4º Seminário FEBRABAN sobre CONTROLES INTERNOS. Paulo Sérgio Neves de Souza Banco Central do Brasil Departamento de Supervisão Bancária

Transcrição

1 4º Seminário FEBRABAN sobre CONTROLES INTERNOS Paulo Sérgio Neves de Souza Banco Central do Brasil Departamento de Supervisão Bancária

2 Novos Desafios para Controles Internos Modelo de Supervisão do BCB Novos desafios Um Setor Cada Vez Mais Digital

3 Desafios eternos! Entendimento do negócio e seus riscos Informações adequadas e suficientes para a tomada de decisões

4 Modelo de Supervisão do BCB

5 Evolução da supervisão

6 Modelo de Supervisão

7 Modelo da Supervisão Bancária

8 Sistema de avaliação de riscos e controles

9 Sistema de avaliação de riscos e controles

10 Supervisão Bancária do BCB Três linhas de defesa Conselho de Administração, Comitê de Auditoria e Diretoria Executiva definição de objetivos, escopo e princípios para controles; monitoramento. 1ª Linha de Defesa CONTROLES INTERNOS DAS UNIDADES DE NEGÓCIO E ÁREAS OPERACIONAIS 2ª Linha de Defesa ÁREAS CORPORATIVAS DE CONTROLES INTERNOS, COMPLIANCE E GESTÃO DE RISCOS 3ª Linha de Defesa AUDITORIA INTERNA Agente externo: AUDITORIA EXTERNA

11 Novos desafios

12 Novos desafios Risco socioambiental (Resolução 4.327/14) Riscos na contratação de operações e na prestação de serviços (Resolução 3.694/09 com redação dada pela Resolução 4.283/13) Plano de Recuperação (Resolução 4.502/16) Risco relativo ao uso da tecnologia (Resolução 4.557/17)

13 Um Setor Cada Vez Mais Digital

14 Um Setor Cada Vez Mais Digital O Setor Bancário Brasileiro é caracterizado por grandes investimentos em tecnologia. Foco estratégico do bancos nos canais Mobile Banking e Internet Banking. Uso de tecnologias inovadoras no aprimoramento de processos de negócio: Cloud Computing, Big Data & Analytics, Inteligência Artificial e Computação Cognitiva, Distributed Ledger Technology/Blockchain,...

15 Um Setor Cada Vez Mais Digital COSO (2013) - mudanças mais relevantes: Importância cada vez maior da tecnologia; Aprimora conceitos de governança; Aprimora considerações de expectativas antifraude; Preocupação com terceirização. Desafios para a gestão de riscos e controles internos: Capacitação Ferramental (regulação, metodologias,sistemas,...) Tempestividade na atuação

16 Um Setor Cada Vez Mais Digital Desafios da Supervisão: como as instituições estabelecidas empregarão a tecnologia para alavancar seu negócios; e quais as mudanças no perfil de risco dessas instituições decorrente do uso de novas tecnologias.

17 Banco Central do Brasil - Missão Assegurar a estabilidade do poder de compra da moeda e um sistema financeiro sólido e eficiente. Tecnologia é uma grande catalisadora de eficiência operacional Requer o estabelecimento de controles adequados ao perfil de risco

18 Banco Central do Brasil - Regulação Resolução CMN 4.474/2016: digitalização de documentos Resolução CMN 4.557/2017: gestão integrada de riscos Resolução CMN 4.480/2016: abertura de conta de depósito por meios eletrônicos

19 Banco Central do Brasil - Regulação Embora a Resolução 4.474/2016 e a Resolução 4.480/2016 tragam inovações que possibilitem o uso da tecnologia para prover maior eficiência aos processos das instituições, a Resolução 4.557/2017 é a que traz os fundamentos para a adequada gestão de risco relativa ao uso da tecnologia.

20 Res /2017: Proporcionalidade A Resolução 4.557/2017 trata os princípios de proporcionalidade em linha com a segmentação proposta na Resolução nº 4.553/2017. Entretanto, riscos relacionados ao uso da tecnologia da informação podem depender mais do tipo de canal empregado para o provimento de produtos do que do porte da instituição ou mesmo da complexidade desses produtos. Por exemplo, instituições que disponibilizam seus produtos via Internet Banking estão sujeitas a ataques cibernéticos, independentemente do porte de cada uma. Art. 1º Esta Resolução dispõe sobre a estrutura de gerenciamento de riscos e a estrutura de gerenciamento de capital. Art. 2º... 1º As estruturas de gerenciamento de que trata o caput devem ser: I - compatíveis com o modelo de negócio, com a natureza das operações e com a complexidade dos produtos, dos serviços, das atividades e dos processos da instituição; II - proporcionais à dimensão e à relevância da exposição aos riscos, segundo critérios definidos pela instituição; III - adequadas ao perfil de riscos

21 Res /2017: Gestão Integrada de Riscos A gestão integrada de riscos deve ser efetiva, consolidando-se como uma ferramenta nevrálgica para a adequada gestão de riscos das instituições. Informações Regulatórias Sistemas de Origem Integridade da Informação Sistemas Gerenciais (MIS) Informações erradas resultam em decisões erradas!! Art. 7º A estrutura de gerenciamento de riscos deve prever:... II - processos efetivos de rastreamento e reporte tempestivo de exceções às políticas de gerenciamento de riscos, aos limites e aos níveis de apetite por riscos fixados na RAS; III - sistemas, rotinas e procedimentos para o gerenciamento de riscos; IV - avaliação periódica da adequação dos sistemas, rotinas e procedimentos de que trata o inciso III;

22 Res /2017: Gestão Integrada de Riscos O processo de Gestão Integrada de Riscos deve ser periodicamente avaliado e APRIMORADO! Avaliações independentes Controles internos (Validação ampla, quando existir) Auditoria interna As avaliações dos sistemas devem ser amplas, com especial consideração de aspectos relacionados à integridade da informação, à segurança da informação e à continuidade do processo de gestão de riscos em caso de eventuais incidentes. Art. 7º A estrutura de gerenciamento de riscos deve prever:... X - relatórios gerenciais tempestivos para a diretoria da instituição, o comitê de riscos, e o conselho de administração, quando existente, versando sobre:... c) avaliação dos sistemas, das rotinas e dos procedimentos, de que trata o caput, inciso IV, incluindo eventuais deficiências da estrutura de gerenciamento de riscos e ações para corrigi-las;

23 Res /2017: Continuidade de negócios A gestão de continuidade de negócios não deve ser responsabilidade exclusiva da área de TI. Deve ser capitaneada pela Alta Administração e pelos requisitos das áreas de negócio. As estratégias a serem definidas devem ser compatíveis com o perfil operacional da instituição e da organização de sua infraestrutura tecnológica. Art. 20. As políticas para a gestão de continuidade de negócios de que trata o art. 7º, inciso IX, devem estabelecer: I - processo para análise de impacto nos negócios que inclua: a) identificação, classificação e documentação dos processos críticos de negócio; b) avaliação dos potenciais efeitos da interrupção dos processos mencionados na alínea a ; II - estratégias para assegurar a continuidade das atividades da instituição e limitar perdas decorrentes da interrupção dos processos críticos de negócio;

24 Res /2017: Continuidade de negócios Os planos de continuidade de negócios devem ser efetivos: Os testes devem ser relevantes para atestar a efetividade dos planos. Os testes devem cobrir todos os cenários relevantes. As correções nos planos devem ser tempestivas. Os funcionários devem ser adequadamente capacitados. Art. 20. As políticas para a gestão de continuidade de negócios de que trata o art. 7º, inciso IX, devem estabelecer:... III - planos de continuidade de negócios que estabeleçam procedimentos e prazos estimados para reinício e recuperação das atividades em caso de interrupção dos processos críticos de negócio, bem como as ações de comunicação necessárias; IV - testes e revisões dos planos de continuidade de negócios com periodicidade adequada.

25 Res /2017: Governança de TI As áreas de TI devem dispor de processos adequados ao perfil operacional da instituição. A gestão dos riscos tecnológicos deve estar alinhada à gestão corporativa de riscos. Devem ser observadas as boas práticas da indústria. A estrutura de TI deve possibilitar o atendimento dos requisitos legais e regulatórios vigentes (em especial, de proteção ao sigilo bancário). Art. 33. A estrutura de gerenciamento de que trata o art. 7º deve prever, adicionalmente, para o risco operacional:... III - implementação de estrutura de governança de TI consistente com os níveis de apetite por riscos estabelecidos na RAS; IV - sistemas, processos e infraestrutura de TI que: a) assegurem integridade, segurança e disponibilidade dos dados e dos sistemas de informação utilizados; b) sejam robustos e adequados às necessidades e às mudanças do modelo de negócio, tanto em circunstâncias normais quanto em períodos de estresse;

26 Res /2017: Segurança da Informação Os mecanismos de segurança da informação devem ser compatíveis com o perfil operacional da instituição. Preocupações atuais: ataques cibernéticos: indisponibilidade ou de roubo informações (preocupação com sigilo bancário). Controles de segurança da informação dos prestadores de serviço terceirizados. Art. 33. A estrutura de gerenciamento de que trata o art. 7º deve prever, adicionalmente, para o risco operacional:... IV - sistemas, processos e infraestrutura de TI que:... c) incluam mecanismos de proteção e segurança da informação com vistas a prevenir, detectar e reduzir a vulnerabilidade a ataques digitais;

27 Res /2017: Terceirização de TI O risco dos provedores de serviços terceirizados deve ser gerenciado. Serviços terceirizados podem ser críticos para a adequada operacionalização de processos de negócio relevantes da instituição. A avaliação dos controles das instituições também envolve a avaliação dos controles dos provedores de serviços críticos. Os contratos em vigor deverão ser revistos e ajustados aos termos preconizados na Resolução 4.557/2017. Art. 20. As políticas para a gestão de continuidade de negócios de que trata o art. 7º, inciso IX, devem estabelecer:... 1º A política e os planos de continuidade de negócios devem considerar os serviços prestados por terceiros, quando relevantes. 2º Os relatórios gerenciais mencionados no art. 7º, inciso X, devem incluir os resultados dos testes e das revisões de que trata o caput, inciso IV.

28 Obrigado!