Gestão do Risco Operacional no Banco de Portugal

Transcrição

1 Gestão do Risco Operacional no Banco de Portugal Framework de Risco Operacional e Responsabilidade da Auditoria Interna Jorge Mourato Coordenador do Núcleo de Gestão de Riscos Operacionais 27 setembro 2016 Lisboa XV CONFERÊNCIA SOBRE AUDITORIA, RISCO E GOVERNANCE A Governance de Risco

2 Agenda 1. Organização interna 2. Principais responsabilidades 3. Gestão do Risco Operacional 4. Desafios e oportunidades 5. Responsabilidades da Auditoria Interna 6. Ações em curso 2 27 de setembro 2016

3 1. Organização Modelo de Governação Conselho de Administração Comissão para o Risco e o Controlo Interno 1ª linha de defesa Funções de Negócio (Departamentos) 2ª linha de defesa Departamento de Gestão de Risco Gabinete de Conformidade 3ª linha de defesa Departamento de Auditoria 3 27 de setembro 2016

4 1. Organização (cont.) Departamento de Gestão de Risco Área de Gestão de Risco Financeiro Área do Risco Global Núcleo dos Riscos das Operações de Política Monetária Núcleo dos Riscos da Gestão das Reservas Núcleo de Otimização e Principais Riscos Núcleo de Gestão dos Riscos Operacionais 4 27 de setembro 2016

5 2. Principais Responsabilidades Assegurar a definição e atualização, em conjunto com todos os departamentos, do processo de gestão do risco operacional (ORM) no Banco, estabelecendo políticas e procedimentos comuns Coordenar, em articulação com todos os departamentos, a identificação e avaliação dos riscos associados à atividade do Banco, prestando o necessário apoio técnico Monitorizar, medir e avaliar o grau de risco operacional e a performance das estratégias de gestão do risco, com base em indicadores de risco Assegurar o acompanhamento da implementação e evolução dos processos de ORM no âmbito do Eurosistema/SEBC Implementar e manter um modelo de registo de incidentes, transversal ao Banco, colaborando com os departamentos no sentido de identificar medidas de mitigação e melhoria do ambiente de controlo interno Realizar ações de formação e consciencialização sobre o tema para todo o universo do Banco Participar de forma ativa nos temas relacionados com Continuidade de Negócio 5 27 de setembro 2016

6 Gestão do Risco Operacional 6 27 de setembro 2016

7 EVENTOS CAUSAS IMPACTOS 3. Gestão do Risco Operacional Risco Operacional Risco de perdas ou impactos negativos a nível financeiro, do negócio, ou da imagem/reputação da organização, causados por falhas ou deficiências na governação e processos de negócio, nas pessoas, nos sistemas ou resultantes de eventos externos. - Erros e falhas - Irregularidades - Fraudes - Incidentes de trabalho - Indisponibilidade - Governação e processos de negócio - Pessoas - Sistemas - Eventos externos - Financeiro - Negócio - Reputacional - Desastres - Ataques - Outros Eventos 7 27 de setembro 2016

8 3. Gestão do Risco Operacional (cont.) A ORM consiste no processo completo, contínuo e sistemático de identificar, analisar, responder e monitorizar os riscos operacionais, no sentido de: Assegurar que o Banco prossegue a sua missão e objetivos e que protege adequadamente a sua reputação, recursos e ativos financeiros Dotar os gestores e responsáveis de ferramentas que lhes permitam responder de forma eficaz ao risco Promover a todos os níveis o grau de consciencialização dos riscos e a melhoria contínua da gestão da incerteza Proporcionar ao Conselho de Administração uma visão estruturada, coerente e consolidada dos riscos operacionais 8 27 de setembro 2016

9 3. Gestão do Risco Operacional (cont.) Metodologia RCSA Workshops Registo de Incidentes Relatórios Mitigar? Aceitar Transferir Eliminar Planos de Mitigação Ações de Gestão 9 27 de setembro 2016

10 3. Gestão do Risco Operacional (cont.) Metodologia Bottom-up ORM GCN Análise bottom-up dos principais eventos de risco identificados ORM Risco Residual Monitorizar riscos, processos, controlos Novos riscos resposta a incidentes falhas nos testes Melhoria Contínua Top-down Principais Eventos Risco Gestão Continuidade Negócio de setembro 2016

11 3. Gestão do Risco Operacional (cont.) Suporte Regulamentar Metodologia Operacionalização ESCB / EUROSYSTEM OPERATIONAL RISK MANAGEMENT/ BUSINESS CONTINUITY MANAGEMENT COSO FRAMEWORK Modelo de Gestão do Risco Operacional no Banco de Portugal POLÍTICA DE GESTÃO DO RISCO OPERACIONAL DO BANCO DE PORTUGAL PRINCÍPIOS ORIENTADORES PARA A GESTÃO DO RISCO OPERACIONAL de setembro 2016

12 3. Gestão do Risco Operacional (cont.) Ferramenta informática de suporte Interface em MS Access Base de dados SQL Server Principais funcionalidades: Identificação e caracterização das funções e subfunções Identificação de riscos Avaliação de riscos Reporte de setembro 2016

13 3. Gestão do Risco Operacional (cont.) Registo de Incidentes Incidente Ocorrência de evento de risco Com impacto negativo ao nível Financeiro Negócio Imagem/reputação O registo de incidentes constitui uma memória da organização e potencia a aprendizagem através da experiência. Como? Identificar pontos críticos e riscos associados nos processos do Banco Identificar as interdependências departamentais na execução de um objetivo de negócio Prevenir novos incidentes Otimizar os processos do Banco 27 de Criar setembro uma 2016 cultura Gestão do de Risco gestão Operacional de no Banco risco de Portugal - Desafios e oportunidades de setembro 2016

14 3. Gestão do Risco Operacional (cont.) Registo de Incidentes (RI) O RI permite a todos os colaboradores ter um papel ativo na gestão do Banco Universalidade do registo Formulário na Intranet Incidentes sem validações Análise de incidentes Relatórios específicos para diferentes públicos de setembro 2016

15 4. Desafios e Oportunidades Participação crescente no apoio ao processo de decisão Exercícios periódicos de quantificação do risco operacional (BIA e métodos heurísticos) Projeção das demonstrações financeiras Análise de risco de suporte à decisão (componente estratégica): Estratégia para os Data Centers do Banco Política de outsourcing Inputs de suporte a respostas institucionais Coordenação de task force para estudar a temática da cibersegurança Definição da política de Segurança da informação de setembro 2016

16 4. Desafios e Oportunidades (cont.) Representação Internacional e Cooperação Participação na ORM Task Force (Eurosistema/SEBC) Participação no IORWG Participação em eventos de cooperação, no âmbito do risco operacional e continuidade de negócio dos BCPLP Ações de cooperação com o Banco Central do Brasil, Banco Nacional de Angola e Banco Central de Moçambique, no âmbito do risco operacional e continuidade de negócio de setembro 2016

17 Auditoria Interna de setembro 2016

18 5. Responsabilidades da Auditoria Interna Vertente de gestão de risco A função de AI, na vertente de gestão de risco, deve proporcionar uma avaliação independente do desenho e implementação na gestão de risco no Banco, incidindo a sua apreciação sobre: A adequação da documentação de suporte A eficácia dos processos in place A integridade dos sistemas aplicacionais A organização da unidade de controlo e gestão de risco A adequação do modelo de quantificação na captura dos riscos relevantes de setembro 2016

19 6. Próximos passos Ações em curso Revisão do normativo aplicável (em fase de finalização) Desenvolvimento da vertente de quantificação dos riscos operacionais (métodos estatísticos) Identificação de indicadores chave de risco (KRI) Streamlining da metodologia ORM (RCSA) Desenvolvimento/aquisição de nova ferramenta de Gestão de Risco (estudo prévio) de setembro 2016

20 O talento vence jogos, mas só o trabalho em equipa ganha campeonatos. Michael Jordan de setembro 2016

21 21 27 de setembro 2016