the risk intelligent enterprise™ · capazes de uma gestão inteligente do risco orientada ......

© 2009 Deloitte

The Risk Intelligent Enterprise™“O papel do CAE e da função de

auditoria interna”

Conferência Anual IPAI

18 de Novembro de 2009

© 2009 Deloitte© 2009 Deloitte2

Agenda

The Risk Intelligent Enterprise™

Contexto do Risco nas Instituições Financeiras

Caso de Estudo – O Auditor interno no suporte ao

Risco de Crédito

Encerramento


© 2009 Deloitte


“Companies make money by taking

intelligent risks and lose money by

failing to manage risk intelligently”.

© 2009 Deloitte


Enquadramento

4

“Risco: a probabilidade de perda

ou a menor oportunidade de ganho

causada por factores que afectam

inadvertidamente o cumprimento

dos objectivos da organização.”

Uma Risk Intelligent Enterprise™ é o local onde

todos utilizam o mesmo “par de óculos de Risco”,

partilham uma visão comum sobre Risco e

adoptam uma framework comum para alinhamento

das actividades relacionadas com Risco.

O objectivo principal numa Risk Intelligent

Enterprise™ não é eliminar o contributo que cada

indivíduo tem na Gestão dos Riscos da Organização,

mas sobretudo fomentar a comunicação entre

todos os intervenientes na Gestão de Risco

através numa cultura corporativa de Risk

Intelligence.

Acreditamos que empresas que apenas se focam em

evitar riscos podem sobreviver mas raramente têm

sucesso. Apenas as organizações que forem

capazes de uma gestão inteligente do risco orientada

à preservação e criação de valor serão capazes de

triunfar no contexto actual.


© 2009 Deloitte


9 princípios para ser uma Risk Intelligent Enterprise™

5 Conferência Anual IPAI

Princípio #1 - Uma definição

comum de Risco

Princípio #2 - Um modelo de

gestão de Risco comum

Princípio #3 - Papéis e

Responsabilidades

Princípio #5 - Responsabilidade dos órgãos de Governance

Princípio #7 - As unidades de negócio são

responsáveis pelos RiscosPrincípio #8 - Funções de suporte ao Risco

Princípio #6 -

Responsabilidade da gestão

executiva

Princípio #4 - Um modelo

comum de suporte

Princípio #9 -

Responsabilidades de

revisão, e monitorização

Risk Governance

Risk Infrastructure & Management

Risk Ownership

“Uma Risk Intelligent

Enterprise™ utiliza

um modelo de gestão

de Risco comum

alinhado com as boas

práticas e com as

principais

expectativas das

áreas da

Organização.”

© 2009 Deloitte


O papel do Auditor Interno

6

“Apesar de consciente de

que não é o “dono” dos

Riscos, o Auditor Interno

pode desempenhar tarefas

de reassurance de que os

riscos são geridos de

forma eficiente e eficaz e

em conformidade com o

apetite de risco definido”

“Your mission, should you choose to accept it…”


Princípio # 9 [Risk Infrastructure & Management]

Determinadas funções (e.g. Auditoria Interna, Gestão de Risco, Conformidade)

são encarregues da revisão, monitorização do programa de Gestão de Risco e

reporte aos órgãos de governo e gestão da Organização.

Harmonizar

SincronizarRacionalizar

© 2009 Deloitte


Ambiente de Risco corporativo

7

“A Gestão de Risco é

tradicionalmente focada

na protecção de activos.

Como tal, e em função do

actual estado de

desenvolvimento, a gestão

tem vindo a encarar a

Gestão de Risco como um

custo e um bloqueio ao

crescimento do negócio e

não como um intrumento

de apoio à geração de

valor.”

Valor e Crescimento

Riscos de Governance

Riscos de Estratégia e de

negócio

Riscos Operacionais (operacional, sistemas de informação)

Riscos de infra-estrutura

Riscos de conformidade


Uma linguagem única de risco

O Auditor Interno pode contribuir para uma visão única de risco na

Organização, se direccionar a discussão para as áreas como o crescimento,

margem, rentabilidade, valor de activos e conformidade.

7

© 2009 Deloitte


“The risk of not taking action outweighs

the risk of taking action”

© 2009 Deloitte


Disposições regulamentares

9

“A adopção de Basileia II

contribui decisivamente

para a alteração da

função Auditoria Interna

nas Instituições

Financeiras. O foco é

assegurar a existência de

capacidade interna para

avaliar, de forma

independente, o sistema de

gestão de risco. Avaliação

enquadrada, após o Aviso

nº5/2008 como parte

integrante do Sistema de

Controlo Interno.”


Regulamentação emitida pelo Banco de Portugal no âmbito da adopção de

Basileia II

Aviso 4/2007 – Alterações ao método de

cálculo dos Fundos Próprios

Instrução 12/2007 – Processo de

Validação Interna de Sistemas de Notação

(Método das Notações Internas)

Aviso 5/2007 – Regras de determinação

dos requisitos mínimos de Fundos

Próprios para Risco de Crédito

Instrução 13/2007 – Operações de

Titularização

Aviso 6/2007 – Grandes Riscos Instrução 14/2007 – Reconhecimento de

Empresas de Investimento, Bolsas,

Câmaras de Compensação, Índices e

Divisas

Aviso 7/2007 – Regras aplicáveis a

operações de titularização

Instrução 15/2007 – Processo de Auto-

avaliação da Adequação do Capital Interno

(ICAAP)

Aviso 8/2007 – Regras de determinação

dos requisitos mínimos de Fundos

Próprios para Risco de Mercado

Instrução 16/2007 – Risco de Taxa de

Juro da Carteira Bancária


reconhecimento de Agências de Notação

Externa (ECAI)

Instrução 17/2007 – Risco de

Concentração

Instrução 10/2007 – Reconhecimento de

Agências de Notação Externa (ECAI) e

respectivo Mapeamento

Instrução 18/2007 – Testes de esforço

(stress tests)


Candidatura para Utilização do Método das

Notações Internas (Risco de Crédito) e dos

Métodos Standard e de Medição Avançada

(Risco Operacional)


Candidatura para a Utilização de Modelos

Internos para Cálculo de Requisitos de

Fundos Próprios para Cobertura de Riscos

de Mercado

Legenda

Referência explícita ao papel da função de AI

Possível participação da função de AI

© 2009 Deloitte

REQUISITOS REGULAMENTARES


Papel para a função Auditoria Interna

10

“O papel da função

Auditoria Interna não se

limita ao suporte ao

processo de adopção e

cumprimento dos

requisitos regulamentares,

mas deve reflectir a

alteração verificada no

domínio da gestão, e como

tal, deverão ser

dinamizadas alterações no

domínio do âmbito,

planeamento,

competências e

instrumentos de trabalho.


PE

RF

IL D

E R

ISC

O

Risco de Crédito

Risco de Mercado

Risco Operacional

Validação dos modelos internos

Cálculo de requisitos

mínimos de fundos próprios

Outros riscos

Processo de candidatura à utilização de

modelos avançados

Avaliação do capital

económico e stress testing

Processo de adopção

Mudança do paradigma de actuação

Âmbito do

trabalhoPlaneamento

Competências

e qualificações

Instrumentos

de trabalho

© 2009 Deloitte


Risco de crédito


• Metodologias:

- Definições de incumprimento (default),

perda, segmentação da carteira, etc.

- Sistemas de scoring e de rating

- Algoritmos de apuramento dos factores

de risco (PD, LGD, EAD, M)

- Algoritmos de apuramento de requisitos

de fundos próprios

• Bases de dados:

- Bases de dados de calibração

- Bases de dados de exposições; e

- Bases de dados históricas de

armazenamento de outputs dos modelos

• Processos de suporte à gestão de risco

e determinação dos fundos próprios

necessários

• Controlos que garantam o bom

funcionamento do sistema

• Meios tecnológicos e humanos, que

possibilitam o funcionamento efectivo do

sistema

Aspectos a considerarREQUISITOS REGULAMENTARES

PE

RF

IL D

E R

ISC

O

Risco de Crédito

Risco de Mercado

Risco Operacional

Validação dos

modelos internos

Cálculo de

requisitos mínimos

de fundos próprios

Outros riscos

Processo de

candidatura à

utilização de

modelos avançados


económico e stress

testing



Âmbito do

trabalhoPlaneamento

Competências e

qualificações

Instrumentos de

trabalho

© 2009 Deloitte


Risco de mercado


• Identificação da carteira de activos

detidos para negociação

• Estratégia de negociação para cada

posição/instrumento financeiro

• Políticas e procedimentos para a gestão

activa das posições

• Políticas e procedimentos para o

acompanhamento das posições

• Métodos de avaliação dos activos

• Conceito de cobertura interna e

respectivos impactos

• Cálculo das posições líquidas

• Cálculo dos Requisitos de Fundos

Próprios

• Meios tecnológicos e humanos, que

possibilitam o funcionamento efectivo do

sistema


PE

RF

IL D

E R

ISC

O

Risco de Crédito

Risco de Mercado

Risco Operacional

Validação dos

modelos internos

Cálculo de

requisitos mínimos

de fundos próprios

Outros riscos

Processo de

candidatura à

utilização de

modelos avançados


económico e stress

testing



Âmbito do

trabalhoPlaneamento

Competências e

qualificações

Instrumentos de

trabalho

© 2009 Deloitte


Risco Operacional


• Categorização de riscos

• Identificação dos eventos de risco

potencial

• Questionários de auto-avaliação

• Definição e utilização de KRI

• Repartição das actividades por segmentos

de actividade e cálculo dos FP

(abordagem standard)

• Identificação e recolha de eventos;

• Identificação e reconciliação com registos

contabilísticos

• Metodologias quantitativas: combinação

das avaliações de peritos com registos

históricos internos e externos de perdas,

tratamento das correlações e de eventos

extremos

• Sistema de informação de gestão

• Mecanismos de governação e tomada de

decisão suportada na avaliação do risco

operacional

Aspectos a considerar

Inclui os riscos operacional, compliance e sistemas de informação.


PE

RF

IL D

E R

ISC

O

Risco de Crédito

Risco de Mercado

Risco Operacional

Validação dos

modelos internos

Cálculo de

requisitos mínimos

de fundos próprios

Outros riscos

Processo de

candidatura à

utilização de

modelos avançados


económico e stress

testing



Âmbito do

trabalhoPlaneamento

Competências e

qualificações

Instrumentos de

trabalho

© 2009 Deloitte


Outros riscos


• Grau de integração na gestão dos

processos de avaliação e planeamento de

capital

• Avaliação da documentação existente em

termos de metodologias, hipóteses,

procedimentos e métodos quantitativos ou

qualitativos utilizados

• Avaliação das metodologias consideradas

• Validação da razoabilidade dos

pressupostos considerados para a

estratégia da Instituição e outros factores

• Consistência e comparabilidade com os

fundos próprios

• Existência e razoabilidade do plano de

contingência para assegurar a gestão da

actividade e a adequação do capital interno

perante uma recessão ou uma crise

• Avaliação dos meios tecnológicos e

humanos que garantam a adequação e

recorrência do processo

Aspectos a considerar

Inclui os riscos de taxa de juro, câmbio, estratégico e reputacional.


PE

RF

IL D

E R

ISC

O

Risco de Crédito

Risco de Mercado

Risco Operacional

Validação dos

modelos internos

Cálculo de

requisitos mínimos

de fundos próprios

Outros riscos

Processo de

candidatura à

utilização de

modelos avançados


económico e stress

testing



Âmbito do

trabalhoPlaneamento

Competências e

qualificações

Instrumentos de

trabalho

© 2009 Deloitte


Mudança de paradigma de actuação


• Alargamento do âmbito:- Avaliação do sistema de controlo

interno complementada por especificidades no âmbito do sistema de gestão de riscos

- Inclusão dos processos associados à gestão dos sistemas de informação, aspectos governativos e sistema de informação de gestão

- Foco na avaliação de controlos• Alteração do planeamento através da sua

subordinação à avaliação do risco inerente e residual

• A utilização eficiente de recursos obrigará ao incremento da formação e competências dos auditores internos na sua competência core e a complementá-la com competências adicionais (financeiras, estatísticas, de sistemas de informação)

• A eficiência do processo de auditoria obrigará a investir em novos instrumentos de tratamento massificado de dados e à potenciação da “auditoria contínua à distância”


PE

RF

IL D

E R

ISC

O

Risco de Crédito

Risco de Mercado

Risco Operacional

Validação dos

modelos internos

Cálculo de

requisitos mínimos

de fundos próprios

Outros riscos

Processo de

candidatura à

utilização de

modelos avançados


económico e stress

testing



Âmbito do

trabalhoPlaneamento

Competências e

qualificações

Instrumentos de

trabalho

© 2009 Deloitte

Caso de estudo

O Auditor interno no suporte ao Risco de Crédito

17

“A avaliação da auditoria

interna do processo de

concessão de crédito

requer alargamento do

âmbito de actuação da

função, preponderância

no planeamento da

actividade, competências

multidisciplinares e novos

instrumentos de

trabalho.”


Integração na gestão dos sistemas de

apoio à decisão de

crédito (ratings / scorings)

Bases de dados e

procedimentos utilizados para

criação de bases de

dados

Ambiente tecnológico e aplicações de

suporte à concessão de

crédito

•Cumprimento dos

normativos internos

•Validação da

informação utilizada

na concessão e a

sua utilização

•Suficiência dos

controlos existentes

• Integridade e

consistência das

bases de dados

•Revisão da

documentação e

conceitos utilizados

•Validação de dados

•Grau de integração

•Grau de

automatização

•Manutenção da

informação

•Planos de

contingência e

suficiência de

recursos

•Revisão da

documentação

técnica

21 3

Desafios

© 2009 Deloitte

Caso de estudo

Risco de crédito – Integração na gestão


Integração na gestão dos sistemas de

apoio à decisão de crédito (ratings / scorings)

Alguns aspectos críticos

Revisão de processos de concessão

de crédito

Supervisão sobre as componentes

qualitativas da classificação

Controlo das operações que não são

sujeitas a avaliação através de modelos

de notação de risco

Aprovação de operações “negadas”

pelos sistemas de apoio à decisão de

crédito

Caducidade de atribuição de ratings e

limites de crédito

Formação

Suporte à informação de gestão

Aspectos governativos e

processuais

Testes a considerar

1. Verificação que os termos em que a

operação é concedida são coerentes com a

classificação obtida (exemplo: comparação de

preços vs risco percebido)

2. Verificação dos inputs para obtenção das

classificações

3. Obtenção de estudos efectuados sobre as

classificações obtidas

4. Obtenção das actas de Comités ou outras

estruturas governativas nas quais se procede

à análise dos estudos efectuados

5. Verificação da coerência dos aspectos

qualitativos existentes nas classificações

efectuadas e o seu impacto no resultado final

6. Obter evidência que os processos de

crédito incluem a classificação de crédito e

que a classificação que vigora corresponde à

efectuada

7. Obter evidência dos casos em que a

decisão de crédito foi inconsistente com a

classificação obtida, avaliar suporte da

decisão tomada e se foram recolhidas as

autorizações adequadas

8. Avaliar resultados das decisões contrárias e

o grau de monitorização sobre estes

resultados

© 2009 Deloitte

Caso de estudo

Risco de crédito – Bases de dados


Testes a considerar

1. Verificação que as operações consideradas

cumprem os critérios para pertencer à base de

dados e que todas as que estão nas fontes

originárias que cumprem os critérios foram

consideradas

2. Verificação da suficiência (histórico de

dados) e respectiva qualidade

3. Verificação da inexistência de duplicação de

operações ou de clientes dentro de um

mesmo segmento ou em segmentos

diferentes

4. Verificação da coerência entre a definição

de default e requisitos regulamentares, e

validação da estabilidade do critério

5. Verificação da correcta implementação da

definição e aplicação às operações

6. Verificação das reconciliações da

informação constante das bases de dados

com dados contabilísticos ou de informação

de gestão no processo de construção do

histórico

7. Recálculo das notações de risco

8. Verificação da correcta atribuição dos

factores de risco às operações em função das

suas características e segmentação

Bases de dados e procedimentos utilizados para

criação de bases de dados


Coerência dos dados obtidos de

diversas bases de dados

Inexistência de cópias das fontes de

dados em virtude de processos ad-hoc

de extracção

Filtros efectuados sobre os dados

Processos de extracção pouco

automatizados, com poucos controlos

e “nenhumas” evidências

Reconciliação dos dados

Metodologias de cálculo

© 2009 Deloitte

Caso de estudo

Risco de crédito – Ambiente tecnológico


Testes a considerar

1. Análise do nível de automatização nos

processos de interface

2. Avaliação da documentação técnica sobre

funcionamento dos processos de interface

3. Avaliação dos controlos existentes para

garantir a integridade dos dados (controlo por

somas de campos numéricos ou número de

registos)

4. Identificação e análise dos procedimentos

existentes para evitar que alterações nos

sistemas provoquem disrupções

5. Análise da capacidade operacional dos

sistemas suporte sem assistência humana

6. Avaliação da capacidade das bases de

dados gerirem a informação e a capacidade

de albergar novos dados

7. Avaliação da capacidade de processamento

8. Avaliação da capacidade de incorporar

novos modelos

9. Análise da metodologia utilizada no

desenvolvimento de software e gestão de

bases de dados (controlos gerais informáticos)

10. Avaliação dos instrumentos de auditoria ao

sistema desenvolvidos

Ambiente tecnológico e aplicações de

suporte ao modelo


Interfaces entre aplicações

Disponibilidade para utilização

Metodologia e procedimentos de

desenvolvimento

Escalabilidade

Manutenção

Administração das bases de dados

Documentação técnica

Gestão das contingências

© 2009 Deloitte

• Uma visão única de risco

• Assegurar Reassurance e não Assurance

• O papel do auditor interno é fundamental

num contexto legal e normativo cada vez

mais complexo

• Necessidade de mudança de alguns

paradigmas de actuação

• Importância de adopção de uma abordagem

integrada de suporte às várias áreas de

Risco da organização

• A verificação, revisão e avaliação no contexto

da gestão de Risco de Crédito são factores

críticos para a sua eficiência


Qual é o seu papel?

© 2009 Deloitte

A expressão Deloitte refere-se à Deloitte Touche Tohmatsu, uma Swiss Verein, ou a uma ou mais entidades da sua rede de firmas membro, sendo cada uma delas uma

entidade legal separada e independente. Para aceder à descrição detalhada da estrutura legal da Deloitte Touche Tohmatsu e suas firmas membro consulte

www.deloitte.com/about.

Esta publicação contém apenas informação geral, pelo que nem a Deloitte Touche Tohmatsu, nem qualquer das suas firmas membro, respectivas subsidiárias e participadas,

estão através desta publicação, a prestar serviços de auditoria, consultoria fiscal, consultoria ou corporate finance, aconselhamento legal, ou outros serviços profissionais ou

aconselhamento. Esta publicação não substitui tal aconselhamento ou a prestação daqueles serviços profissionais, nem a mesma deve ser usada como base para actuar ou

tomar decisões que possam afectar o vosso património ou negócio. Antes de tomarem qualquer decisão ou acção que possa afectar o vosso património ou negócio, devem

consultar um profissional qualificado.

Em qualquer caso, nem a Deloitte Touche Tohmatsu, nem qualquer das suas firmas membro, respectivas subsidiárias ou participadas serão responsáveis por quaisquer danos

ou perdas sofridos em resultado de acções ou tomadas de decisão somente com base nesta publicação.

23

Deloitte & Associados, SROC, S.A.

Edifício Atrium Saldanha

Praça Duque de Saldanha, 1 - 6º

1050-094 Lisboa

Portugal

Tel: +(351) 21 042 75 00

Mobile: +(351) 96 210 31 53

Fax: +(351) 21 042 79 50

[email protected]

www.deloitte.com/pt

Member of

Deloitte Touche Tohmatsu

Bruno Horta Soares

Manager

Deloitte Consultores, S.A.

Edifício Atrium Saldanha

Praça Duque de Saldanha, 1 - 6º

1050-094 Lisboa

Portugal

Tel: +(351) 21 042 25 21

Mobile: +(351) 93 620 55 62

Fax: +(351) 21 042 79 50

[email protected]

www.deloitte.com/pt

Member of

Deloitte Touche Tohmatsu

Miguel Morais

Senior Manager


the risk intelligent enterprise™ · capazes de uma gestão inteligente do risco orientada ......

Documents