projeto de consultoria p/ gestÃo de risco … · • obrigação do orgão fiscalizador...

PROJETO DE CONSULTORIA P/GESTÃO DE RISCO OPERACIONAL

COSO/CobiT/SISTEMA GRO

HistHistóóricorico

1975 - Comitê da Basiléia

1993 – Bank of Credit and

Commerce International faliu em meio a escândalos de fraude e lavagem de dinheiro

1997 – Comitê Basiléia edita os 25 Princípios – Instituição de Controles Internos1995 – Barings faliu depois

de 233 anos de existência

1975 – quebra dos bancos Herstatt, da Alemanha e Franklin National, de Nova York.


2002 – SEC edita lei Sarbanes Oxley

2001 – WordCom – 20.000 demitidos

2003 – Res.Bacen 3.081 –Responsabilidades dos Administradores

1995-98 – Askin Capital,

Orange County, ChemicalBank entre outros

1998 – Comitê Basiléia edita mais 13 Princípios – Gestão de Riscos (5 componentes)

1998 – Res.Bacen 2.554–Controles Internos

Lei 9.613 – Prev. Lav. Din.2001 – Novo Acordo da Basiléia

2001 – Enron – 7a. Maior empresa dos EUA.


2004 – Decretada Intervenção no Banco Santos pelo Bacen ?

De CI a RODe CI a RO

Res.2.554/98 Res.3.380/06

Controles Internos

BASILÉIA I

processos, executados pela alta administração, gerências e funcionários, desenhados para fornecer segurança razoável com relação ao cumprimento de objetivos no que se refere a:

•Eficiência e eficácia das operações;

•Integridade/fidelidade dos relatórios financeiros;

•Aderência com as leis e normas aplicáveis.

Risco Operacional

BASILÉIA II

É o risco de perda resultante de processos internos, pessoas e sistemas inadequados ou falhos, ou de eventos externos

BasilBasilééiaia IIII

Os três PilaresOs três Pilares


Dimensão dos Riscos de NegDimensão dos Riscos de Negóóciocio


GestãoGestão de de RiscosRiscos

Gestão de

Riscos

Comitê

Prev.Lav.

Dinheiro

GovernançaCorporativa

RiscoOperacional

ControlesInternos

Auditoria


O que O que éé Risco ?Risco ?

“Todo evento que pode representar perda de valor de ativos, aumento de passivos ou custos adicionais para a instituição.”


• A gestão de riscos é um processo, que disciplina a identificação da origem e a mensuração dos riscos, bem como formula estratégias para gerenciá-los, monitorando-os com um nível aceitável de tolerância.

O que O que éé Gestão de Risco ?Gestão de Risco ?


• Existem 4 elementos fundamentais para o sucesso:

• Cultura Corporativa para Riscos

• Pessoal Qualificado

• Controles Internos

• Tecnologia


EtapasEtapas

Identificação

dos Riscos

PriorizaçãoElaboração do

Plano de Ação

Divulgação e

MonitoraçãoAvaliação

Definição de

estratégia


ComponentesComponentes


Componentes Componentes –– Visão MVisão Méédicadica

• Pessoas

• Execução do Processo

• Infra-Estrutura

• Eventos externos

• Fraude Interna

• Fraude Externa• Reclamações Trabalhistas e por

Perdas e Danos relacionados a Falhas de Infra-Estrutura

• Práticas Comerciais

• Desastres• Interrupção de Atividades por

Falha Tecnológica• Gerenciamento e Execução de

Processos Internos e através de Parceiros Comerciais

DOENÇASSINTOMAS

EVENTOSEVENTOSEVENTOSEVENTOS CAUSASCAUSASCAUSASCAUSAS


Medindo o RiscoMedindo o Risco

EsperadoEsperadoEsperadoEsperado

Diferença

- Pessimista

PresentePresente Futuro(Pessimista)

Futuro(Pessimista)

incertezas

Lucros e Perdas Capital

Riscos

ControlesControles InternosInternos

• Podem ser definidos como processos, executados pela alta administração, gerências e funcionários, desenhados para fornecer segurança razoável com relação ao cumprimento de objetivos no que se refere a:

• Eficiência e eficácia das operações;

• Integridade/fidelidade dos relatórios financeiros;

• Aderência com as leis e normas aplicáveis.

PrevenPrevenççãoão àà LavagemLavagem de de DinheiroDinheiro

“DispõeDispõe sobresobre osos procedimentosprocedimentos a a seremseremadotadosadotados nana prevenprevenççãoão e e combatecombate ààssatividadesatividades relacionamentosrelacionamentos com com osos crimes crimes previstosprevistos nana LeinLein°°9.613, de 03.03.98.9.613, de 03.03.98. .”

GovernanGovernanççaa CorporativaCorporativa

O que O que éé??

“É um conjunto de práticas e relacionamentos

entre Acionistas, Conselho de Administração,

Diretoria, Auditoria Independente e Conselho

Fiscal, com a finalidade de otimizar o desempenho

da empresa e facilitar o acesso ao capital.”

MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos

�� Metodologia que identifica os Metodologia que identifica os objetivos objetivos

essenciais do negessenciais do negóóciocio e define controle e define controle

interno e seus componentes.interno e seus componentes.

�� A A SarbanesSarbanes OxleyOxley indica o COSO como indica o COSO como

padrão de controle. padrão de controle.

�� O COSO propicia:O COSO propicia:

� Economia e eficiência das Operações e

segurança dos ativos contra perdas;

� Veracidade das demonstrações

financeiras;

� Compliance com normas e legislações

locais.

COSO COSO –– CommitteeCommittee ofof SponsoringSponsoring OrganizationsOrganizations


� Estratégicos - objetivos gerais, alinhados e que dão suporte à missão da empresa.

� Operacionais - eficiência e eficácia na utilização dos recursos

� Divulgação/Reporte - confiabilidade nos relatórios divulgados

� Compliance - atendimento às leis e aos regulamentos aplicáveis

COSO – Atingir os Objetivos


� Níveis Corporativos

� Divisões ou Subsidiárias

� Unidades de Negócios

� Processos

COSO – Níveis da Organização


� Ambiente Interno . ambiente no qual a empresa opera

� Estabelecimento de Objetivos - objetivos alinhados à missão

� Identificação de Evento . eventos que possam afetar os objetivos

� Avaliação de Risco . como a empresa avalia seus riscos

COSO – Componentes

� Tratamento do Risco . alinhar os riscos com os objetivos� Atividades de Controle . políticas e procedimentos para assegurar

que os objetivos sejam executados� Informação e Comunicação . ocorre de maneira ampla, fluindo vertical

e horizontalmente� Monitoramento . é realizado mediante atividades gerenciais contínuas


Pontos Fortes� objetivos alinhados à missão� mesma linguagem na empresa� monitora o atingimento dos objetivos� aprimoramento das decisões� melhora da comunicação� redução dos riscos

COSO

Limitações� excessiva dependência em pessoas

� É o conjunto de relações, processos e práticas que garantem o alinhamento de TI à Estratégia da Instituição e aos objetivos dos Negócios, otimizando custos e investimentos e melhorando processos.

COBIT - Control Objectives for Informationand Related Technologies


O O CobiTCobiT trata de:trata de:

� Objetivos do Controle – O que controlar

� Melhores Práticas de Controle – Como implementar o controle

� Orientação para Auditoria – Como auditar cada área, obter compliance e medir riscos

� Orientação para Administração de TI – Como melhorar processos de TI, utilizar as melhores práticas e medir seus resultados em relação aos padrões de mercado.


Objetivos do NEGÓCIO

InformaInformaççãoão

Planejar e Organizar

Adquirir e Implantar

Entregar eSuportar

Monitorar

Recursos de TIRecursos de TIAbrangência:• pessoas• sistemas• equipamentos• infra-estrutura

Fatores Críticos:• efetividade• confidencialidade• integridade• disponibilidade• compatibilidade• confiabilidade

GOVERNANGOVERNANÇÇA DE TIA DE TI

Modelo de processos Modelo de processos CobiTCobiT

DomDomíínios da nios da GovernanGovernançça de TIa de TI

DomDomíínios nios

�� Planejar e Organizar (PO)Planejar e Organizar (PO)

�� Adquirir e Implementar (AI)Adquirir e Implementar (AI)

�� Entregar e Suportar (DS)Entregar e Suportar (DS)

�� Monitorar (M)Monitorar (M)


�� Cobre a estratCobre a estratéégia e a tgia e a táática de TI e tica de TI e

define o melhor caminho para TI define o melhor caminho para TI

suportar o alcance dos objetivos suportar o alcance dos objetivos

estratestratéégicos da organizagicos da organizaçção. ão.

�� Garante a definiGarante a definiçção, comunicaão, comunicaçção e ão e

o gerenciamento de um plano o gerenciamento de um plano

estratestratéégico para TI.gico para TI.

�� Assegura a definiAssegura a definiçção da estrutura ão da estrutura

adequada para a adequada para a áárea, bem como a rea, bem como a

utilizautilizaçção da melhor infraão da melhor infra--estrutura estrutura

tecnoltecnolóógica.gica.

�� 11 processos11 processos

�� 100 objetivos de controle100 objetivos de controle

ProcessosProcessos

�� PO1 PO1 -- Definir um plano estratDefinir um plano estratéégico de TIgico de TI

�� PO2 PO2 –– Definir a arquitetura de informaDefinir a arquitetura de informaççãoão

�� PO3 PO3 –– Determinar a direDeterminar a direçção tecnolão tecnolóógicagica

�� PO4 PO4 –– Definir a organizaDefinir a organizaçção e ão e

relacionamentos de TIrelacionamentos de TI

�� PO5 PO5 –– Gerenciar o investimento em TIGerenciar o investimento em TI

�� PO6 PO6 –– Comunicar Objetivos e Diretrizes da Comunicar Objetivos e Diretrizes da

AdministraAdministraççãoão

�� PO7 PO7 –– Gerenciar recursos humanosGerenciar recursos humanos

�� PO8 PO8 –– Garantia do cumprimento de Garantia do cumprimento de

exigências externasexigências externas

�� PO9 PO9 –– AvaliaAvaliaçção de riscosão de riscos

�� PO10 PO10 –– Gerenciar projetosGerenciar projetos

�� PO11 PO11 –– Gerenciar qualidadeGerenciar qualidade

DomDomíínios nios –– Planejar e OrganizarPlanejar e Organizar


� Permite a realização da estratégia de TI, por meio da aquisição ou desenvolvimento de sistemas aplicativos, bem como da integração destes aos processos de negócio.

� Controla as mudanças e manutenções nos sistemas existentes para assegurar a continuidade do ciclo de vida destes sistemas.

� 6 processos

� 68 objetivos de controle

ProcessosProcessos

�� AI1 AI1 –– Identificar soluIdentificar soluççõesões

�� AI2 AI2 –– Adquirir e manter software Adquirir e manter software

aplicativoaplicativo

�� AI3 AI3 –– Adquirir e manter Adquirir e manter

arquitetura tecnolarquitetura tecnolóógicagica

�� AI4 AI4 –– Desenvolver e manter Desenvolver e manter

procedimentos de TIprocedimentos de TI

�� AI5 AI5 –– Instalar e certificar sistemasInstalar e certificar sistemas

�� AI6 AI6 –– Gerenciar mudanGerenciar mudanççasas

DomDomíínios nios –– Adquirir e ImplementarAdquirir e Implementar


� Concentra-se na atual entrega dos serviços requeridos e, com base nas operações, define quais as necessidades de treinamento em segurança e continuidade. Para tanto, provê os processos de suporte necessários.

� 13 processos


ProcessosProcessos

�� DS1 DS1 –– Definir nDefinir nííveis de serviveis de serviççosos

�� DS2 DS2 –– Gerenciar serviGerenciar serviçços de terceirosos de terceiros

�� DS3 DS3 –– Gerenciar performance e capacidadeGerenciar performance e capacidade

�� DS4 DS4 –– Garantir continuidade dos serviGarantir continuidade dos serviççosos

�� DS5 DS5 –– Garantir seguranGarantir segurançça dos sistemasa dos sistemas

�� DS6 DS6 –– Identificar e alocar custosIdentificar e alocar custos

�� DS7 DS7 –– Educar e treinar usuEducar e treinar usuááriosrios

�� DS8 DS8 –– Auxiliar e aconselhar usuAuxiliar e aconselhar usuáários de TIrios de TI

�� DS9 DS9 –– Gerenciamento da configuraGerenciamento da configuraççãoão

�� DS10 DS10 –– Gerenciamento de problemas e Gerenciamento de problemas e

incidentesincidentes

�� DS11 DS11 –– Gerenciamento de dadosGerenciamento de dados

�� DS12 DS12 –– Gerenciamento de instalaGerenciamento de instalaççõesões

�� DS13 DS13 –– Gerenciamento da operaGerenciamento da operaççãoão

DomDomíínios nios –– Entregar e SuportarEntregar e Suportar


� Provê avaliação periódica dos processos de TI, observando sua qualidade e aderência aos requerimentos de controle.

� Provê direção para a execução de auditorias internas e externas.

� 4 processos


ProcessosProcessos�� M1 M1 –– Monitorar os processosMonitorar os processos

�� M2 M2 –– Avaliar a adequaAvaliar a adequaçção do ão do

controle internocontrole interno

�� M3 M3 –– Obter certificaObter certificaçção ão

independenteindependente

�� M4 M4 –– AuditoriaAuditoria

DomDomíínios nios –– MonitorarMonitorar


Modelo deModelo de

MaturidadeMaturidade

ProcessosProcessos--Chave de TIChave de TI

Fatores CrFatores Crííticos ticos

de Sucesso (CSF)de Sucesso (CSF)

Indicadores chaves Indicadores chaves

dos Objetivos (KGI)dos Objetivos (KGI)

Indicadores ChavesIndicadores Chaves

De Performance (KPI)De Performance (KPI)

Método de classificação dos processos de TI em não existente até otimizado com índices variando de 0 até 5.

São as ações necessárias para implementar os controles sobre TI e seus processos. Os CSF são as definições mais importantes para que os processos de TI atinjam seus objetivos. Podem ser de natureza estratégica, técnica, organizacional, processos ou procedimentos. Devem ser expressas de forma curta e orientadas à ação.

Medidas que identificam se um processo está sendo bem executado ou não. Identificam a tendência se o objetivo seráalcançado.

Medidas – após a ocorrência –se um processo de TI atingiu os objetivos de negócio, normalmente expresso em termos de critérios de informação.• Disponibilidade da informação no tempo adequado.•Riscos de integridade e confidencialidade.•Eficiência de custos operacionais.•Confiabilidade, efetividade e atendimento aos requerimentos.

o que não o que não éé MEDIDO MEDIDO não não éé GERENCIADOGERENCIADO

DomDomíínios de Governannios de Governanççaa

Estrutura de ImplantaEstrutura de Implantaççãoão

AAquisiquisiçção e ão e IImplementamplementaççãoãoAI5 AI5 –– Instalar e certificar sistemasInstalar e certificar sistemas

→→ Controle sobre o processo de TIControle sobre o processo de TI ““Instalar e certificar sistemasInstalar e certificar sistemas””, ,

→→ que atende ao requisito de negque atende ao requisito de negóóciocio ””verificar e assegurar que as verificar e assegurar que as solusoluçções de ões de software software atendem ao seu propatendem ao seu propóósito inicialsito inicial””→→ éé habilitado pelahabilitado pela ““realizarealizaçção de um plano bem formalizado para ão de um plano bem formalizado para

a instalaa instalaçção, migraão, migraçção e aceite das soluão e aceite das soluççõesões””→→ e leva em considerae leva em consideraçção:ão:

� Treinamento dos usuários e pessoal de TI;� Ambiente de testes que espelha o ambiente de produção;� Certificação;� Revisões e feedback pós-implantação;� Envolvimento dos usuários nos testes;� Planos de melhoria contínua de qualidade;� Requisitos de continuidade do negócio;� Medidas de capacidade e throughput e� Acordo sobre os critérios de aceite.


AAquisiquisiçção e ão e IImplementamplementaççãoãoAI5 AI5 –– Instalar e certificar sistemasInstalar e certificar sistemas

→→ Possui 14 Objetivos de Controle:Possui 14 Objetivos de Controle:

1. Treinamento1. Treinamento2. Dimensionamento do 2. Dimensionamento do

Desempenho das AplicaDesempenho das Aplicaçções ões de Softwarede Software

3. Plano de Implementa3. Plano de Implementaççãoão4. Conversão de Sistemas4. Conversão de Sistemas5. Conversão de Dados5. Conversão de Dados6. Planos e Estrat6. Planos e Estratéégias de gias de

TesteTeste7. Mudan7. Mudançças Testadasas Testadas

8. Crit8. Critéérios e Desempenhos dos rios e Desempenhos dos Testes Pilotos e ParalelosTestes Pilotos e Paralelos

9. Teste de Aceite Final9. Teste de Aceite Final10. Teste e Certifica10. Teste e Certificaçção de ão de

SeguranSeguranççaa11.Testes Operacionais11.Testes Operacionais12.12.PromotionPromotion to to ProductionProduction

13. Avalia13. Avaliaçção do Atendimento ão do Atendimento dos Requisitos do Usudos Requisitos do Usuááriorio

14.Gerenciamento da Revisão 14.Gerenciamento da Revisão PPóóss--ImplementaImplementaççãoão


NNíí v

el d

e M

atu

rid

ade

em G

ove

rnan

vel d

e M

atu

rid

ade

em G

ove

rnan

çç a d

e T

Ia

de

TI

� Nível 5 - Otimizado: Melhores práticas são seguidas e automatizadas

� Nível 4 - Gerenciado: Processos monitorados e medidos

� Nível 3 - Definido: Processos documentados e comunicados

� Nível 2 - Repetitivo: Processos estão estruturados

� Nível 1 - Inicial: Há gerenciamento desorganizado

� Nivel 0 - Inexistente: Gerenciamento não é aplicado

NNííveis de maturidadeveis de maturidade


SOX SOX –– SarbanesSarbanes OxleyOxley ACTACT

“A Sarbanes-Oxley, ou simplesmente SOx, é uma lei criada nos Estados Unidos para aperfeiçoar os controles financeiros das empresas que possuem capital na Bolsa de Nova York, o que incluicerca de 70 empresas brasileiras. Esta lei veio em decorrência dos escândalos financeiros das empresas Enron, Worldcom e outras que pulverizaram as economias pessoais de muitos americanos. A lei foi promulgada em 30 de julho de 2002 e prevê multas que variam de 1 milhão e 5 milhões de dólares e penas de reclusão entre 10 e 20 anos para os CEOs (Chief Executive Officer) e CFOs (Chief Finance

Officer) das empresas.”

PorPor quêquê implantarimplantar

• Obrigação do Orgão Fiscalizador (Res.3.380/06)

• Diminuir valor para a Alocação de Capital

• Conscientização dos gestores para a gestão de riscos

• Vantagem competitiva

• Redução de custos

• Riscos aceitáveis e gerenciáveis

• Riscos assumidos de forma consciente.

O O quêquê implantarimplantar

• Processos mapeados e documentados (manuais)• Políticas e Normas divulgadas• Código de Ética• Gestão de Riscos – Avaliação Contínua• Cultura de Controles Internos e Compliance

• Segregações de Funções• Auditoria Rotineira• Comitê de Auditoria e Compliance• Treinamento e Capacitação de Funcionários• Prevenção à Lavagem de Dinheiro• Governança Corporativa• Segurança da Informação• PCN – Plano de Continuidade dos Negócios

�� Mapeamento de RiscosMapeamento de Riscos� Levantamento de Informações� Fluxo dos Processos/Produtos� Descrição detalhada dos Processos/Produtos� Identificação de Riscos� Identificação/Avaliação dos Controles� Exposição de Riscos� Elaboração de Matrizes de Riscos e Controles� Elaboração do Plano de Ação em conjunto com os

responsáveis� Carga das informações no Sistema de Gerenciamento de

Risco (SGR)� Treinamento para Controladoria/Controles Internos (

Modelo/Sistema )� Work Shop Diretoria/ Operacional� Know How em Modelo de Gestão de Riscos passada para a

Instituição

ProjetoProjeto

�� Revisão, adequaRevisão, adequaçção e elaboraão e elaboraçção de: ão de: � Políticas� Normas� Manual de Processos

�� ElaboraElaboraçção do PCN ão do PCN –– Plano de Continuidade de NegPlano de Continuidade de Negóócioscios�� Revisões e recomendaRevisões e recomendaçções sobre a estrutura ões sobre a estrutura

organizacional e funcionalorganizacional e funcional

ProjetoProjeto

RatingRating BACENBACEN

Desagregação em Atividades

de Negócio Significativas

Avaliação de Risco com Base em Modelo

Agregação e rating

“Rating” da Instituição com Base em Julgamento

Controle de Qualidade


Componentes do modeloComponentes do modelo

C apital

A tivos (qualidade) Quantitativos

- revisão do

E xigibilidades/liquidez desempenho

financeiro

R entabilidade

•

R isco (Matriz) Qualitativos - revisão dos riscos e controles

C apital

A tivos (qualidade) Quantitativos

- revisão do

E xigibilidades/liquidez desempenho

financeiro

R entabilidade

•

R isco (Matriz) Qualitativos - revisão dos riscos e controles


Principais elementos e mecânica do modeloPrincipais elementos e mecânica do modelo

INSTITUIÇÃO

DESAGREGAÇÃO

INDICADORES QUALITATIVOSINDICADORES QUALITATIVOS

NOTA QUALITATIVA

NOTA QUANTITATIVA

RATING DA INSTITUIÇÃO

ÁREAS PARA

AVALIAR

METODOLOGIA

DE AGREGAÇÃO

Atividadesfuncionais e de

negóciossignificativas


Nota finalNota final

“Rating” finalda instituição

Nota quantitativafinal

Nota qualitativafinal

Nota do componente

(Capital)

Nota do componente

(Ativos)

Nota do componente(Exigibilidades/

Liquidez)

Nota do componente(Resultados)

Nota da Unidade de Negócio 1

Nota da AtividadeFuncional 1

Nota do indicador 1 Nota do indicador 2 Nota da Atividadede Negócio 1

Nota da Atividadede Negócio 2

Nota consolidadade controle

Nota consolidadade risco

Nota do risco 1 Nota do risco 2 Nota do controle 1 Nota do controle 2

Nota do elemento de risco 1


Nota do elemento de controle 1



Nota quantitativa final

Nota qualitativa final

Nota do componente

(Capital)

Nota do componente

(Ativos)

Nota do componente (Exigibilidades/

Liquidez)

Nota do componente (Resultados)


Nota da Atividade Funcional 1

Nota do indicador 1 Nota do indicador 2 Nota da Atividade de Negócio 1

Nota da Atividade de Negócio 2

Nota consolidada de controle

Nota consolidada de risco






JULGAMENTO “Rating” finalda instituição



Nota do componente

(Capital)

Nota do componente

(Ativos)


Liquidez)



Nota da Atividade Funcional 1













Nota do componente

(Capital)

Nota do componente

(Ativos)


Liquidez)













JULGAMENTO

O ModeloO Modelo

Dicionário de riscos

Dicionário de riscos

Bestpractices

Bestpractices

Programasde

Compliace

Programasde

Compliace

Compliances(Officer e das Áreas)

Compliances(Officer e das Áreas)

Documen-tação

Documen-tação MatrizesMatrizes

Plano deAção

Plano deAção

Relatóriosde

Auditorias

Relatóriosde

Auditorias

Consulta Atualização

Ações a serem tomadas(risco >3)

Ações a serem tomadas

Risco Operacional

(Perdas)

Risco Operacional

(Perdas)

Risco Líquido >3(Valorização da Perda)

Ações a Serem tomadas

ContábilContábil

Área que identificouÁrea que identificou

Área responsávelÁrea responsável

Compliance OfficerCompliance Officer

Alocação de capitalAlocação de capitalVAR/ Monte Carlo

VAR/ Monte Carlo

Contas contábeis

Módulo 1

Módulo 1

Módulo 2

Módulo 2

Módulo 3

Módulo 3

Matriz de RiscosMatriz de Riscos

� Apurar o Risco Bruto

� Conhecer a dimensão real do risco e seu impacto na instituição

� Possibilidade de quantificação

� Desenvolver atividades de auto-avaliação

Matriz de RiscosMatriz de Riscos

Alto Médio Baixo Alta Média Baixa

I - Venda/Negociação

1 Definição da estratégia de negociaçãoOscilação das taxas de juros do mercado, além das previsões e/ou informações disponíveis

8 7 6,2

2 Negociação com brokersNegociação fora dos parâmetros determinados para o dia (financeira - Mesa).

8 7 6,2

3 Ausência de input na PN 8 6 5,3 4 Input com informações divergentes das negociadas 8 6 5,3

5 Monitoramento de boletos aguardando precificaçãoFalha no monitoramento e consequente ausência de precificação

8 5 4,4

6Parâmetros de mercado digitados erroneamente no arquivo mestre

8 7 6,2

7 Precificação incorreta do papel. 8 6 5,3

8 Verificação dos limites operacionaisNegociações além do limite operacional estabelecido para o dia

8 7 6,2

9 Aprovação da operação pelo operador Aprovação de operação fora dos padrões estabelecidos 8 7 6,2

II - Processamento - Boleto

Execução de boletos eletrônicos Execução de boleto eletrônicopor funcionário não autorizado 8 5 4,4

11 Execução de boleto manual por funcionário não autorizado 8 7 6,2 Boleto manual efetuado com dados incorretos ou não efetuados

8 7 6,2

12Registro efetuado com caracterísiticas divergentes das negociadas (CRK e E_GET)

8 6 5,3

13 Ausência de registro de transações (CRK e E-GET) 8 6 5,3

14Registro efetuado de títulos e/ou quantidades divergentes das negociadas

8 6 5,3

15 Ausência de registro de transações 8 6 5,3 16 Remessa de documentação ao B.O. Extravio de documentos enviados ao B.O. 7 5 3,9

III - Monitoramento

18Remessa de informações ao Planejamento e controle para cálculo de Var e Stop Loss

Remessa de informações incorretas e/ou incompletas ao Planejamento e Controle

8 6 5,3

19 Recepção de listagem da BM&F Morosidade no trânsito de documentos (recepção / remessa) 6 3 2,0

20 Recepção da planilha MISMatch de controle. Ausência de apuração do risco exposto pelo Banco 8 6 5,3

21 Execução do cálculo de MTM Cálculo executado com informações incorretas e/ou parciais 8 7 6,2

IV - Liquidação22 Inadimplência 8 4 3,6 23 Recebimento/liquidação de valores parciais 7 6 4,7 24 Baixa das operações no sistema Não registro de liquidação e/ou registro inadequado 7 5 3,9

V - Salvaguarda de Ativos25 Contratos custodiados no B.O.- BM&F/CETIP Trânsito indevido de contratos 8 4 3,6 26 Registros e informações contábeis Registros não correspondentes à situação patrimonial 8 7 6,2

5,2

Input do boleto na PN

Pagamento/Recebimento da contraparte

Registro de transações diretamente nos sistemas legados (títs. Públicos)

Registro de movimentação de títulos públicos no SELIC

RISCO BRUTOETAPAS/ATIVIDADES DESCRIÇÃO DOS RISCOS

IMPACTO

Execução de boleto manual para determinados produtos

Precificação das operações

PROBABILIDADE

Mensuração:•Baixo= 0 a 3 •Médio= 3,1 a 6 •Alto = 6,1 a 9

CCáálculo do Risco Bruto:lculo do Risco Bruto:((Impacto * 1/9)*(Prob * 1/9)) * (9)((Impacto * 1/9)*(Prob * 1/9)) * (9)

Matriz de ControlesMatriz de Controles

� Componente de mensuração do grau de exposição ao risco

� Mitigar a própria exposição ao risco

� Calcular a Eficiência e a Eficácia dos Controles

Matriz de ControlesMatriz de ControlesCONTROLE

A M B A M B

I - Venda / Negociação

1Oscilação das taxas de juros do mercado, além das previsões e/ou informações disponíveis

A política de investimento do Banco é estruturada de forma a efetuar emissões casadas, evitando o pagamento de taxas muito acima do mercado (posição zerada).

7 7 5,4

2Negociação fora dos parâmetros determinados para o dia (financeira - Mesa).

Reunião de caixa realizada diariamente entre a diretoria de tesouraria e o staff da mesa analisando as operações fechadas no dia

7 4 3,1

3 Ausência de input na PNDivergências no movimento financeiro são detectados no fechamento do fluxo de caixa

6 3 2,0

4 Input com informações divergentes das negociadasVerificações informais pelo Diretor da Mesa das operações negociadas

6 6 4,0

5Falha no monitoramento e consequente ausência de precificação

A PN é verificada no fechamento do dia 6 3 2,0

6Parâmetros de mercado digitados erroneamente no arquivo mestre

Arquivo mestre alimentado por apenas duas pessoas designadas

5 3 1,7

7 Precificação incorreta do papel.Todas as operações do dia são consolidadas no fechamento para análise

6 3 2,0

8Negociações além do limite operacional estabelecido para o dia

Verificações informais pelo Diretor da Mesa das operações negociadas

5 3 1,7

9 Aprovação de operação fora dos padrões estabelecidosExiste uma segunda aprovação informal sobre cada operação pelo Diretor da Mesa

6 3 2,0

Processamento - Boleto

10Execução de boleto eletrônico por funcionário não autorizado

O sistema está parametrizado para indentificação do responsável pela boletagem.

7 7 5,4

Execução de boleto manual por funcionário não autorizado

Boleto manual efetuado com dados incorretos ou não efetuadosRegistro efetuado com caracterísiticas divergentes das negociadas (CRK e E_GET)Ausência de registro de transações (CRK e E-GET)Registro no SELICefetuado de títulos e/ou quantidades divergentes das negociadasAusência de registro de transações no SELIC

14 Extravio de documentos enviados ao B.O.Confronto diário das operações realizadas com os sistemas legados.

6 6 4,0

Monitoramento

15Remessa de informações incorretas e/ou incompletas ao Planejamento e Controle

Conciliação das informações com o fluxo de caixa. 6 6 4,0

16Morosidade no trânsito de documentos BM&F/ CETIP(recepção / remessa)

Documentação é extraída diretamente dos sistemas custodiantes pelo Back Office

7 8 6,2

17 Ausência de apuração do risco exposto pelo BancoElaboração diária do relatório Mismatch, consolidando todos os negócios realizados durante o dia, utilizado para tomada de decisão gerencial

6 6 4,0

18Cálculo de MTM executado com informações incorretas e/ou parciais

Conciliação contábil das planilhas de cálculo do MTM 6 6 4,0

Liquidação

19 InadimplênciaMonitoramento diário da posição da carteira de investimentos

6 6 4,0

20 Recebimento/liquidação de valores parciais Conciliação diária da Reserva 7 6 4,7

21Não registro de liquidação e/ou registro inadequado nos sistemas legados

Conciliação de posições BMF / CETIP / SELIC 6 6 4,0

Salvaguarda de ativos

22 Trânsito indevido de contratosContratos arquivados em local reservado sob dupla custódia

7 6 4,7

23 Registros não correspondentes à situação patrimonial Conciliações contábeis parciais executadas pelo B.O. 1 1 0,1

3,1

11

12

13

RISCO

Confronto diário das operações realizadas com os sistemas legados.

não há conciliação entre dados inputados nos dois sistemas

EFICÁCIAEFICIÊNCIA

Conciliação entre dados do E-Get e extratos SELIC

DESCRIÇÃO DOS CONTROLES

6

6

6 4,0

0,0

4,0

6

00

CCáálculo da Eficiência e Eficlculo da Eficiência e Eficáácia:cia:((Eficiência * 1/9)*(Efic((Eficiência * 1/9)*(Eficáácia * 1/9)) * (9)cia * 1/9)) * (9)

Risco LRisco Lííquidoquido

� Apurar o nível de exposição do risco;

� Apurar o nível de relação entre os algoritmos de risco x controle:

EXPOSIEXPOSIÇÇÃO = RISCO ÃO = RISCO -- CONTROLECONTROLE

Risco LRisco Lííquidoquido

I - Venda/Negociação

1Oscilação das taxas de juros do mercado, além das previsões e/ou informações disponíveis

6,2 A política de investimento do Banco é estruturada de forma a efetuar emissões casadas, evitando o pagamento de taxas muito acima do mercado (posição zerada).

5,4 0,8

2 Negociação fora dos parâmetros determinados para o dia (financeira - Mesa). 6,2 Reunião de caixa realizada diariamente entre a diretoria de tesouraria e o staff da mesa analisando as operações fechadas no dia

3,1 3,1

3 Ausência de input na PN 5,3 Divergências no movimento financeiro são detectados no fechamento do fluxo de caixa

2,0 3,3

4 Input com informações divergentes das negociadas 5,3 Verificações informais pelo Diretor da Mesa das operações negociadas 4,0 1,3 5 Falha no monitoramento e consequente ausência de precificação 4,4 A PN é verificada no fechamento do dia 2,0 2,4 6 Parâmetros de mercado digitados erroneamente no arquivo mestre 6,2 Arquivo mestre alimentado por apenas duas pessoas designadas 1,7 4,5 7 Precificação incorreta do papel. 5,3 Todas as operações do dia são consolidadas no fechamento para análise 2,0 3,3 8 Negociações além do limite operacional estabelecido para o dia 6,2 Verificações informais pelo Diretor da Mesa das operações negociadas 1,7 4,5

9 Aprovação de operação fora dos padrões estabelecidos 6,2 Existe uma segunda aprovação informal sobre cada operação pelo Diretor da Mesa

2,0 4,2

II - Processamento - Boleto

10 Execução de boleto eletrônicopor funcionário não autorizado 4,4O sistema está parametrizado para indentificação do responsável pela boletagem.

5,4 (1,0)

11 Execução de boleto manual por funcionário não autorizado 6,2 Confronto diário das operações realizadas com os sistemas legados. 4,0 2,2 12 Boleto manual efetuado com dados incorretos ou não efetuados 6,2 Confronto diário das operações realizadas com os sistemas legados. 4,0 2,2

13Registro efetuado com caracterísiticas divergentes das negociadas (CRK e E_GET)

5,3 não há conciliação entre dados inputados nos dois sistemas 0,0 5,3

14 Ausência de registro de transações (CRK e E-GET) 5,3 não há conciliação entre dados inputados nos dois sistemas 0,0 5,3 15 Registro efetuado de títulos e/ou quantidades divergentes das negociadas 5,3 Conciliação entre dados do E-Get e extratos SELIC 4,0 1,3 16 Ausência de registro de transações 5,3 Conciliação entre dados do E-Get e extratos SELIC 4,0 1,3 17 Extravio de documentos enviados ao B.O. 3,9 Confronto diário das operações realizadas com os sistemas legados. 4,0 (0,1)

III - Monitoramento

18Remessa de informações incorretas e/ou incompletas ao Planejamento e Controle

5,3 Conciliação das informações com o fluxo de caixa. 4,0 1,3

19 Morosidade no trânsito de documentos (recepção / remessa) 2,0 Documentação é extraída diretamente dos sistemas custodiantes pelo Back Office

6,2 (4,2)

20 Ausência de apuração do risco exposto pelo Banco 5,3 Elaboração diária do relatório Mismatch, consolidando todos os negócios realizados durante o dia, utilizado para tomada de decisão gerencial

4,0 1,3

21 Cálculo executado com informações incorretas e/ou parciais 6,2 Conciliação contábil das planilhas de cálculo do MTM 4,0 2,2

IV - Liquidação22 Inadimplência 3,6 Monitoramento diário da posição da carteira de investimentos 4,0 (0,4)23 Recebimento/liquidação de valores parciais 4,7 Conciliação diária da Reserva 4,7 (0,0)24 Não registro de liquidação e/ou registro inadequado 3,9 Conciliação de posições BMF / CETIP / SELIC 4,0 (0,1)

V - Salvaguarda de Ativos25 Trânsito indevido de contratos 3,6 Contratos arquivados em local reservado sob dupla custódia 4,7 (1,1)26 Registros não correspondentes à situação patrimonial 6,2 Conciliações contábeis parciais executadas pelo B.O. 0,1 6,1

5,2 3,3 1,9

DESCRIÇÃO DOS CONTROLESDESCRIÇÃO DOS RISCOS RISCO BRUTO CONTROLE RISCO LÍQUIDO

Para (N) Riscos e (M) Controles temos:Para (N) Riscos e (M) Controles temos:

Exp=(ImpExp=(Imp11*Prob*Prob11)+...+(Imp)+...+(ImpNN*Prob*ProbNN) ) -- (E(E11*EF*EF11)+...+(E)+...+(EMM*EF*EFMM))

N N MM

GrGrááfico de exposifico de exposiçção (Risco Lão (Risco Lííquido)quido)

R I S C O

C O

N T

R O

L E

3

00 3 6 9- 3

9

6

3

0

ZONA DE RISCOZONA DE RISCO

R I S C O

C O

N T

R O

L E

3

00 3 6 9- 3

9

6

3

0

ZONA DE CONFORTOZONA DE CONFORTO


R I S C O

C O

N T

R O

L E

3

00 3 6 9- 3

9

6

3

0

ZONA DE INEFICIÊNCIAZONA DE INEFICIÊNCIA


�� Levantar informaLevantar informaçções contões contáábeis e gerenciais das beis e gerenciais das InstituiInstituiçções do Sistema Financeiro Nacional para ões do Sistema Financeiro Nacional para execuexecuçção da segunda anão da segunda anáálise quantitativa e qualitativa lise quantitativa e qualitativa de impacto de alocade impacto de alocaçção de capital para risco operacional ão de capital para risco operacional sob o enfoque de Basilsob o enfoque de Basilééia II.ia II.

�� A planilha Excel preenchida foi transmitida para o Banco A planilha Excel preenchida foi transmitida para o Banco Central do Brasil, atravCentral do Brasil, atravéés da transas da transaçção PSTAW10 para o ão PSTAW10 para o ccóódigo de documento A018.digo de documento A018.

Objetivo Objetivo

AlocaAlocaççãoão de Capitalde Capital

�� BIA BIA -- Abordagem de Indicador BAbordagem de Indicador Báásicosico�� ASA ASA -- Abordagem Padronizada AlternativaAbordagem Padronizada Alternativa�� AMA AMA -- Abordagem de MensuraAbordagem de Mensuraçção Avanão Avanççadaada

Abordagens para a AlocaAbordagens para a Alocaçção de Capital ão de Capital


1. Abordagem de Indicador Básico (BIA)

Ano Linhas de Negócio (LOB)Indicador de Exposição

(Gross Income)

Eliminação de resultados negativos

Alpha Alocação de Capital

2003 Total da IF 3.918.573 3.918.573 15% 587.7862004 Total da IF 3.493.798 3.493.798 15% 524.0702005 Total da IF 4.763.123 4.763.123 15% 714.468

Quantidade de anos com Indicador de Exposição positivo 3

Alocação Total de Capital (BIA) 608.775


2. Abordagem Padronizada Alternativa (ASA)

Ano Linhas de Negócio (LOB) Carteiras de Crédito m Beta Alocação de Capital

2003 Banco de Varejo 0 0,03500 12% 02004 0 0,03500 12% 02005 0 0,03500 12% 02003 Banco Comercial 0 0,03500 15% 02004 0 0,03500 15% 02005 0 0,03500 15% 0


(Gross Income)Beta

Alocação de Capital

2003 Corporate finance 0 18% 0Negociação e Vendas 718.126 18% 129.263Banco de Varejo --- --- 0Banco Comercial --- --- 0Pagamento e Liquidação 0 18% 0Serviços de Agência 0 15% 0Administração de Ativos 0 12% 0Corretagem de varejo 0 12% 0Total da IF --- --- 129.263



Alocação Total de Capital (ASA) 90.181


3. Abordagem Padronizada Alternativa Agregada (ASA-2)

Ano Linhas de Negócio (LOB) Carteiras de Crédito m Beta Alocação de Capital

2003 Banco de Varejo e Banco Comercial 0 0,03500 15% 02004 0 0,03500 15% 02005 0 0,03500 15% 0


(Gross Income)Beta

Alocação de Capital

2003 Demais linhas de negócio 718.126 18% 129.263Banco de Varejo e Banco Comercial --- --- 0Total da IF --- --- 129.263



Alocação Total de Capital (ASA-2) 90.181


projeto de consultoria p/ gestÃo de risco … · • obrigação do orgão fiscalizador...

Documents