O papel da auditoria interna no contexto de Basiléia II* 31 de Julho *connectedthinking

Transcrição

1 O papel da auditoria interna no contexto de Basiléia II* 31 de Julho 2008 *connectedthinking

2 Observações Observações importantes Esta apresentação foi elaborada com a finalidade exclusiva de fornecer orientações gerais sobre assuntos de interesse, não se constituindo em aconselhamento profissional. Nenhuma ação deve ser tomada com base nas informações aqui contidas sem assessoria profissional especializada. Não garantimos (expressa ou implicitamente) a precisão ou completitude das informações contidas nesta publicação e, de acordo com o estabelecido por lei, a - Brasil, seus membros, funcionários e agentes estão isentos de toda e qualquer responsabilidade por conseqüências de atos ou omissões de qualquer pessoa, que sejam decorrentes de informações contidas nesta publicação ou resultantes de decisões baseadas nas mesmas. Posicionamentos regulamentares futuros (locais e internacionais) poderão modificar substancialmente as análises aqui apresentadas. Aproveitamos a oportunidade para manifestar o nosso agradecimento à ABBC em nos receber para demonstrar nossa experiência com o tema. Permanecemos à disposição para qualquer esclarecimento adicional que possa ser requerido em relação ao conteúdo desta apresentação. 2

3 Apresentação Apresentando-nos Evandro Carreras, Sócio, Advisory Services Luciana Medeiros, Senior Manager, Advisory Services Rogério Lélis, Senior Manager, Advisory Services 3

4 Apresentação Nossos contatos para discutir qualquer aspecto relacionado a esta apresentação: Evandro Carreras, Sócio, Advisory Services evandro.carreras@br.pwc.com Luciana Medeiros, Senior Manager, Advisory Services luciana.medeiros@br.pwc.com Rogério Lélis, Senior Manager, Advisory Services rogerio.lelis@br.pwc.com

5 Conteúdo Referências ao papel da auditoria interna em Basiléia II Atribuições da auditoria interna Requerimentos regulamentares no exterior Impactos para a auditoria interna Iniciativas

6 Conteúdo Referências ao papel da auditoria interna em Basiléia II Atribuições da auditoria interna Requerimentos regulamentares no exterior Impactos para a auditoria interna Iniciativas

7 Referências ao papel da auditoria interna em Basiléia II Contexto regulamentar O Comunicado do Banco Central do Brasil estabelece prazos para divulgação de critérios de elegibilidade de modelos internos, para pontos-chave para base de dados e para o processo de autorização para utilização de modelos proprietários Risco de Crédito Implementação de estrutura para gerenciamento de risco de crédito Pontos-chave para formatação de base de dados para sistemas internos Critérios de elegibilidade para abordagem baseada em classificação internas Processo de solicitação de autorização para uso de modelos internos Processo de autorização para uso de modelos internos abordagem básica Processo de autorização para uso de modelos internos abordagem avançada Risco de Mercado Critérios de elegibilidade para adoção de modelos internos Processo de solicitação de autorização para uso de modelos internos Processo de autorização para uso de modelos internos Risco Operacional Estabelecimento de parcela de requerimento de capital Pontos-chave para modelos internos de apuração de requerimento de capital Critérios de elegibilidade para alocação de modelos internos Processo de solicitação de autorização para uso de modelos internos Processo de autorização para uso de modelos internos 7

8 Referências ao papel da auditoria interna em Basiléia II Basiléia II e Auditoria Interna Basiléia II: Promove o desenvolvimento de metodologias internas para avaliação de riscos. Proporciona um menu de abordagens com diferentes níveis de sofisticação. Permite flexibilidade, sensibilidade a riscos e requer maior granularidade de dados. Com um movimento em direção a avaliações internas, Basiléia II requer um papel fundamental da Auditoria Interna. Há menções explícitas em relação às suas atribuições. 8

9 Referências ao papel da auditoria interna em Basiléia II International Convergence of Capital Measurement and Capital Standards A Revised Framework Comprehensive Version Em relação ao riscos de crédito, as principais referências abrangem (i) o sistema de rating do banco e sua operação e (ii) o processo global de gerenciamento de riscos. - Parágrafo 443: A auditoria interna, ou uma função igualmente independente, deve revisar no mínimo anualmente, o sistema de classificação do banco e suas operações, incluindo as operações da função de crédito e as estimativas de PD, LGD e EAD. As áreas de revisão devem ser todas aquelas que devem demonstrar aderência aos requerimentos mínimos aplicáveis. A auditoria interna deve documentar suas constatações. - Parágrafo 165 (CRM): (...) Uma revisão do processo global de gerenciamento de riscos deve ocorrer em intervalos regulares (idealmente, no mínimo uma vez ao ano) e deve abordar, de forma específica, no mínimo: - a integração das mensurações de risco no gerenciamento diário de riscos. - a validação de qualquer alteração significativa no processo de mensuração de riscos. - a precisão e a integridade dos dados utilizados. - a verificação da consistência, adequação e confiabilidade das fontes de dados usadas para em modelos internos, incluindo a independência dessas fontes de dados. - a precisão e a adequação das premissas de volatilidade. 9

10 Referências ao papel da auditoria interna em Basiléia II International Convergence of Capital Measurement and Capital Standards A Revised Framework Comprehensive Version Em relação a riscos operacionais há parágrafos relevantes: - Parágrafo 663 (e): Os processos de gerenciamento de riscos operacionais dos bancos e suas respectivas estruturas de avaliação devem ser objetos de validação e revisão periódica independente. Estas revisões devem incluir as atividades das unidades de negócio e a função de gerenciamento de risco operacional. - Parágrafo 663 (f): A estrutura de avaliação de risco operacional (incluindo os processos de validação interna) do banco deve ser objeto de revisão periódica pelos auditores externos e/ou por supervisores bancários. - Parágrafo 666 (e): Critérios de qualificação, AMA ( Advanced Measurement Approaches ). Auditores internos e/ou externos devem realizar revisões regulares dos processos de administração de risco operacional e do sistema de mensuração. Essa revisão deve incluir as atividades das unidades de negócios e da função de administração de risco operacional independente. 10

11 Referências ao papel da auditoria interna em Basiléia II International Convergence of Capital Measurement and Capital Standards A Revised Framework Comprehensive Version Em relação a riscos de mercado: - Parágrafo 718 (LXXIV) (i): Uma revisão independente da estrutura de mensuração de risco deve fazer parte do processo de auditoria interna do banco. Esta revisão deve contemplar as atividades das unidades de negócio e da unidade independente de risco. A revisão do processo de gerenciamento de risco deve ocorrer regularmente (idealmente, não menos do que uma vez ao ano). - Parágrafo 687(i): Bancos devem possuir políticas e procedimentos claramente definidos e capazes de determinar quais exposições devem ser consideradas na carteira de negociações para o cálculo do encargo de capital, assegurando conformidade com os critérios determinados pelo documento de Basiléia e atentando para as capacitações e práticas de gerenciamento de risco da instituição. A conformidade com estas políticas e procedimentos deve ser devidamente documentada e objeto dos trabalhos periódicos de auditoria interna. 11

12 Referências ao papel da auditoria interna em Basiléia II CEBS -Committee of European Banking Supervisors Guidelines on the implementation, validation and assessment of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches. - Parágrafo 447: A auditoria interna deve revisar se os sistemas de controle para ratings internos e parâmetros relacionados são robustos (Anexo VII, Parte 4, Parágrafo 130 do CRD Capital Requirement Directive ). Deve existir um entendimento apropriado de todos os processos do sistema de rating, incluindo aqueles que geram as estimativas dos parâmetros de risco. Como parte de sua revisão dos mecanismos de controle, a auditoria interna avaliará a profundidade, extensão e qualidade dos trabalhos relacionados a função de controle de risco de crédito. A auditoria interna deve também conduzir testes que assegurem que as conclusões geradas pela função antes mencionada estão bem fundamentadas. Adicionalmente, deve revisar a estrutura de TI e manutenção de dados. Para instituições que utilizam modelos estatísticos, a auditoria interna deve realizar testes que garantam a integridade do processo de entrada de dados. - Parágrafo 448: A auditoria interna ou outra unidade de auditoria independente deve informar à alta administração, no mínimo anualmente, a adequação do banco frente aos requerimentos para utilização de modelos IRB ( Internal Rating-Based ) para riscos de crédito. 12

13 Referências ao papel da auditoria interna em Basiléia II CEBS -Committee of European Banking Supervisors Guidelines on the implementation, validation and assessment of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches. - Parágrafo 449: Com o intuito de fortalecer a sua independência, a auditoria interna não deve estar diretamente envolvida nos processos de seleção de modelos. Embora não relacionada a questão de independência (mas de credibilidade), a unidade de auditoria interna deve ocupar posição elevada na organização e possuir indivíduos com habilidades e experiências requeridas. 13

14 Referências ao papel da auditoria interna em Basiléia II BIS - Bank for International Settlements Internal audit in banks and the supervisor s relationship with auditors: A survey, Esta pesquisa conduzida pelo BIS com 71 instituições financeiras em 13 países identificou que há consenso de que é parte do escopo das atividades da auditoria interna, entre outros elementos: A aplicação e a efetividade dos procedimentos de gerenciamento de riscos; As metodologias de avaliação de riscos; e O sistema de determinação de capital mínimo em função das estimativas de risco. 14

15 Conteúdo Referências ao papel da auditoria interna em Basiléia II Atribuições da auditoria interna Requerimentos regulamentares no exterior Impactos para a auditoria interna Iniciativas

16 Atribuições da auditoria interna Atribuições da auditoria interna benchmarking A realizou uma pesquisa com 17 bancos europeus, procurando identificar diferenças nas abordagens da auditoria interna em relação ao Novo Acordo de Capital da Basiléia. Parte da pesquisa dedicou-se a identificar o envolvimento da auditoria interna na revisão da estrutura de ratings internos (desenho, operações, independência). O resultado demonstrou que 75% dos departamentos de auditoria interna estavam envolvidos nesta função. 16

17 Atribuições da auditoria interna Uma segunda etapa desta avaliação dedicou-se a avaliar o escopo da revisão da estrutura de ratings internos. O gráfico abaixo indica que o papel da auditoria interna possui como escopo a integridade de todo o processo, assim como aspectos de suporte (metodologia e sistemas). O aspecto de dados deverá ser alterado em função das diretrizes emitidas pelo CEBS CP10. Dados Metodologia Sistemas Processos Funcionalidade 0% 20% 40% 60% 80% 100% Sim Não 17

18 Atribuições da auditoria interna A responsabilidade da auditoria interna relaciona-se em avaliar se as políticas de validação de modelos estão em vigor. Entretanto, uma porção significativa dos bancos solicitará à auditoria interna que valide os modelos de risco ou que garanta que os modelos são validados por uma função independente, como risco e controle. Verificar se os modelos de risco são validados por terceiros ou auditores externos Verificar se os modelos de riscos são validos por função independente Validação de modelos de risco, incluindo dados e metodologia Verificar se os padrões e as políticas de validação são cumpridas Sim Não 0% 20% 40% 60% 80% 100% 18

19 Atribuições da auditoria interna Outras atribuições Auditoria: Projeto de Basiléia II Estrutura de Basiléia II 19

20 Atribuições da auditoria interna Auditoria do Projeto de Basiléia II Escopo - Gerenciamento do projeto - Adequação de recursos e disponibilidade - Governança - Envolvimento da alta administração - Atendimento a requerimentos mínimos * Não é uma exigência uma regulamentar. 20

21 Atribuições da auditoria interna Auditoria da Estrutura de Basiléia II Governança - Segregação de funções, independência. - Envolvimento da alta administração. Integração com a gestão (use test) - Utilização efetiva em processos internos. Gerenciamento de dados e controles. Modelos internos de rating - Desenho - Operação - Relação com parâmetros de risco. Processos de suporte - Calculadora de RWA e controles - Procedimentos de CRM (credit risk mitigation). Disclosure. 21

22 Conteúdo Referências ao papel da auditoria interna em Basiléia II Atribuições da auditoria interna Requerimentos regulamentares no exterior Impactos para a auditoria interna Iniciativas

23 Requerimentos regulamentares no exterior Enfoque do Supervisor no exterior O Supervisor espera que os departamentos de Auditoria Interna possuam experiência, recursos humanos e técnicos adequados para a realização das auditorias. Reguladores não irão inspecionar os modelos de gerenciamento de riscos sem a revisão preliminar da Auditoria Interna. 23

24 Requerimentos regulamentares no exterior Supervisões apoiadas em revisões conduzidas por 3 áreas Auditoria interna Auditoria externa Unidade Validação de modelos Auditoria Interna Estabelecimento de aspectos que devem ser cobertos em suas revisões periódicas Auditoria Externa Validação de modelos 24

25 Requerimentos regulamentares no exterior Relatório específico de Auditoria Interna em relação a métodos baseados em avaliações internas O Auditor Interno deverá emitir um relatório específico para cada modelo, no qual se pronunciará explicitamente sobre, no mínimo, os seguintes aspectos: - Integração dos modelos/estimativas com a gestão (use test); - As bases de dados utilizadas; e - O entorno tecnológico. 25

26 Requerimentos regulamentares no exterior Para modelos padronizados Verificação: - Segregação de exposições - Correta aplicação de fatores de risco, aplicação de regras regulamentares etc. 26

27 Validação de modelos Unidade de Validação A instituição financeira deve contar com um processo interno de revisão e validação da efetividade dos modelos desenvolvidos por uma unidade interna específica. É necessário desenhar uma unidade interna independente. especificando suas funções, posição na organização, relação com as unidades de gestão de, auditoria etc. A atividade desta unidade deve ser ocorrer de forma recorrente cobrindo aspectos como: backtesting, stress testing, estabilidade, capacidade preditiva, etc. 27

28 Validação de modelos Unidade de Validação cont. Procedimentos de validação: Efetuar verificações de tipo quantitativo para determinar a capacidade dos modelos para serem utilizados Desenvolver os planos de provas para os modelos a serem implantados. Analisar, recorrentemente, dados e feitos observados, tendências e sensibilidades, comparações com fontes de informação alternativas, e diferenças entre taxas estimadas e reais, e proporcionar recomendações. Revisar os procedimentos de atribuição de ratings, integração dos modelos na gestão e os informes utilizados. Revisar a documentação adequada dos processos envolvidos. 28

29 Validação de modelos Unidade de Validação cont. Outras funções: Verificar o cumprimento de requerimentos do Supervisor e requerimentos mínimos estabelecidos no novo Acordo de Capital de Basiléia. Analisar os sistemas de rating e scoring e a metodologia que os fundamenta, analisando a existência de outras alternativas. Opinar sobre a qualidade, idoneidade, integridade e coerência dos dados utilizados pelos modelos. Avaliar o ambiente de governança corporativa (adequado envolvimento da organização, especialmente da Alta Direção, no desenvolvimento, acompanhamento e utilização dos modelos), e a adequação da estrutura organizacional da instituição. Avaliar o entorno tecnológico relacionado com os sistemas de rating e scoring das instituições. 29

30 Validação de modelos Relação entre Auditoria Interna e Unidade de Validação Devem ser independentes. Devem trabalhar de forma coordenada e, alguns casos, a unidade de validação faz uso de testes realizados pela Auditoria Interna. A Unidade de Validação é escopo da Auditoria Interna. 30

31 Conteúdo Referências ao papel da auditoria interna em Basiléia II Atribuições da auditoria interna Requerimentos regulamentares no exterior Impactos para a auditoria interna Iniciativas

32 Impactos para a auditoria interna Desafios Auditoria interna de Basiléia II é um processo complexo, exigente e rigoroso em termos de recursos (internos e externos). Programas de trabalho específicos e abrangentes: Dados Sistemas Processos Governança Compliance Requerimentos regulamentares impacto na qualificação e na quantidade da equipe de Auditoria Interna: Equipe: quantidade e qualificação. Metodologia Ferramentas de auditoria. 32

33 Impactos para a auditoria interna Interpretação da Resolução n o Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional. Resolução...Art. 3º A estrutura de gerenciamento do risco operacional deve prever:... Entendimento do auditor A estrutura de gerenciamento de risco operacional compreende todo o Framework Política, Estrutura Organizacional, Modelagem, Sistema, Procedimentos, Informação e Comunicação, Cultura. 33

34 Impactos para a auditoria interna Interpretação da Resolução n o Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação). Resolução...Art. 3º A estrutura de gerenciamento do risco operacional deve prever:... I, II. III - elaboração, com periodicidade mínima anual, de relatórios que permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do risco operacional;... Entendimento do auditor Participantes: Profissionais com a função de avaliação de Controles Internos Objetivo: Avaliação dos controles e da sua eficiência por meio de metodologias específicas. 34

35 Impactos para a auditoria interna Interpretação da Resolução n o Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação). Resolução...Art. 3º A estrutura de gerenciamento do risco operacional deve prever:......iv - realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de controle de riscos operacionais implementados; V, VI Entendimento do auditor Participantes: Risco Operacional Auditoria Interna Objetivo: Testes de avaliação dos sistemas de controle de riscos operacionais implementados. 35

36 Impactos para a auditoria interna Interpretação da Resolução n o Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação). Resolução...Art. 3º A estrutura de gerenciamento do risco operacional deve prever:... 2º Os relatórios mencionados no inciso III devem ser submetidos à diretoria das instituições de que trata o art. 1º e ao conselho de administração, se houver, que devem manifestar-se expressamente acerca das ações a serem implementadas para correção tempestiva das deficiências apontadas. Entendimento do auditor Participantes: Diretoria e/ou Conselho de Administração Objetivo: Comentários dos participantes em relação as análises efetuadas e a adequação dos planos de ação para resolução das deficiências encontradas. 36

37 Impactos para a auditoria interna Interpretação da Resolução n o Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação). Resolução...Art. 3º A estrutura de gerenciamento do risco operacional deve prever:... 3º Eventuais deficiências devem compor os relatórios de avaliação da qualidade e adequação do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos e de descumprimento de dispositivos legais e regulamentares, que tenham, ou possam vir a ter impactos relevantes nas demonstrações contábeis ou nas operações da entidade auditada, elaborados pela auditoria independente, conforme disposto na regulamentação vigente. Entendimento do auditor Participantes:Auditor Externo Objetivo: No contexto de seu exame de auditoria, avalia os trabalhos efetuados por Controles Internos/Auditoria Interna e os respectivos comentários da Diretoria e/ou Conselho de Administração. Caso aplicável, inclui recomendações no relatório sobre a avaliação da qualidade e adequação do sistema de controles internos, requerido pela Resolução Res. n o

38 Impactos para a auditoria interna Interpretação da Resolução n o Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação). Diversas áreas da instituição financeira, incluindo Risco Operacional Controles Internos e Auditoria Interna Diretoria e/ou Conselho Auditor Externo Controles Internos implementados Avalia os controles dos processos relacionados Ratifica os planos de ações elaborados Analisa os trabalhos efetuados e inclui na CCI, quando necessário 38

39 Impactos para a auditoria interna Resolução Riscos de mercado Art. 5o. O cumprimento da política e dos procedimentos de que trata o caput deve ser devidamente documentado e objeto de verificação pela auditoria interna. 39

40 Impactos para a auditoria interna No processo de revisão existem dificuldades e preocupações do auditor quanto a: Deficiências nas integrações de sistemas. Utilização excessiva de planilhas eletrônicas. Fragilidades no ambiente geral de sistemas. Dificuldades na obtenção de informação: relacionamento. sistemas carregados. inexistência de back-up. Falta de conciliações com contabilidade ou outras fontes disponíveis. Falta de comprometimento da alta administração. Repulsa dos gestores de risco (supervisão). 40

41 Impactos para a auditoria interna No processo de revisão existem dificuldades e preocupações do auditor quanto a: Limitação do número de profissionais da área de ORM. Treinamento dos auditores internos e da área de controles internos. Insuficiência de orçamento para realização dos trabalhos. Ausência de abertura para reflexão. Tratamento de recomendações como críticas. 41

42 Conteúdo Referências ao papel da auditoria interna em Basiléia II Atribuições da auditoria interna Requerimentos regulamentares no exterior Impactos para a auditoria interna Iniciativas

43 Iniciativas das auditorias internas Iniciativas das auditorias internas no Brasil e no Exterior Capacitação em relação do Novo Acordo de Capital da Basiléia. Planejamento de atuação. Elaboração de análises de impacto sobre capacitação de pessoal, metodologias e ferramentas de auditoria. Elaboração de programas de trabalho e de relatórios de auditoria específicos. Contratação de revisões externas. 43

44 2008. All rights reserved. refers to the network of member firms of International Limited, each of which is a separate and independent legal entity. *connectedthinking is a trademark of LLP (US).