Asseguração de Basiléia e Auditoria com Foco em Riscos ABBC JUN 10
AGENDA Objetivo da Auditoria Interna Tendências em Auditoria Interna O papel da AI no processo de asseguração Principais Desafios Auditoria Interna com Foco em Riscos Principais Benefícios
Objetivo da Auditora Interna
Linhas de defesa 3 Auditoria Interna 2 Gestão de Riscos 1 Áreas de Négócio Compliance 1. Implementação de estrutura de controles internos alinhada aos riscos de negócio. 2. Monitorização do grau de exposição à riscos e aderência (interna e externa) dos processos. 3. Verificação independente do grau de exposição a riscos e adequação da estrutura de controles internos.
Tendências em Auditoria Interna
Pressões sobre o Processo Tradicional de Auditoria Interna Fatores de Negócio Pressão por demonstrar valor agregado Expectativa de detecção de fraude e oportunidades de redução de custos Automatização de processos Aumento da complexidade das operações Regulamentação Basiléia II SOX IFRS BACEN/CVM Outros Evolução sobre conceitos de Auditoria Interna Economia globalizada Governança Manutenção da independência Gestão de Riscos Estrutura de Comitês Stakeholders Conhecimento do risco Aderência regulatória Aumento da eficiência Redução de Custos Chief Executive Auditors
Tendências e Perspectivas do Mercado Intenção de tornar a Auditoria Interna uma profissão reconhecida universalmente. Aumento do foco nos riscos estratégicos e operacionais como forma de agregar valor. Os riscos são dinâmicos e portanto os planos de auditoria deixaram de ser estáticos. Novos tipos de asseguração estão se tornando importantes: Efetividade do processo de Governança; Maturidade dos programas de Compliance; Adequação das estruturas de Gestão de Riscos.
Auditoria Interna e Basiléia II Qual o nível de progresso da instituição em relação à implementação dos seguintes aspectos relacionados à Basiléia II Fonte: Deloitte Global Risk Management Survey 6th Edition
Auditoria Interna e Basiléia II RISCO OPERACIONAL Resolução 3.380/06 - Art. 3 - Inciso IV - realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de controle de riscos operacionais implementados. Comunicado 19.217/09 Art. 20 - No que diz respeito à análise da conformidade da base de dados de perdas internas de risco operacional, cabe à instituição demonstrar, à satisfação do Banco Central do Brasil, que avalia a abrangência, a consistência, a integridade e a confiabilidade tanto do processo de coleta quanto do conteúdo de sua base de dados de perdas internas. RISCO DE CRÉDITO Resolução 3.721/09 - Art. 4 - Inciso II - adequada validação dos sistemas, modelos e procedimentos internos utilizados para gestão do risco de crédito. Comunicado 18.365/09 Art. 28 - É admitida a utilização de modelos desenvolvidos por terceiros como parte do processo de classificação interna de exposições segundo o risco de crédito. O uso de tais modelos está condicionado à validação de seu uso, segundo os mesmos requisitos para validação do uso de sistemas desenvolvidos internamente,...
Auditoria Interna e Basiléia II RISCO DE MERCADO Resolução 3.464/07 Art. 3 - Inciso III - realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de que trata o inciso II. Art. 5-3º - O cumprimento da política e dos procedimentos de que trata o caput deve ser devidamente documentado e objeto de verificação pela auditoria interna. Circular 3.478/09 Art. 3 - As instituições devem manter quantidade suficiente de profissionais tecnicamente qualificados em suas áreas de negócio, operacionais, de gerenciamento de risco, de auditoria interna, de tecnologia da informação, bem como em quaisquer outras envolvidas no desenvolvimento, validação, avaliação e utilização dos modelos internos.
Auditoria Interna e Basiléia II RISCO DE MERCADO (cont.) Circular 3.478/09 (cont.) Avaliação pela Auditoria Interna Art. 20. O processo de gerenciamento de risco de mercado da instituição deve ser submetido à avaliação, com periodicidade mínima anual, abrangendo, no mínimo: I - verificação da eficácia do processo de validação de que trata o art. 19; II - verificação da realização de processos de validação nos casos de mudanças relevantes no modelo ou no perfil de risco da instituição, conforme o art. 19, 3º; III - organização da estrutura de gerenciamento de risco de mercado; IV - integração do modelo interno de risco de mercado às atividades diárias de gerenciamento, incluindo os testes de estresse; V - integridade dos testes de aderência e sua utilização efetiva na verificação do desempenho e no aprimoramento do modelo; VI - cumprimento das políticas de gerenciamento de risco, incluídas as estruturas de limites e políticas relacionadas; VII - suficiência e qualificação técnica dos profissionais das áreas de negócio, operacionais, de gerenciamento de risco, de tecnologia da informação, bem como de quaisquer outras envolvidas no desenvolvimento, validação e utilização do modelo interno; VIII - integridade e adequação dos sistemas de informações gerenciais; IX - envolvimento da diretoria da instituição no processo de gestão de risco de mercado; e X - tempestividade e qualidade das informações prestadas ao conselho de administração.
O papel da AI no processo de asseguração
Objetivos da Asseguração Verificar a existência de uma estrutura organizacional adequada para a gestão de risco (incluindo políticas, procedimentos, governança, papéis e responsabilidades); Avaliar os sistemas de mensuração/análise dos riscos considerando os requisitos de Basiléia II; Avaliar questões de disponibilidade de informação, principalmente aquelas relativas às perdas; Assegurar que os modelos, processos e sistemas são adequados; Assegurar que as informações divulgadas (internamente e externamente) são íntegras; Assegurar que a estratégia adotada traz para a instituição benefícios estratégicos e operacionais e garantem conformidade com os requisitos de Basiléia II;
Escopo Estratégia e Políticas Modelo de Gestão Definição de Risco Operacional Metodologia de Avaliação Metodologia Análise de Dados Comunicação e Fluxo de Informação Equipe - Habilidades e Recursos Monitoramento Estratégia de Gestão de Riscos Estrutura Organizacional Definição Procedimentos de Gestão de Riscos Base de Dados Reporte de Perdas e Ocorrências Conhecimento Técnico Auditoria Interna Revisão e Atualização das Políticas Papéis e Envolvimento da AA Mapeamento das Linhas de Negócio Identificação / Avaliação dos Riscos Procedimento para Coleta de Dados Relatórios Gerenciais e Executivos Treinamento Teste de Estresse Tolerância e Apetite ao Risco Comitê de Risco Monitoramento de Riscos Tecnologia para Coleta de Dados Comunicação Interna Recursos Critérios de Classificação das Carteiras Funções x Unidades de Negócio Controle / Transferência / Mitigação Armazenamento de Dados Históricos Reporte Externo Monitoramento de Limites Independência das Funções de Gestão de Riscos Desenho e Monitoramento do Processo Cálculo de Capital Tecnologia Envolvida Mensuração da Performance Manuais de Precificação Comunicação Modelo de Mensuração e Abordagem Relacionamento com Alocação K.Econômico Tratamento dos Mitigadores de Risco RC/ RM / RO RO RM e RC
Enfoque A análise da Auditoria Interna deve possibilitar a obtenção de um grau de compreensão suficiente a cerca dos aspectos críticos do processo de Gestão de Riscos, e emitir uma opinião fundamentada sobre os mesmos. Processo de Gestão Resolução 3.380/06 Circular 3.383/08 Resolução 3.464/07 Circulares 3.354/07, 3.361/07 a 3.366/07, 3.368/07 e 3.389/08 Resolução 3.721/09 Circular 3.360/07 Modelos Internos Comunicado 19.217/09 Circular 3.478/09 Comunicado 18.365/09 Documentação Aderência aos requerimentos de Basiléia II
Principais Atividades Análise crítica das iniciativas de Gestão de Riscos Recomendações para adequação da Gestão de Riscos Implementação das recomendações Asseguração Entendimento da situação atual e das iniciativas (incluindo modelos, estrutura e processos) para gerenciamento de riscos vis-a-vis os requerimentos regulatórios aplicáveis e modelos de referência. Detalhamento e priorização das recomendações, de acordo com o nível de criticidade, para adequação da estrutura e processos de gerenciamento de risco de crédito. Revisão dos modelos internos e do cumprimento das recomendações e emissão do relatório de asseguração.
Produtos Análise da Aderência à Resolução BACEN nº 3.380/06 Exemplo Item da Resolução Nível Atual Artigo 2º ( 1º e 2º) - Definição de RO 1 Artigo 3º (Incisos I e III) e Artigo 5º - Processo de GRO no Banco e em terceiros 3 Artigo 3º (Inciso V) e Artigos 5º, 6º, 7º e 8º - Política de GRO, papéis e responsabilidades 2,5 Artigo 3º (Inciso II) - Documentação e armazenamento de perdas 3,5 Artigo 3º (Inciso IV) - Testes dos sistemas de controle de RO 1 Artigo 3º (Inciso VI) - Plano de Contingência 2 Artigo 3º (Inciso VII) - Plano de Comunicação e Informação 3 Artigo 4º - Descrição da estrutura de GRO em relatório de acesso público 4,5 Responsabilidade primária Responsabilidade secundária ou suporte ao processo Áreas Envolvidas AR1 AR2 AR3 AR4 R02 e R07 Recomendações R9 Ref. Recom. TI N/A R01, R05, R08 Sumário Executivo Cód. R01 R02 R06 Descrição Sumária Implantação do Comitê de Riscos R05 Uniformização da matriz de riscos e controles R03 Definição da metodologia R4 para auto-avaliação de riscos R04 Função de Gerenciamento de Risco Operacional R012 R05 Aplicação de treinamento e disseminação da cultura de GRO Legendas das áreas envolvidas: AR1 xxxx xxxxx R06 AR5 xxxxxxxx Políticas e procedimentos AR2 xxxxxxx TI Tecnologia da Informação AR3 xxxxx xxxxxx R07 AI Auditoria Definição Interna dos KRI (indicadores chave de riscos) AR4 xxxx xxxxx xxxxxx R08 Gestão de projetos Exemplo Áreas Envolvidas AA, CI, GR,e AI GR, AI e CI GR e CI GR GR AA, GR e CI GR e AI TI e GR Legenda de priorização das recomendações: Alta Melhoria do processo Média Em andamento Legendas das áreas envolvidas: CI Controles Internos RH Recursos Humanos GR Gestão de Riscos TI Tecnologia da Informação AI Auditoria Interna AA Alta Administração
Produtos Priorização das Recomendações - Projetos Nível R14 Otimizado Incentivo para melhoria GRO 5 5 6 8 R15 Refinamento da quantificação dos riscos Exemplo Gerenciado 4 R10 Captura de perdas operacionais R11 Monitoramento de riscos e perdas R12 Priorização dos planos de ação e investimentos R13 Mapeamento integrado 7 Estabilizado 3 Não Sistematizado 2 R02 Sss ssss ssssss R01 Avaliação consolidada dos riscos R03 Apetite ao Risco R04 Realização de piloto R07 Divulgação da estrutura R05 xxxxxxx R08 Ações para cobertura dos gaps. 3 Auditoria da GRO R06 Roll-out Estratégia da e avaliação Políticas dos principais riscos R09 Plano de Definição de Modelo de Continuidade de Risco Gestão Negócios Operacional Exemplo Metodologia Comunicação Metodologia Metodologia Equipe - Avaliação e Fluxo de Monitoramento Análise de Avaliação Habilidades e Qualitativa Informação Dados Quantitativa Recursos Definição de comitê para tratamento dos aspectos relacionados a risco operacional, com Inicial 1 2 4 envolvimento da Alta Administração. 1 Implantação do Elaboração de relatório executivo considerando os resultados mensais da exposição a risco Comitê de Riscos operacional, a ser utilizado nas reuniões do comitê. Definição dos participantes, responsabilidades, periodicidade e pauta das reuniões do comitê. Legenda de Priorização Alta Média Baixa / Melhoria do processo Em andamento das recomendações: Incorporação da avaliação de risco operacional na tomada de decisão relativa a novos produtos. Deloitte Touche Tohmatsu 2007. Todos os direitos reservados 13 Função de Gerenciamento de Risco Operacional Políticas e procedimentos Gestão de Projetos Definição de estrutura organizacional independente e centralizada, responsável pelos aspectos relacionados a GRO. Desenvolvimento e implementação de metodologia, processos e atividades, mecanismos de comunicação com os gestores dos processos. Revisão da política de Risco Operacional e inclusão dos níveis de tolerância para os riscos identificados, bem como as ações a serem tomadas no caso de descumprimento dos limites de tolerância. Desenvolvimento de normativa referente ao grau de apetite ao risco da instituição. Divulgação da política de GRO aos terceiros provedores de serviços críticos. Considerar a implantação de função/área de suporte para controle e acompanhamento das ações em curso e planejadas (Gestão de Projetos) relativas a risco operacional. Legenda de priorização das recomendações: Alta Média Melhoria do processo Em andamento
Principais Desafios
Conhecimento: Conhecimento dos auditores internos em relação aos requerimentos do Novo Acordo da Basiléia. Capacitação Técnica: Profissionais especializados em temas específicos como TI, matemática, estatística e análise de dados. Escopo: Definição clara dos aspectos a serem considerados na validação Plano de Trabalho: elaboração de roteiros completos, com testes e relatórios específicos. Auditabilidade: Possibilidade de avaliação dos critérios adotados para construção dos modelos internos. Desafios para os Trabalhos de Asseguração
Auditoria Interna com Foco em Riscos
Evolução da Auditoria Interna Estado Atual Segmentos funcionais e organizacionais Duplicação Integração insatisfatória Fraudes Complexidade Recursos Desperdiçados Ausência de visibilidade Fragmentação Custos Altos Perda de informações Vulnerabilidade Complexidade desnecessária e inflexibilidade
Evolução da Auditoria Interna Estado Desejado Diálogo comum FATORES CRÍTICOS PARA O SUCESSO Integração Equipe Alinhamento de lideranças e combinação correta de habilidades para analisar a situação como um todo Custos menores Processos mapeados Transparência e Visibilidade Segurança Uso eficiente e eficaz de recursos Abertura Disposição para ouvir e enfrentar os fatos não matar o mensageiro Perspectiva da Companhia Sair de uma visão limitada e parcial para uma visão abrangente e completa Análise direcionada a fatos Informações relevantes e precisas que refletem a realidade; utilização de métodos quantitativos e qualitativos Relatos claros e obrigatórios Números não falam por si só exemplos numéricos devem ser suportados por narrativas
AI Tradicional vs. AI com Foco em Riscos AI Tradicional AI com Foco em Riscos FOCO DO Sistema de Controles internos Riscos do negócio TRABALHO Ocorrências do Passado Exceções Futuras FOCO DOS TESTES FOCO DO RELATÓRIO Testes com base em programa de trabalho endereçando objetivos de controle padrão Testes de todos os controles Adequação e eficácia dos controles internos Inspecionar, detectar e reagir aos riscos de negócios Testes com base nos riscos de negócio identificados no levantamento de informações Testes focalizados, somente dos controles que minimizam os riscos relevantes Adequação e eficácia da gestão dos riscos Antecipar e prevenir riscos de negócios na origem
Abordagem Análise Geral de Riscos (Nível Corporativo) Análise específica de riscos e controles (Nível de Processos) Apresentação dos Resultados Conhecimento do ambiente de negócios Entendimento da visão de valor dos acionistas Definição do modelo de gestão dos processos de negócio Identificação e avaliação dos riscos de negócios Identificação dos processos críticos do negócio Definição do universo de atuação da Auditoria Interna (*) Entendimento e mapeamento detalhado dos riscos e controles do processo Análise da estrutura de controles e comparação com melhores práticas Avaliação (teste) dos controles e mensuração dos riscos Identificação das causas e soluções para mitigar os riscos Reporte das vulnerabilidades e oportunidades de melhoria alinhadas aos objetivos de negócio Discussão / aprovação dos planos de ação para mitigação dos riscos Emissão do relatório de auditoria (*) deve ser revisado constantemente com base na atualização das informações e do nível de exposição aos riscos.
Principais Benefícios
Principais Benefícios Alinhamento com os direcionadores de valor dos acionistas. Visão dos principais riscos de negócios e dos processos críticos da organização. Demonstração da evolução dos riscos para a Alta Administração. Contribuição para melhoria da eficiência dos processos. Otimização dos recursos de AI e direcionamento adequado dos trabalhos.
Informações Adicionais Inteligência em Riscos Frederico Ventriglia fventriglia@deloitte.com (11) 5186-6242 www.deloitte.com.br
Asseguração de Basiléia e Auditoria com Foco em Riscos ABBC JUN 10