Serviços de auditoria interna Uma abordagem moderna baseada em modelagem de risco para instituições financeiras Malcolm McLelland, Ph.D. Nilson de Lima Barboza, MBA Valdir Jorge Mompean, MS, MBA 16 October 2014
Basiléia III e COSO-ERM compatíveis com os objetivos de controles Objetivos fundamentais Objetivos do ambiente de controle Atribuição dos direitos de decisão Compensações e incentivos Avaliação de desempenho Objetivos dos sistemas de informação Autorização Sistemas Para fornecer garantias suficientes de que a gestão exerce as suas responsabilidades e que a organização como um todo, atua de acordo com a legislação, com as normas e regulamentos internos e com os objetivos de negócios estabelecidos pelos acionistas. A definição das responsabilidades pela tomada de decisão pelos gestores deve ser atribuída a pessoas com o nível exigido de conhecimentos, habilidades, experiências e informações relevantes para tomar as melhores decisões e efetivamente gerenciar processos de negócios e de risco. Os sistemas de remuneração e incentivos devem garantir que as compensações e incentivos dos funcionários e executivos estejam alinhados com os objetivos da organização como um todo e de seus acionistas. Os sistemas de remuneração e incentivos devem garantir que as compensações e incentivos dos funcionários e executivos estejam alinhados com os objetivos da organização como um todo e de seus acionistas. Transações são executadas e acessos a ativos são permitidos somente a pessoas autorizadas pela gerencia. Os eventos são registrados conforme necessário para (i) manter a responsabilidade por recursos e obrigações, e sua disponibilidade, (ii) permitir a preparação de relatórios internos e externos necessários para o controle de gestão e em conformidade legal, regulatória e fiscal, e (iii) fornecer informações necessárias para planejamento e controle de operações e de risco. Controles Eventos registrados (e os ativos, passivos e capital próprio) são independentemente comparados com evidências de sua existência, valor, e disponibilidade em intervalos razoáveis, e são tomadas medidas adequadas com respeito a quaisquer diferenças. 2
Banco Central do Brasil Resolução Nº 3056: Considerações requeridas de risco, em função de auditoria interna. Resolução Nº 3056, requer o que segue: Os controles internos, cujas disposições devem ser acessíveis a todos os funcionários da instituição de forma a assegurar que sejam conhecidas a respectiva função no processo e as responsabilidades atribuídas aos diversos níveis da organização, devem prever: I A definição de responsabilidades dentro da instituição; II A segregação das atividades atribuídas aos integrantes da instituição de forma a que seja evitado o conflito de interesses, bem como, meios de minimizar e monitorar adequadamente áreas identificadas como de potencial conflito da espécie; III Meios de identificar e avaliar fatores internos e externos que possam afetar adversamente a realização dos objetivos da instituição; IV A existência de canais de comunicação que assegurem aos funcionários, segundo o correspondente nível de atuação, o acesso a confiáveis, tempestivas e compreensíveis informações consideradas relevantes para suas tarefas e responsabilidades; V A contínua avaliação dos diversos riscos associados às atividades da instituição; VI O acompanhamento sistemático das atividades desenvolvidas, de forma a que se possa avaliar se os objetivos da instituição estão sendo alcançados, se os limites estabelecidos e as leis e regulamentos aplicáveis estão sendo cumpridos, bem como a assegurar que quaisquer desvios possam ser prontamente corrigidos; VII A existência de testes periódicos de segurança para os sistemas de informações, em especial para os mantidos em meio eletrônico. Observe o seguinte: I IV... basicamente, exigem a concepção adequada do ambiente de controle, V VI... basicamente requer o design adequado da função de gestão e controle de riscos, VII... basicamente exige sistemas de informação e controles relacionados adequados... e sua avaliação pela função de auditoria interna. 3
Serviços de auditoria interna contínua baseada em metodologia focada em risco: Abordagem de auditoria operacional integrada ao sistema de informação Auditoria interna e serviços integrados de consultoria de risco incluem não apenas a avaliação e teste de controles sobre informações contábeis e operacionais ("avaliação de sistemas de informação"), mas também a avaliação de controle de gerenciamento de processos de negócio e os riscos subjacentes ("avaliação da gestão de risco"), bem como, o sistema de governança corporativa global e ambiente de controle. 4
Avaliação do ambiente de controle: Risco-retorno com base no desenho da estrutura organizacional 5
Avaliação do ambiente de controle: Eficácia do gerenciamento e gestão A eficácia do gerenciamento e gestão está focada na eficácia do risco baseada em sistemas de planejamento e controle, e exige avaliação de (1) sistemas de identificação, medição e estimativa dos fatores de risco que influenciam o resultado, e (2) melhorias (ou decisões de gestão ao longo do tempo com relação ao risco e planejamento de resultado e controle). 6
Avaliação do ambiente de controle: Avaliação de desempenho e eficácia do sistema de compensação (remuneração) A avaliação do risco baseada em avaliação de desempenho e sistemas de incentivos requer avaliação de (1) sistemas para determinação da relação esperada entre fatores de risco e de resultado, e (2) o uso de tais estimativas e dos fatores efetivos de risco no processo de avaliação de desempenho e gestão de sistemas de incentivos. 7
Serviços de auditoria interna contínua baseada em metodologia focada em risco: Operações de crédito, riscos e sistemas de informação Além do foco de auditoria padronizada focada na avaliação dos controles internos e dos sistemas de informação, a abordagem de auditoria interna contínua, baseada em riscos, concentra-se em avaliar a adequação da gestão de risco de crédito, gestão dos riscos relacionados a modelos, relatórios de gestão contínua de risco de crédito, através de relatórios de acompanhamento gerados especificamente para essa finalidade. 8
Serviços de auditoria interna contínua baseada em metodologia focada em risco: Operações de tesouraria, riscos e sistemas de informações Além do foco de auditoria padronizada focada na avaliação dos controles internos e dos sistemas de informação, a abordagem de auditoria interna contínua, baseada em riscos, concentra-se em avaliar a adequação da gestão de risco da tesouraria, gestão dos riscos relacionados a modelos, relatórios de gestão contínua de risco da tesouraria, liquidez, juros e risco de contraparte, através de relatórios de acompanhamento gerados especificamente para essa finalidade. 9
Gestão de risco baseado em modelos: Modelo eficaz para o gerenciamento através do sistema de informação Entrevistas Desenvolvimento do modelo econométrico Dados e informações Definição do modelo econométrico Gestão e revisão Integração do modelo ao sistema de informação Entrevistas com os gerentes para obter a metodologia empregada na gestão dos fatores de riscos, taxa, liquidez, juros, crédito e risco de contraparte. Combinar as metodologias de gestão de riscos com a teoria econômica para desenvolver modelos econométricos de riscos, e os componentes de resultado sensíveis a tais riscos, na instituição financeira. Obter dados para estimar modelos econométricos, adaptando os modelos sempre que necessário, com base em restrições de dados e disponibilidade. Estimar os parâmetros do modelo econométrico e testar a sensibilidade e estabilidade destes, através dos back testing, atualizando e adaptando o modelo sempre que necessário. Analisar as estimativas do modelo e obter o parecer de gestão sobre a razoabilidade de modelos, as estimativas de parâmetros, sua estabilidade e sensibilidade, aos fatores de riscos. Integrar modelos econométricos em relatórios contínuos de risco da instituição financeira, e gerir o planejamento e gestão dos sistemas de controle. 10
Obrigado! Valdir Jorge Mompean e-mail: mompean@mompean.com.br VISITE NOSSA HOMEPAGE www.mompeanauditores.com.br 11