auditoria da função de gestão de riscos operacionais* 1 de ... · ressaltamos que esta análise...

Auditoria da função de gestão de riscos operacionais* 1 de Agosto 2007

*connectedthinking

PricewaterhouseCoopers

Introdução

Parte I - Auditoria específica (complementar) na área de risco operacional

Parte II - Contexto regulatório

Conteúdo

2


Introdução



Conteúdo

3

4PricewaterhouseCoopers

Objetivos da apresentação

Introdução

Esta apresentação tem o objetivo de demonstrar a visão do auditor em relação a um processo de auditoria das funções de risco operacional de uma instituição financeira no Brasil. Ressaltamos que esta análise foi baseada nos fundamentos da Resolução no 3.380, no Comunicado no 12.746, em questões relacionadas ao Novo Acordo da Basiléia e na legislação brasileira atual. Alterações regulamentares futuras poderão modificar substancialmente a análise aqui apresentada.

Aproveitamos a oportunidade para manifestar o nosso agradecimento àABBC em nos receber para demonstrar nosso entendimento sobre o tema. Permanecemos à disposição de V.Sas. para qualquer esclarecimento adicional que possa ser requerido com relação ao conteúdo deste documento.


Objetivos da apresentação

Introdução

Auditoria específicaAuditoria conforme requerido pela

Resolução 3380

• Foco em todos os componentes do framework (estratégia, processo, política, estrutura organizacional, modelagem, procedimento, sistema,informação e comunicação) de gerenciamento de risco operacional para atendimento a Basiléia II

• Público alvo: Conselho de Administração, Comitê de Auditoria, Conselho Fiscal e Diretoria.

• Foco no sistema de controles internos para o processo de risco operacional com base nos requerimentos da Resolução 3380.

• Público alvo: Conselho de Administração, Diretoria, Controles Internos, Auditor Interno e Externo e Autoridade Regulatória


Introdução



Conteúdo


As instituições podem solicitar uma auditoria independente envolvendo os controles internos e procedimentos efetuados no gerenciamento do risco operacional.

Parte I – Auditoria específica (complementar) na área de risco operacional

Objetivos de efetuar uma auditoria específica:

• Obter uma visão independente quanto às práticas empregadas (metodologias de mensuração) e relatórios fornecidos.

• Obter conforto para alta administração e gestor de risco em relação as práticas empregadas e um acompanhamento em relação a efetividade dos controles internos.

• Aprimorar o gerenciamento de risco operacional na instituição.

• Identificar ineficiências.

• Enviar mensagem à comunidade de investidores.


As instituições podem solicitar uma auditoria independente envolvendo os controles internos e procedimentos efetuados no gerenciamento do risco operacional.


Objetivos de efetuar uma auditoria específica (continuação):

• Demonstrar ao regulador e/ou agências de ratingsobre a situação do gerenciamento de risco operacional.

• Ser reconhecida positivamente pelos reguladores (modelos padrões - tendência a adoção de modelos proprietários, com exigência de monitoramento por terceiro - auditor externo).

• Atender requisitos do acordo da Basiléia II para riscos operacionais.


Estrutura de relatórios

O relatório dos auditores independentes sobre a efetividade do sistema de controles internos para os processos de gerenciamento de risco operacional será baseado em uma norma de auditoria internacional – ISAE 3000. O objetivo do “International Standard onAssurance Engagements (ISAE)” é estabelecer princípios básicos, procedimentos essenciais e prover um guia para que os auditores possam efetuar as referidas auditorias.



Definição de controle interno

Controle interno é um processo realizado pelo conselho, diretoria, gerência ou outros profissionais de uma entidade, desenhado a prover razoável segurança quanto ao atendimento dos objetivos nas seguintes categorias:

• efetividade e eficiência das operações

• confiança nos relatórios financeiros

• compliance com regulamentos e legislação aplicáveis



Estrutura de relatórios (continuação)

a) Declaração da Administração sobre a Efetividade dos Controles Internos

Para a avaliação da efetividade, a administração da instituição divulga as afirmações quanto a esta efetividade, como por exemplo:

• os controles internos são suficientes para suportar as necessidades da instituição quanto a análise de gerenciamento de riscos operacionais;

• foram aplicados de forma segura, precisa e oportuna no período sob análise.




a) Declaração da Administração sobre a Efetividade dos Controles Internos

“Desta forma, o Banco XPTO declara que avaliou os mencionadoscontroles internos e concluiu que, no período de XXº de XXX a XX de XXX de 200X, os referidos controles provinham razoável conforto àadministração de que:

(i) integridade dos sistemas - o processamento do sistema foi completo, preciso, oportuno e autorizado pelos níveis adequados;

(ii) disponibilidade dos sistemas - o sistema ficou disponível para atender àsnecessidades de nível de serviço e acordos internos/externos;

(iii) manutenção dos sistemas - o sistema pode ser atualizado quandorequerido mantendo os padrões de qualidade do processamento;

(iv) segurança da informação - o sistema está protegido contra acesso físico e lógico não autorizado;


Exemplo ilustrativo



a) Declaração da Administração sobre a Efetividade dos Controles Internos (continuação).(v) oportunidade da informação - tempo de atendimento aos requisitos de

negócio;

(vi) precisão da informação - utilização de metodologias para mensuração de riscos, e

(vi) integridade dos dados.

Definição de critériosAs Afirmações da Administração estão baseadas nos princípios de controles internos internacionalmente reconhecidos do COSO (Committeeof Sponsoring Organizations of the Tradeway Commission).


Exemplo ilustrativo



b) Relatório dos auditores independentes sobre a efetividade do sistema de controles internos para o processo gerenciamento de risco operacional

Parecer de auditores independentes acerca das afirmações da administração quanto a efetividade dos sistemas de controles internos dos processos de gerenciamento dos riscos operacionais.

Este parecer possui diferentes formatos dependendo da conclusão do auditor que podem ser:

• Sem ressalva – é emitido quando o auditor está convencido sobre todos os aspectos relevantes dos assuntos tratados.




b) (continuação)

• Com ressalva – é emitido quando o auditor conclui que o efeito de qualquer discordância ou restrição na extensão de um trabalho não éde tal magnitude que requeira parecer adverso ou abstenção de opinião.

• Abstenção de opinião – é emitido quando houver uma limitação significativa na extensão de seus exames que impossibilite o auditor expressar opinião sobre o objeto de auditoria por não ter obtidocomprovação suficiente para fundamentá-la.

• Adverso – é emitido quando o auditor discorda das afirmações da administração.




c) Relatório de aprimoramento dos sistemas de controles de gestão de riscos para os processos de gerenciamento de risco operacional

d) Carta de representação da administração


1.1. Estrutura organizacional

Comentários daAdministração

Recomendações de aprimoramento

Práticas atuais Boas práticas de mercado para gerenciamento de riscos

Exemplo ilustrativo


Confiança nos Controles Internos

A abordagem de determinação da confiança nos controles internos auxiliarána definição dos procedimentos de auditoria e sua extensão:• Alta• Alguma• Baixa

Quanto de esforço de auditoria seránecessário para confirmar a exatidão dos relatórios?

Confiança nos controles internos da área:

Baixa Alguma Alta

Sistemas Integrados

Planilhas Eletrônicas




Concluir que não pode ser depositada qualquer confiança nos controles internos da área de Gerenciamento de Riscos Operacionais:• testes substantivos de comprovação no processamento dos relatórios (++)

Baixa

Concluir que pode ser depositada confiança em alguns controles internos da área de Gerenciamento de Riscos Operacionais:• identificação dos controles-chave• testes dos controles-chave (+)• revisões analíticas (-) • comparação dos controles-chave com relatórios (-)

Alguma

Concluir que pode ser depositada confiança nos controles interno da área de Gerenciamento de Riscos Operacionais:• identificação dos controles-chave• testes dos controles-chave (-)• revisões analíticas (+)• comparação dos controles-chave com relatórios (+)

Alta



Baixa Moderada Alta

Testes substantivos

Teste de controles -Comparação de controlescom relatórios

Revisões analíticas

Abordagem no primeiro ano de auditoria




Evidência substantiva de auditoria – este é o termo utilizado para descrever a evidência obtida pela realização de procedimentos analíticos ou testes detalhados para obter conforto significativo ou conforto limitado do ciclo de conforto de auditoria. No caso específico da auditoria para controles internos seránecessário obter conforto significativo de auditoria.

Evidência substantiva de auditoria

Principalmente procedimentos

analíticos

Principalmente testes detalhados

Visão geral da metodologia

20


Procedimentos analíticos – facilita o processo efetivo de auditoria pelo auxílio no entendimento do negócio do cliente, direcionando a atenção do auditor às áreas de maior risco, identificando assuntos que podem não ser aparentes, e auxiliar na avaliação dos resultados da auditoria.

Testes detalhados – se não for possível obter garantia suficiente por meio de procedimentos analíticos, será necessário executar testes detalhados. Estes testes compreendem: cálculos de processamento, verificação de documentos, conciliações de posições, confronto com dados externos, etc.


Outros procedimentos de auditoria –compreendem outros procedimentos que cercam os processos sob análise como leitura de atas de reunião de comitês e comissões, comparações com melhores práticas de mercado, etc.

Outros procedimentos de auditoria

Visão geral da metodologia (continuação)

21



Introdução



Conteúdo


Interpretação da Resolução no 3.380 - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional.


Resolução“....Art. 3º A estrutura de gerenciamento do risco operacional deve prever:....

Entendimento do auditor• A estrutura de gerenciamento de risco

operacional compreende todo o Framework – Política, EstruturaOrganizacional, Modelagem, Sistema, Procedimentos, Informação e Comunicação, Cultura.


Interpretação da Resolução no 3.380 - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação).



I, II….

III - elaboração, com periodicidade mínima anual, de relatórios que permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do risco operacional;....”

Entendimento do auditor• Participantes:

• Controles Internos

• Objetivo: Avaliação dos controles e da sua eficiência por meio de metodologias específicas.





....IV - realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de controle de riscos operacionais implementados;

V, VI…”

Entendimento do auditor• Participantes:

• Risco Operacional

• Auditoria Interna

• Objetivo: Testes de avaliação dos sistemas de controle de riscos operacionais implementados.





§ 2º Os relatórios mencionados no inciso III devem ser submetidos àdiretoria das instituições de que trata o art. 1º e ao conselho de administração, se houver, que devem manifestar-se expressamente acerca das ações a serem implementadas para correção tempestiva das deficiências apontadas.”

Entendimento do auditor• Participantes: Diretoria e/ou Conselho

de Administração

• Objetivo: Comentários dos participantes em relação as análises efetuadas e a adequação dos planos de ação para resolução das deficiências encontradas.




Resolução“....Art. 3º A estrutura de gerenciamento do risco operacional deve prever:....§ 3º Eventuais deficiências devem compor os relatórios de avaliação da qualidade e adequação do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos e de descumprimento de dispositivos legais e regulamentares, que tenham, ou possam vir a ter impactos relevantes nas demonstrações contábeis ou nas operações da entidade auditada, elaborados pela auditoria independente, conforme disposto na regulamentação vigente.”

Entendimento do auditor• Participantes:Auditor Externo• Objetivo: No contexto de seu exame de

auditoria, avalia os trabalhos efetuados por Controles Internos/Auditoria Interna e os respectivos comentários da Diretoria e/ou Conselho de Administração. Caso aplicável, inclui recomendações no relatório sobre a avaliação da qualidade e adequação do sistema de controles internos, requerido pela Resolução 3.380.

Res. no 3198




Diversas áreas da instituição

financeira, incluindo Risco

Operacional

Controles Internos e Auditoria Interna

Diretoria e/ou Conselho Auditor Externo

Controles Internos

implementados

Avalia os controles dos

processos relacionados

Ratifica os planos de ações

elaborados

Analisa os trabalhos

efetuados e inclui na CCI,

quando necessário


• Deficiências nas integrações de sistemas.

• Utilização excessiva de planilhas eletrônicas.

• Fragilidades no ambiente geral de sistemas.

• Dificuldades na obtenção de informação:

• relacionamento.

• sistemas carregados.

• inexistência de back-up.

• Falta de conciliações com contabilidade ou outras fontes disponíveis.

• Falta de comprometimento da alta administração.

• Repulsa dos gestores de risco (supervisão).

Preocupações gerais do auditor

No processo de revisão (auditoria específica ou contextoregulatório) existem dificuldades e preocupações do auditor quanto a:


• Limitação do número de profissionais da área de ORM.

• Treinamento dos auditores internos e da área de controles internos.

• Insuficiência de orçamento para realização dos trabalhos.

• Ausência de abertura para reflexão.

• Tratamento de recomendações como críticas.

Preocupações gerais do auditor

No processo de revisão (auditoria específica ou contextoregulatório) existem dificuldades e preocupações do auditor quanto a:


Contatos

Luciana Medeiros von [email protected]

Luciana [email protected]

Marco [email protected]

Esta publicação foi elaborada com a finalidade exclusiva de fornecer orientações gerais sobre assuntos de interesse, não se constituindo em aconselhamento profissional. Nenhuma ação deve ser tomada com base nas informações aqui contidas sem assessoria profissional especializada. Não garantimos (expressa ou implicitamente) a precisão ou completitude das informações contidas nesta publicação e, de acordo com o estabelecido por lei, a PricewaterhouseCoopers - Brasil, seus membros, funcionários e agentes estão isentos de toda e qualquer responsabilidade por conseqüências de atos ou omissões de qualquer pessoa, que sejam decorrentes de informações contidas nesta publicação ou resultantes de decisões baseadas nas mesmas.

© 2007 PricewaterhouseCoopers. PricewaterhouseCoopers refere-se ao conjunto global de firmas PricewaterhouseCoopers, cada uma delas constituindo uma pessoa jurídica separada e independente.*connectedthinking é marca registrada da PricewaterhouseCoopers.

auditoria da função de gestão de riscos operacionais* 1 de ... · ressaltamos que esta análise...

Documents