Auditoria da função de gestão de riscos operacionais* 1 de Agosto 2007. *connectedthinking

Auditoria da função de gestão de riscos operacionais* 1 de Agosto 2007 *connectedthinking

Conteúdo Introdução Parte I - Auditoria específica (complementar) na área de risco operacional Parte II - Contexto regulatório 2

Conteúdo Introdução Parte I - Auditoria específica (complementar) na área de risco operacional Parte II - Contexto regulatório 3

Introdução Objetivos da apresentação Esta apresentação tem o objetivo de demonstrar a visão do auditor em relação a um processo de auditoria das funções de risco operacional de uma instituição financeira no Brasil. Ressaltamos que esta análise foi baseada nos fundamentos da Resolução no 3.380, no Comunicado no 12.746, em questões relacionadas ao Novo Acordo da Basiléia e na legislação brasileira atual. Alterações regulamentares futuras poderão modificar substancialmente a análise aqui apresentada. Aproveitamos a oportunidade para manifestar o nosso agradecimento à ABBC em nos receber para demonstrar nosso entendimento sobre o tema. Permanecemos à disposição de V.Sas. para qualquer esclarecimento adicional que possa ser requerido com relação ao conteúdo deste documento. 4

Introdução Objetivos da apresentação Auditoria específica Auditoria conforme requerido pela Resolução 3380 Foco em todos os componentes do framework (estratégia, processo, política, estrutura organizacional, modelagem, procedimento, sistema,informação e comunicação) de gerenciamento de risco operacional para atendimento a Basiléia II Público alvo: Conselho de Administração, Comitê de Auditoria, Conselho Fiscal e Diretoria. Foco no sistema de controles internos para o processo de risco operacional com base nos requerimentos da Resolução 3380. Público alvo: Conselho de Administração, Diretoria, Controles Internos, Auditor Interno e Externo e Autoridade Regulatória 5

Conteúdo Introdução Parte I - Auditoria específica (complementar) na área de risco operacional Parte II - Contexto regulatório

Parte I Auditoria específica (complementar) na área de risco operacional As instituições podem solicitar uma auditoria independente envolvendo os controles internos e procedimentos efetuados no gerenciamento do risco operacional. Objetivos de efetuar uma auditoria específica: Obter uma visão independente quanto às práticas empregadas (metodologias de mensuração) e relatórios fornecidos. Obter conforto para alta administração e gestor de risco em relação as práticas empregadas e um acompanhamento em relação a efetividade dos controles internos. Aprimorar o gerenciamento de risco operacional na instituição. Identificar ineficiências. Enviar mensagem à comunidade de investidores. 7

Parte I Auditoria específica (complementar) na área de risco operacional As instituições podem solicitar uma auditoria independente envolvendo os controles internos e procedimentos efetuados no gerenciamento do risco operacional. Objetivos de efetuar uma auditoria específica (continuação): Demonstrar ao regulador e/ou agências de rating sobre a situação do gerenciamento de risco operacional. Ser reconhecida positivamente pelos reguladores (modelos padrões - tendência a adoção de modelos proprietários, com exigência de monitoramento por terceiro - auditor externo). Atender requisitos do acordo da Basiléia II para riscos operacionais. 8

Parte I Auditoria específica (complementar) na área de risco operacional Estrutura de relatórios O relatório dos auditores independentes sobre a efetividade do sistema de controles internos para os processos de gerenciamento de risco operacional será baseado em uma norma de auditoria internacional ISAE 3000. O objetivo do International Standard on Assurance Engagements (ISAE) é estabelecer princípios básicos, procedimentos essenciais e prover um guia para que os auditores possam efetuar as referidas auditorias. 9

Parte I Auditoria específica (complementar) na área de risco operacional Definição de controle interno Controle interno é um processo realizado pelo conselho, diretoria, gerência ou outros profissionais de uma entidade, desenhado a prover razoável segurança quanto ao atendimento dos objetivos nas seguintes categorias: efetividade e eficiência das operações confiança nos relatórios financeiros compliance com regulamentos e legislação aplicáveis 10

Parte I Auditoria específica (complementar) na área de risco operacional Estrutura de relatórios (continuação) a) Declaração da Administração sobre a Efetividade dos Controles Internos Para a avaliação da efetividade, a administração da instituição divulga as afirmações quanto a esta efetividade, como por exemplo: os controles internos são suficientes para suportar as necessidades da instituição quanto a análise de gerenciamento de riscos operacionais; foram aplicados de forma segura, precisa e oportuna no período sob análise. 11

Parte I Auditoria específica (complementar) na área de risco operacional Estrutura de relatórios (continuação) a) Declaração da Administração sobre a Efetividade dos Controles Internos Desta forma, o Banco XPTO declara que avaliou os mencionados controles internos e concluiu que, no período de XXº de XXX a XX de XXX de 200X, os referidos controles provinham razoável conforto à administração de que: (i) (ii) (iii) Exemplo ilustrativo integridade dos sistemas - o processamento do sistema foi completo, preciso, oportuno e autorizado pelos níveis adequados; disponibilidade dos sistemas - o sistema ficou disponível para atender às necessidades de nível de serviço e acordos internos/externos; manutenção dos sistemas - o sistema pode ser atualizado quando requerido mantendo os padrões de qualidade do processamento; (iv) segurança da informação - o sistema está protegido contra acesso físico e lógico não autorizado; 12

Parte I Auditoria específica (complementar) na área de risco operacional Estrutura de relatórios (continuação) a) Declaração da Administração sobre a Efetividade dos Controles Internos (continuação). (v) oportunidade da informação - tempo de atendimento aos requisitos de negócio; (vi) precisão da informação - utilização de metodologias para mensuração de riscos, e (vi) integridade dos dados. Exemplo ilustrativo Definição de critérios As Afirmações da Administração estão baseadas nos princípios de controles internos internacionalmente reconhecidos do COSO (Committee of Sponsoring Organizations of the Tradeway Commission). 13

Parte I Auditoria específica (complementar) na área de risco operacional Estrutura de relatórios (continuação) b) Relatório dos auditores independentes sobre a efetividade do sistema de controles internos para o processo gerenciamento de risco operacional Parecer de auditores independentes acerca das afirmações da administração quanto a efetividade dos sistemas de controles internos dos processos de gerenciamento dos riscos operacionais. Este parecer possui diferentes formatos dependendo da conclusão do auditor que podem ser: Sem ressalva é emitido quando o auditor está convencido sobre todos os aspectos relevantes dos assuntos tratados. 14

Parte I Auditoria específica (complementar) na área de risco operacional Estrutura de relatórios (continuação) b) (continuação) Com ressalva é emitido quando o auditor conclui que o efeito de qualquer discordância ou restrição na extensão de um trabalho não é de tal magnitude que requeira parecer adverso ou abstenção de opinião. Abstenção de opinião é emitido quando houver uma limitação significativa na extensão de seus exames que impossibilite o auditor expressar opinião sobre o objeto de auditoria por não ter obtido comprovação suficiente para fundamentá-la. Adverso é emitido quando o auditor discorda das afirmações da administração. 15

Parte I Auditoria específica (complementar) na área de risco operacional Estrutura de relatórios (continuação) c) Relatório de aprimoramento dos sistemas de controles de gestão de riscos para os processos de gerenciamento de risco operacional Boas práticas de mercado para gerenciamento de riscos Práticas atuais Recomendações de aprimoramento Comentários da Administração 1.1. Estrutura organizacional Exemplo ilustrativo d) Carta de representação da administração 16

Parte I Auditoria específica (complementar) na área de risco operacional Confiança nos Controles Internos A abordagem de determinação da confiança nos controles internos auxiliará na definição dos procedimentos de auditoria e sua extensão: Alta Alguma Baixa Confiança nos controles internos da área: Baixa Alguma Alta Quanto de esforço de auditoria será necessário para confirmar a exatidão dos relatórios? Planilhas Eletrônicas Sistemas Integrados 17

Parte I Auditoria específica (complementar) na área de risco operacional Confiança nos Controles Internos Alta Alguma Baixa Concluir que pode ser depositada confiança nos controles interno da área de Gerenciamento de Riscos Operacionais: identificação dos controles-chave testes dos controles-chave (-) revisões analíticas (+) comparação dos controles-chave com relatórios (+) Concluir que pode ser depositada confiança em alguns controles internos da área de Gerenciamento de Riscos Operacionais: identificação dos controles-chave testes dos controles-chave (+) revisões analíticas (-) comparação dos controles-chave com relatórios (-) Concluir que não pode ser depositada qualquer confiança nos controles internos da área de Gerenciamento de Riscos Operacionais: testes substantivos de comprovação no processamento dos relatórios (++) 18

Parte I Auditoria específica (complementar) na área de risco operacional Confiança nos Controles Internos Baixa Moderada Alta Testes substantivos Teste de controles - Comparação de controles com relatórios Revisões analíticas Abordagem no primeiro ano de auditoria 19

Parte I Auditoria específica (complementar) na área de risco operacional Visão geral da metodologia Evidência substantiva de auditoria este é o termo utilizado para descrever a evidência obtida pela realização de procedimentos analíticos ou testes detalhados para obter conforto significativo ou conforto limitado do ciclo de conforto de auditoria. No caso específico da auditoria para controles internos será necessário obter conforto significativo de auditoria. Evidência substantiva de auditoria Principalmente procedimentos analíticos Principalmente testes detalhados Procedimentos analíticos facilita o processo efetivo de auditoria pelo auxílio no entendimento do negócio do cliente, direcionando a atenção do auditor às áreas de maior risco, identificando assuntos que podem não ser aparentes, e auxiliar na avaliação dos resultados da auditoria. Testes detalhados se não for possível obter garantia suficiente por meio de procedimentos analíticos, será necessário executar testes detalhados. Estes testes compreendem: cálculos de processamento, verificação de documentos, conciliações de posições, confronto com dados externos, etc. 20

Parte I Auditoria específica (complementar) na área de risco operacional Visão geral da metodologia (continuação) Outros procedimentos de auditoria compreendem outros procedimentos que cercam os processos sob análise como leitura de atas de reunião de comitês e comissões, comparações com melhores práticas de mercado, etc. Outros procedimentos de auditoria 21

Conteúdo Introdução Parte I - Auditoria específica (complementar) na área de risco operacional Parte II - Contexto regulatório

Parte II - Contexto regulatório Interpretação da Resolução n o 3.380 - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional. Resolução...Art. 3º A estrutura de gerenciamento do risco operacional deve prever:... Entendimento do auditor A estrutura de gerenciamento de risco operacional compreende todo o Framework Política, Estrutura Organizacional, Modelagem, Sistema, Procedimentos, Informação e Comunicação, Cultura. 23

Parte II - Contexto regulatório Interpretação da Resolução n o 3.380 - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação). Resolução...Art. 3º A estrutura de gerenciamento do risco operacional deve prever:... I, II. III - elaboração, com periodicidade mínima anual, de relatórios que permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do risco operacional;... Entendimento do auditor Participantes: Controles Internos Objetivo: Avaliação dos controles e da sua eficiência por meio de metodologias específicas. 24

Parte II - Contexto regulatório Interpretação da Resolução n o 3.380 - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação). Resolução...Art. 3º A estrutura de gerenciamento do risco operacional deve prever:......iv - realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de controle de riscos operacionais implementados; V, VI Entendimento do auditor Participantes: Risco Operacional Auditoria Interna Objetivo: Testes de avaliação dos sistemas de controle de riscos operacionais implementados. 25

Parte II - Contexto regulatório Interpretação da Resolução n o 3.380 - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação). Resolução...Art. 3º A estrutura de gerenciamento do risco operacional deve prever:... 2º Os relatórios mencionados no inciso III devem ser submetidos à diretoria das instituições de que trata o art. 1º e ao conselho de administração, se houver, que devem manifestar-se expressamente acerca das ações a serem implementadas para correção tempestiva das deficiências apontadas. Entendimento do auditor Participantes: Diretoria e/ou Conselho de Administração Objetivo: Comentários dos participantes em relação as análises efetuadas e a adequação dos planos de ação para resolução das deficiências encontradas. 26

Parte II - Contexto regulatório Interpretação da Resolução n o 3.380 - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação). Resolução...Art. 3º A estrutura de gerenciamento do risco operacional deve prever:... 3º Eventuais deficiências devem compor os relatórios de avaliação da qualidade e adequação do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos e de descumprimento de dispositivos legais e regulamentares, que tenham, ou possam vir a ter impactos relevantes nas demonstrações contábeis ou nas operações da entidade auditada, elaborados pela auditoria independente, conforme disposto na regulamentação vigente. Entendimento do auditor Participantes:Auditor Externo Objetivo: No contexto de seu exame de auditoria, avalia os trabalhos efetuados por Controles Internos/Auditoria Interna e os respectivos comentários da Diretoria e/ou Conselho de Administração. Caso aplicável, inclui recomendações no relatório sobre a avaliação da qualidade e adequação do sistema de controles internos, requerido pela Resolução 3.380. Res. n o 3198 27

Parte II - Contexto regulatório Interpretação da Resolução n o 3.380 - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional (continuação). Diversas áreas da instituição financeira, incluindo Risco Operacional Controles Internos e Auditoria Interna Diretoria e/ou Conselho Auditor Externo Controles Internos implementados Avalia os controles dos processos relacionados Ratifica os planos de ações elaborados Analisa os trabalhos efetuados e inclui na CCI, quando necessário 28

Preocupações gerais do auditor No processo de revisão (auditoria específica ou contexto regulatório) existem dificuldades e preocupações do auditor quanto a: Deficiências nas integrações de sistemas. Utilização excessiva de planilhas eletrônicas. Fragilidades no ambiente geral de sistemas. Dificuldades na obtenção de informação: relacionamento. sistemas carregados. inexistência de back-up. Falta de conciliações com contabilidade ou outras fontes disponíveis. Falta de comprometimento da alta administração. Repulsa dos gestores de risco (supervisão). 29

Preocupações gerais do auditor No processo de revisão (auditoria específica ou contexto regulatório) existem dificuldades e preocupações do auditor quanto a: Limitação do número de profissionais da área de ORM. Treinamento dos auditores internos e da área de controles internos. Insuficiência de orçamento para realização dos trabalhos. Ausência de abertura para reflexão. Tratamento de recomendações como críticas. 30

Contatos Luciana Medeiros von Adamek 3674-3796 luciana.medeiros@br.pwc.com Luciana Bacci 3674-3419 luciana.bacci@br.pwc.com Marco Antonio 3674-3340 marco.antonio@br.pwc.com 31

Esta publicação foi elaborada com a finalidade exclusiva de fornecer orientações gerais sobre assuntos de interesse, não se constituindo em aconselhamento profissional. Nenhuma ação deve ser tomada com base nas informações aqui contidas sem assessoria profissional especializada. Não garantimos (expressa ou implicitamente) a precisão ou completitude das informações contidas nesta publicação e, de acordo com o estabelecido por lei, a - Brasil, seus membros, funcionários e agentes estão isentos de toda e qualquer responsabilidade por conseqüências de atos ou omissões de qualquer pessoa, que sejam decorrentes de informações contidas nesta publicação ou resultantes de decisões baseadas nas mesmas. 2007. refere-se ao conjunto global de firmas, cada uma delas constituindo uma pessoa jurídica separada e independente. *connectedthinking é marca registrada da.