Como integrar a estrutura de Controles Internos à gestão de Risco Operacional

Transcrição

1 Como integrar a estrutura de Controles Internos à gestão de Risco Operacional Wagner S. Almeida Departamento de Supervisão de Bancos e Conglomerados Bancários Divisão de Equipes Especializadas I Comissão de Gestão de Riscos e Compliance ABBC São Paulo, 18 de Dezembro de 2012

2 Agenda Introdução Evolução e principais referências A integração numa área relevante Desafios à integração Considerações finais 2

3 Introdução Proporcionalidade e Definição das Estruturas Estruturas de gerenciamento de risco operacional e de controles internos compatíveis à natureza, porte, complexidade e perfil de risco da instituição Papel fundamental da governança na definição das estruturas, de seus objetivos e em sua supervisão 3

4 Introdução Atendimento à Norma X Efetividade Suporte às Decisões de Gestão Políticas e Procedimentos Papéis e Responsabilidades Análise de Dados e Avaliação de Riscos Revisão e Atualização Periódica Papel da Auditoria Interna Avaliação e Controle de Perdas Esperadas Simulação de Perdas Severas e Gerenciamento de Capital Otimização dos Controles Elevados Padrões Éticos Agregar valor à Instituição 4

5 Introdução Sistemas de Controles Internos Fracos Ameaça Falta de Prevenção Incidente Falta de Detecção Desconhecimento Falta de Proteção Perda ou Dano 5

6 Introdução Controles Internos e RO Ameaça Conhecida Incidente Controles Inadequados Perda RO ou Dano Ações Corretivas Controles Adequados Risco Conhecido e Coberto 6

7 Introdução Apesar de estruturas implantadas, eventos recentes de perda severa chamam atenção Falhas de controles internos e governança fraca Fraude interna em Tesouraria Fraudes contábeis Práticas inadequadas de negócios Perdas na fronteira de RO e RM e RC 7

8 Evolução e principais referências Controles Internos Internal Control Integrated Framework COSO 1992 Resolução CMN 2.554/1998 Framework for Internal Control Systems in Banking Organizations (BCBS 1998) Sarbanes-Oxley Act SOx 2002 ERM Gerenciamento de Riscos Corporativos Estrutura Integrada

9 Evolução e principais referências Controles Internos COSO Atualização iniciada em nov/2010 Mantém 5 componentes Ambiente de controle Identificação e avaliação de riscos Atividades de controle e segregação de funções Informação e comunicação Monitoramento e aperfeiçoamento Critérios usados na avaliação da efetividade dos controles internos Atualiza Abordagem baseada em princípios Importância cada vez maior da tecnologia Aprimora conceitos de governança Aprimora considerações de expectativas antifraude Introduz um 6º componente Papeis e Responsabilidades 9

10 Evolução e principais referências Risco Operacional Resolução CMN 3.380/2006 Sound Practices for the Management and Supervision of Operational Risk (BCBS 2003): Sound Practices 10

11 Evolução e principais referências Risco Operacional Principles for the Sound Management of Operational Risk and the Role of Supervision (BCBS 2011): Sound Principles Governança apoiada em 3 linhas de defesa: 1º: identificação e gestão do risco inerente em produtos, atividades, processos e sistemas. 2º: estrutura independente de gerenciamento RO; desafio aos inputs das linhas de negócios e outputs dos sistemas de gestão, mensuração e de reporte. 3º: revisão independente e desafios para os sistemas, processos e controles de gestão de RO. 11

12 Evolução e principais referências Risco Operacional Sound Principles (cont.) Forte cultura de gestão de riscos e comunicação adequada entre as 3 linhas de defesa Definição apetite/tolerância a risco operacional Auditoria Interna também avaliando a robustez de processos estabelecidos frente às estratégias da firma 12

13 Evolução e principais referências Risco Operacional Sound Principles (cont.) Identificação e avaliação do RO através de: Apontamentos de Auditoria Dados internos e externos de perdas operacionais Auto-avaliações (RSA ou RCSA) Mapeamento de processos Indicadores de Risco e Performance Análise de Cenários Mensuração Avançada Análise Comparativa 13

14 Evolução e principais referências Governança Principles for enhancing corporate governance (BCBS 2010) Definição de objetivos estratégicos, incluindo apetite / tolerância a riscos Forte relação Gestão de Riscos e Controles Internos Estruturas de gestão de riscos e controles internos com suficiente autoridade, independência, recursos e acesso ao Conselho de Administração 14

15 A integração numa área relevante RO em Atividades de Tesouraria Guidelines on the management of operational risk in market-related activities (EBA/CEBS/2010) Fraude, operações não autorizadas, produtos novos e complexos, risco de modelo e volume grande de operações Foco em risco de mercado e fragilidade em risco operacional 15

16 A integração numa área relevante RO em Atividades de Tesouraria Guidelines (cont.) Governança Estrutura / comitês Segregação de funções entre área de negociação e de suporte, verificação e monitoramento Políticas e procedimentos / código de conduta Área de controle tem capacidade, autoridade e incentivo adequados a uma supervisão efetiva 16

17 A integração numa área relevante RO em Atividades de Tesouraria Guidelines (cont.) Controles Internos Regras para atividades do trader Processos de confirmação, liquidação e conciliação Posições líquidas e brutas Adequação e segurança dos sistemas de TI 17

18 A integração numa área relevante RO em Atividades de Tesouraria Guidelines (cont.) Comunicação Interna Reporte de operações suspeitas e de incidentes materiais e potenciais Reportes com independência, qualidade e tempestividade 18

19 Governança Desafios à integração Patrocínio insuficiente da alta administração à integração entre áreas de gestão de risco operacional e de controles internos Autoridade, independência e recursos das áreas de gestão de risco operacional e controles internos insuficientes Pouco incentivo a uma gestão de riscos proativa e controles internos contribuindo à prevenção de riscos Falta de investimentos na gestão do risco operacional 19

20 Desafios à integração Estrutura de Risco Operacional Falta de integração entre ferramentas qualitativas (julgamental) e quantitativas (objetiva) - Infra de TI robusta Deficiência na classificação e coleta de perdas operacionais com limitação à plena sensibilização do risco incorrido pelas áreas de negócios Falta de avaliações qualitativas adequadas à identificação de eventos extremos plausíveis Fluxo inadequado de informações entre Controles Internos e Risco Operacional 20

21 1º Linha de Defesa Desafios à integração Incapacidade de gestores de negócio, auxiliados por agentes de riscos e controles, em identificar os riscos inerentes em produtos, atividades, processos e sistemas Identificação de riscos que não contribua ao aperfeiçoamento da mensuração baseada em dados passados 21

22 Desafios à integração 1º e 2º Linhas de Defesa Testes / avaliação insuficiente da efetividade e eficácia de controles implantados para o aperfeiçoamento da gestão de riscos Falta de independência de agentes de riscos e controle 3º Linha de Defesa Avaliação limitada da robustez dos processos estabelecidos frente à estratégia da instituição Falta de trabalhos de avaliação da estrutura de gestão do risco operacional Acompanhamento insuficiente pelo Comitê de Auditoria 22

23 Desafios à integração Treinamento Falta de capacitação de agentes de riscos e controles, de compliance e auditores internos Tecnologia da Informação Insuficiência de sistemas corporativos de tecnologia de informação e falta de integração entre eles 23

24 Considerações Finais Integração entre as estruturas de controles internos e de gestão de riscos contribui para a eficiência e fortalecimento de toda a instituição, cabendo à alta administração se empenhar na busca desse objetivo Estabelecimento de uma forte cultura de gestão de riscos e controles, com métricas implementadas e acompanhadas pela Direção naturalmente favorece essa integração 24

25 Considerações Finais Políticas, processos e limites devem ser adequadamente estabelecidos e revistos periodicamente em função do nível de risco operacional assumido ou tolerado O aperfeiçoamento da gestão do risco operacional depende de que alertas e recomendações dos gestores de risco operacional sejam considerados pela Direção da instituição Autoconfiança na governança e nos mecanismos de controle podem resultar em perdas severas 25

26 Considerações Finais As instituições devem buscar o aperfeiçoamento contínuo de suas estruturas de controles internos e de risco operacional Grandes instituições devem investir em gestão de risco avançada, propiciando melhores estimativas de exposição ao risco operacional, contribuindo para a manutenção de níveis adequados de capital e garantindo a solidez do sistema financeiro 26

27 Contato Obrigado! Departamento de Supervisão de Bancos e Conglomerados Bancários Divisão de Equipes Especializadas I 27