativas

AI Tradicional vs. AI com Foco em Riscos

AI Tradicional AI com Foco em Riscos

� Sistema de Controles internos� Ocorrências do Passado

� Riscos do negócio� Exceções Futuras

FOCO DO TRABALHO � Ocorrências do Passado � Exceções Futuras

� Testes com base em programa de trabalho endereçando objetivos de controle padrão

� Testes de todos os controles

� Testes com base nos riscos de negócio identificados no levantamento de informações

� Testes focalizados, somente dos controles que minimizam os riscos relevantes

� Adequação e eficácia dos controles internos

� Inspecionar, detectar e reagir aos riscos de negócios

� Adequação e eficácia da gestão dos riscos

� Antecipar e prevenir riscos de negócios na origem

TRABALHO

FOCO DOS TESTES

FOCO DO RELATÓRIO

Abordagem

Análise Geral de Riscos(Nível Corporativo)

• Conhecimento do ambiente de

Análise específica de riscos e controles

(Nível de Processos)

• Entendimento e mapeamento

Apresentação dos Resultados

• Reporte das vulnerabilidades e • Conhecimento do ambiente de negócios

• Entendimento da visão de valor dos acionistas

• Definição do modelo de gestão dos processos de negócio

• Identificação e avaliação dos riscos de negócios

• Identificação dos processos críticos do negócio

• Definição do universo de atuação da Auditoria Interna (*)

• Entendimento e mapeamento detalhado dos riscos e controles do processo

• Análise da estrutura de controles e comparação com melhores práticas

• Avaliação (teste) dos controles e mensuração dos riscos

• Identificação das causas e soluções para mitigar os riscos

• Reporte das vulnerabilidades e oportunidades de melhoria alinhadas aos objetivos de negócio

• Discussão / aprovação dos planos de ação para mitigação dos riscos

• Emissão do relatório de auditoria

(*) deve ser revisado constantemente com base na a tualização das informações e do nível de exposição a os riscos.

Principais Benefícios

� Alinhamento com os direcionadores de valor dos acionistas.

� Visão dos principais riscos de negócios e dos processos críticos da organização.

� Demonstração da evolução dos riscos para a Alta Administração.

Principais Benefícios

Administração.

� Contribuição para melhoria da eficiência dos processos .

� Otimização dos recursos de AI e direcionamento adequado dos trabalhos.

Informações AdicionaisInteligência em Riscos

Frederico [email protected]

www.deloitte.com.br

[email protected](11) 5186-6242

ABBC | JUN 10

Asseguração de Basiléia e Auditoria com Foco em

Riscos

asseguração de basiléia e auditoria com foco em riscos · 6/7/2010 · banco central do brasil,...

Documents