The Risk Intelligent Enterprise O papel do CAE e da função de auditoria interna

Transcrição

1 The Risk Intelligent Enterprise O papel do CAE e da função de auditoria interna Conferência Anual IPAI 18 de Novembro de 2009

2 Agenda The Risk Intelligent Enterprise Contexto do Risco nas Instituições Financeiras Caso de Estudo O Auditor interno no suporte ao Risco de Crédito Encerramento 2 Conferência Anual IPAI

3 The Risk Intelligent Enterprise Companies make money by taking intelligent risks and lose money by failing to manage risk intelligently.

4 The Risk Intelligent Enterprise Enquadramento Risco: a probabilidade de perda ou a menor oportunidade de ganho causada por factores que afectam inadvertidamente o cumprimento dos objectivos da organização. Uma Risk Intelligent Enterprise é o local onde todos utilizam o mesmo par de óculos de Risco, partilham uma visão comum sobre Risco e adoptam uma framework comum para alinhamento das actividades relacionadas com Risco. O objectivo principal numa Risk Intelligent Enterprise não é eliminar o contributo que cada indivíduo tem na Gestão dos Riscos da Organização, mas sobretudo fomentar a comunicação entre todos os intervenientes na Gestão de Risco através numa cultura corporativa de Risk Intelligence. Acreditamos que empresas que apenas se focam em evitar riscos podem sobreviver mas raramente têm sucesso. Apenas as organizações que forem capazes de uma gestão inteligente do risco orientada à preservação e criação de valor serão capazes de triunfar no contexto actual. 4 Conferência Anual IPAI

5 The Risk Intelligent Enterprise 9 princípios para ser uma Risk Intelligent Enterprise Uma Risk Intelligent Enterprise utiliza um modelo de gestão de Risco comum alinhado com as boas práticas e com as principais expectativas das áreas da Organização. Princípio #1 - Uma definição comum de Risco Princípio #6 - Responsabilidade da gestão executiva Risk Governance Princípio #2 - Um modelo de gestão de Risco comum Princípio #5 - Responsabilidade dos órgãos de Governance Risk Infrastructure & Management Princípio #4 - Um modelo comum de suporte Princípio #3 - Papéis e Responsabilidades Princípio #9 - Responsabilidades de revisão, e monitorização Risk Ownership Princípio #7 - As unidades de negócio são responsáveis pelos Riscos Princípio #8 - Funções de suporte ao Risco 5 Conferência Anual IPAI

6 The Risk Intelligent Enterprise O papel do Auditor Interno Apesar de consciente de que não é o dono dos Riscos, o Auditor Interno pode desempenhar tarefas de reassurance de que os riscos são geridos de forma eficiente e eficaz e em conformidade com o apetite de risco definido Princípio # 9 [Risk Infrastructure & Management] Determinadas funções (e.g. Auditoria Interna, Gestão de Risco, Conformidade) são encarregues da revisão, monitorização do programa de Gestão de Risco e reporte aos órgãos de governo e gestão da Organização. Your mission, should you choose to accept it Harmonizar Racionalizar Sincronizar 6 Conferência Anual IPAI

7 The Risk Intelligent Enterprise Ambiente de Risco corporativo A Gestão de Risco é tradicionalmente focada na protecção de activos. Como tal, e em função do actual estado de desenvolvimento, a gestão tem vindo a encarar a Gestão de Risco como um custo e um bloqueio ao crescimento do negócio e não como um intrumento de apoio à geração de valor. Riscos de conformidade Riscos de infraestrutura Riscos de Governance Valor e Crescimento Riscos Operacionais (operacional, sistemas de informação) Riscos de Estratégia e de negócio 7 Conferência Anual IPAI Uma linguagem única de risco O Auditor Interno pode contribuir para uma visão única de risco na Organização, se direccionar a discussão para as áreas como o crescimento, margem, rentabilidade, valor de activos e conformidade.

8 Contexto do Risco nas Instituições Financeiras The risk of not taking action outweighs the risk of taking action

9 Contexto do Risco nas Instituições Financeiras Disposições regulamentares A adopção de Basileia II contribui decisivamente para a alteração da função Auditoria Interna nas Instituições Financeiras. O foco é assegurar a existência de capacidade interna para avaliar, de forma independente, o sistema de gestão de risco. Avaliação enquadrada, após o Aviso nº5/2008 como parte integrante do Sistema de Controlo Interno. Legenda Referência explícita ao papel da função de AI Possível participação da função de AI Regulamentação emitida pelo Banco de Portugal no âmbito da adopção de Basileia II Aviso 4/2007 Alterações ao método de cálculo dos Fundos Próprios Aviso 5/2007 Regras de determinação dos requisitos mínimos de Fundos Próprios para Risco de Crédito Aviso 6/2007 Grandes Riscos Aviso 7/2007 Regras aplicáveis a operações de titularização Aviso 8/2007 Regras de determinação dos requisitos mínimos de Fundos Próprios para Risco de Mercado Instrução 9/2007 Processo de reconhecimento de Agências de Notação Externa (ECAI) Instrução 10/2007 Reconhecimento de Agências de Notação Externa (ECAI) e respectivo Mapeamento Instrução 11/2007 Processo de Candidatura para Utilização do Método das Notações Internas (Risco de Crédito) e dos Métodos Standard e de Medição Avançada (Risco Operacional) Instrução 12/2007 Processo de Validação Interna de Sistemas de Notação (Método das Notações Internas) Instrução 13/2007 Operações de Titularização Instrução 14/2007 Reconhecimento de Empresas de Investimento, Bolsas, Câmaras de Compensação, Índices e Divisas Instrução 15/2007 Processo de Autoavaliação da Adequação do Capital Interno (ICAAP) Instrução 16/2007 Risco de Taxa de Juro da Carteira Bancária Instrução 17/2007 Risco de Concentração Instrução 18/2007 Testes de esforço (stress tests) Instrução 4/2008 Processo de Candidatura para a Utilização de Modelos Internos para Cálculo de Requisitos de Fundos Próprios para Cobertura de Riscos de Mercado 9 Conferência Anual IPAI

10 PERFIL DE RISCO Contexto do Risco nas Instituições Financeiras Papel para a função Auditoria Interna Processo de adopção O papel da função Auditoria Interna não se limita ao suporte ao processo de adopção e cumprimento dos requisitos regulamentares, mas deve reflectir a alteração verificada no domínio da gestão, e como tal, deverão ser dinamizadas alterações no domínio do âmbito, planeamento, competências e instrumentos de trabalho. Validação dos modelos internos REQUISITOS REGULAMENTARES Processo de candidatura à utilização de modelos avançados Risco de Crédito Risco de Mercado Risco Operacional Outros riscos Cálculo de requisitos mínimos de fundos próprios Avaliação do capital económico e stress testing Mudança do paradigma de actuação Âmbito do trabalho Planeamento Competências e qualificações Instrumentos de trabalho 10 Conferência Anual IPAI

11 PERFIL DE RISCO Contexto do Risco nas Instituições Financeiras Risco de crédito Processo de adopção Aspectos a considerar Validação dos modelos internos Mudança do paradigma de actuação Âmbito do trabalho Processo de candidatura à utilização de modelos avançados Planeamento REQUISITOS REGULAMENTARES Risco de Crédito Risco de Mercado Risco Operacional Outros riscos Cálculo de requisitos mínimos de fundos próprios Competências e qualificações Avaliação do capital económico e stress testing Instrumentos de trabalho Metodologias: - Definições de incumprimento (default), perda, segmentação da carteira, etc. - Sistemas de scoring e de rating - Algoritmos de apuramento dos factores de risco (PD, LGD, EAD, M) - Algoritmos de apuramento de requisitos de fundos próprios Bases de dados: - Bases de dados de calibração - Bases de dados de exposições; e - Bases de dados históricas de armazenamento de outputs dos modelos Processos de suporte à gestão de risco e determinação dos fundos próprios necessários Controlos que garantam o bom funcionamento do sistema Meios tecnológicos e humanos, que possibilitam o funcionamento efectivo do sistema 11 Conferência Anual IPAI

12 PERFIL DE RISCO Contexto do Risco nas Instituições Financeiras Risco de mercado Processo de adopção Aspectos a considerar Validação dos modelos internos Mudança do paradigma de actuação Âmbito do trabalho Processo de candidatura à utilização de modelos avançados Planeamento REQUISITOS REGULAMENTARES Risco de Crédito Risco de Mercado Risco Operacional Outros riscos Cálculo de requisitos mínimos de fundos próprios Competências e qualificações Avaliação do capital económico e stress testing Instrumentos de trabalho Identificação da carteira de activos detidos para negociação Estratégia de negociação para cada posição/instrumento financeiro Políticas e procedimentos para a gestão activa das posições Políticas e procedimentos para o acompanhamento das posições Métodos de avaliação dos activos Conceito de cobertura interna e respectivos impactos Cálculo das posições líquidas Cálculo dos Requisitos de Fundos Próprios Meios tecnológicos e humanos, que possibilitam o funcionamento efectivo do sistema 12 Conferência Anual IPAI

13 PERFIL DE RISCO Contexto do Risco nas Instituições Financeiras Risco Operacional Processo de adopção Validação dos modelos internos Mudança do paradigma de actuação Âmbito do trabalho Processo de candidatura à utilização de modelos avançados Planeamento REQUISITOS REGULAMENTARES Risco de Crédito Risco de Mercado Risco Operacional Outros riscos Cálculo de requisitos mínimos de fundos próprios Competências e qualificações Avaliação do capital económico e stress testing Instrumentos de trabalho Inclui os riscos operacional, compliance e sistemas de informação. Aspectos a considerar Categorização de riscos Identificação dos eventos de risco potencial Questionários de auto-avaliação Definição e utilização de KRI Repartição das actividades por segmentos de actividade e cálculo dos FP (abordagem standard) Identificação e recolha de eventos; Identificação e reconciliação com registos contabilísticos Metodologias quantitativas: combinação das avaliações de peritos com registos históricos internos e externos de perdas, tratamento das correlações e de eventos extremos Sistema de informação de gestão Mecanismos de governação e tomada de decisão suportada na avaliação do risco operacional 13 Conferência Anual IPAI

14 PERFIL DE RISCO Contexto do Risco nas Instituições Financeiras Outros riscos Processo de adopção REQUISITOS REGULAMENTARES Aspectos a considerar Validação dos modelos internos Mudança do paradigma de actuação Âmbito do trabalho Processo de candidatura à utilização de modelos avançados Planeamento Risco de Crédito Risco de Mercado Risco Operacional Outros riscos Cálculo de requisitos mínimos de fundos próprios Competências e qualificações Avaliação do capital económico e stress testing Instrumentos de trabalho Inclui os riscos de taxa de juro, câmbio, estratégico e reputacional. Grau de integração na gestão dos processos de avaliação e planeamento de capital Avaliação da documentação existente em termos de metodologias, hipóteses, procedimentos e métodos quantitativos ou qualitativos utilizados Avaliação das metodologias consideradas Validação da razoabilidade dos pressupostos considerados para a estratégia da Instituição e outros factores Consistência e comparabilidade com os fundos próprios Existência e razoabilidade do plano de contingência para assegurar a gestão da actividade e a adequação do capital interno perante uma recessão ou uma crise Avaliação dos meios tecnológicos e humanos que garantam a adequação e recorrência do processo 14 Conferência Anual IPAI

15 PERFIL DE RISCO Contexto do Risco nas Instituições Financeiras Mudança de paradigma de actuação Processo de adopção Validação dos modelos internos Mudança do paradigma de actuação Âmbito do trabalho Processo de candidatura à utilização de modelos avançados Planeamento 15 Conferência Anual IPAI REQUISITOS REGULAMENTARES Risco de Crédito Risco de Mercado Risco Operacional Outros riscos Cálculo de requisitos mínimos de fundos próprios Competências e qualificações Avaliação do capital económico e stress testing Instrumentos de trabalho Aspectos a considerar Alargamento do âmbito: - Avaliação do sistema de controlo interno complementada por especificidades no âmbito do sistema de gestão de riscos - Inclusão dos processos associados à gestão dos sistemas de informação, aspectos governativos e sistema de informação de gestão - Foco na avaliação de controlos Alteração do planeamento através da sua subordinação à avaliação do risco inerente e residual A utilização eficiente de recursos obrigará ao incremento da formação e competências dos auditores internos na sua competência core e a complementá-la com competências adicionais (financeiras, estatísticas, de sistemas de informação) A eficiência do processo de auditoria obrigará a investir em novos instrumentos de tratamento massificado de dados e à potenciação da auditoria contínua à distância

16 Caso de estudo O Auditor interno no suporte ao Risco de Crédito

17 Caso de estudo O Auditor interno no suporte ao Risco de Crédito A avaliação da auditoria interna do processo de concessão de crédito requer alargamento do âmbito de actuação da função, preponderância no planeamento da actividade, competências multidisciplinares e novos instrumentos de trabalho. 17 Conferência Anual IPAI Integração na gestão dos sistemas de apoio à decisão de crédito (ratings / scorings) Desafios Cumprimento dos normativos internos Validação da informação utilizada na concessão e a sua utilização Suficiência dos controlos existentes Bases de dados e procedimentos utilizados para criação de bases de dados Integridade e consistência das bases de dados Revisão da documentação e conceitos utilizados Validação de dados Ambiente tecnológico e aplicações de suporte à concessão de crédito Grau de integração Grau de automatização Manutenção da informação Planos de contingência e suficiência de recursos Revisão da documentação técnica

18 Caso de estudo Risco de crédito Integração na gestão Integração na gestão dos sistemas de apoio à decisão de crédito (ratings / scorings) 18 Conferência Anual IPAI Alguns aspectos críticos Revisão de processos de concessão de crédito Supervisão sobre as componentes qualitativas da classificação Controlo das operações que não são sujeitas a avaliação através de modelos de notação de risco Aprovação de operações negadas pelos sistemas de apoio à decisão de crédito Caducidade de atribuição de ratings e limites de crédito Formação Suporte à informação de gestão Aspectos governativos e processuais Testes a considerar 1. Verificação que os termos em que a operação é concedida são coerentes com a classificação obtida (exemplo: comparação de preços vs risco percebido) 2. Verificação dos inputs para obtenção das classificações 3. Obtenção de estudos efectuados sobre as classificações obtidas 4. Obtenção das actas de Comités ou outras estruturas governativas nas quais se procede à análise dos estudos efectuados 5. Verificação da coerência dos aspectos qualitativos existentes nas classificações efectuadas e o seu impacto no resultado final 6. Obter evidência que os processos de crédito incluem a classificação de crédito e que a classificação que vigora corresponde à efectuada 7. Obter evidência dos casos em que a decisão de crédito foi inconsistente com a classificação obtida, avaliar suporte da decisão tomada e se foram recolhidas as autorizações adequadas 8. Avaliar resultados das decisões contrárias e o grau de monitorização sobre estes resultados

19 Caso de estudo Risco de crédito Bases de dados Bases de dados e procedimentos utilizados para criação de bases de dados Alguns aspectos críticos Coerência dos dados obtidos de diversas bases de dados Inexistência de cópias das fontes de dados em virtude de processos ad-hoc de extracção Filtros efectuados sobre os dados Processos de extracção pouco automatizados, com poucos controlos e nenhumas evidências Reconciliação dos dados Metodologias de cálculo Testes a considerar 1. Verificação que as operações consideradas cumprem os critérios para pertencer à base de dados e que todas as que estão nas fontes originárias que cumprem os critérios foram consideradas 2. Verificação da suficiência (histórico de dados) e respectiva qualidade 3. Verificação da inexistência de duplicação de operações ou de clientes dentro de um mesmo segmento ou em segmentos diferentes 4. Verificação da coerência entre a definição de default e requisitos regulamentares, e validação da estabilidade do critério 5. Verificação da correcta implementação da definição e aplicação às operações 6. Verificação das reconciliações da informação constante das bases de dados com dados contabilísticos ou de informação de gestão no processo de construção do histórico 7. Recálculo das notações de risco 8. Verificação da correcta atribuição dos factores de risco às operações em função das suas características e segmentação 19 Conferência Anual IPAI

20 Caso de estudo Risco de crédito Ambiente tecnológico Ambiente tecnológico e aplicações de suporte ao modelo Alguns aspectos críticos Interfaces entre aplicações Disponibilidade para utilização Metodologia e procedimentos de desenvolvimento Escalabilidade Manutenção Administração das bases de dados Documentação técnica Gestão das contingências Testes a considerar 1. Análise do nível de automatização nos processos de interface 2. Avaliação da documentação técnica sobre funcionamento dos processos de interface 3. Avaliação dos controlos existentes para garantir a integridade dos dados (controlo por somas de campos numéricos ou número de registos) 4. Identificação e análise dos procedimentos existentes para evitar que alterações nos sistemas provoquem disrupções 5. Análise da capacidade operacional dos sistemas suporte sem assistência humana 6. Avaliação da capacidade das bases de dados gerirem a informação e a capacidade de albergar novos dados 7. Avaliação da capacidade de processamento 8. Avaliação da capacidade de incorporar novos modelos 9. Análise da metodologia utilizada no desenvolvimento de software e gestão de bases de dados (controlos gerais informáticos) 10. Avaliação dos instrumentos de auditoria ao sistema desenvolvidos 20 Conferência Anual IPAI

21 Encerramento Missão Impossível?

22 Uma visão única de risco Assegurar Reassurance e não Assurance O papel do auditor interno é fundamental num contexto legal e normativo cada vez mais complexo Necessidade de mudança de alguns paradigmas de actuação Importância de adopção de uma abordagem integrada de suporte às várias áreas de Risco da organização A verificação, revisão e avaliação no contexto da gestão de Risco de Crédito são factores críticos para a sua eficiência Qual é o seu papel? 22 Conferência Anual IPAI

23 Miguel Morais Senior Manager Deloitte Consultores, S.A. Edifício Atrium Saldanha Praça Duque de Saldanha, 1-6º Lisboa Portugal Tel: +(351) Mobile: +(351) Fax: +(351) Bruno Horta Soares Manager Deloitte & Associados, SROC, S.A. Edifício Atrium Saldanha Praça Duque de Saldanha, 1-6º Lisboa Portugal Tel: +(351) Mobile: +(351) Fax: +(351) Member of Deloitte Touche Tohmatsu Member of Deloitte Touche Tohmatsu Esta publicação contém apenas informação geral, pelo que nem a Deloitte Touche Tohmatsu, nem qualquer das suas firmas membro, respectivas subsidiárias e participadas, estão através desta publicação, a prestar serviços de auditoria, consultoria fiscal, consultoria ou corporate finance, aconselhamento legal, ou outros serviços profissionais ou aconselhamento. Esta publicação não substitui tal aconselhamento ou a prestação daqueles serviços profissionais, nem a mesma deve ser usada como base para actuar ou tomar decisões que possam afectar o vosso património ou negócio. Antes de tomarem qualquer decisão ou acção que possa afectar o vosso património ou negócio, devem consultar um profissional qualificado. Em qualquer caso, nem a Deloitte Touche Tohmatsu, nem qualquer das suas firmas membro, respectivas subsidiárias ou participadas serão responsáveis por quaisquer danos ou perdas sofridos em resultado de acções ou tomadas de decisão somente com base nesta publicação. A expressão Deloitte refere-se à Deloitte Touche Tohmatsu, uma Swiss Verein, ou a uma ou mais entidades da sua rede de firmas membro, sendo cada uma delas uma entidade legal separada e independente. Para aceder à descrição detalhada da estrutura legal da Deloitte Touche Tohmatsu e suas firmas membro consulte 23 Conferência Anual IPAI