4º Seminário FEBRABAN sobre CONTROLES INTERNOS. Paulo Sérgio Neves de Souza Banco Central do Brasil Departamento de Supervisão Bancária

4º Seminário FEBRABAN sobre CONTROLES INTERNOS Paulo Sérgio Neves de Souza Banco Central do Brasil Departamento de Supervisão Bancária

Novos Desafios para Controles Internos Modelo de Supervisão do BCB Novos desafios Um Setor Cada Vez Mais Digital

Desafios eternos! Entendimento do negócio e seus riscos Informações adequadas e suficientes para a tomada de decisões

Modelo de Supervisão do BCB

Evolução da supervisão

Modelo de Supervisão

Modelo da Supervisão Bancária

Sistema de avaliação de riscos e controles

Sistema de avaliação de riscos e controles

Supervisão Bancária do BCB Três linhas de defesa Conselho de Administração, Comitê de Auditoria e Diretoria Executiva definição de objetivos, escopo e princípios para controles; monitoramento. 1ª Linha de Defesa CONTROLES INTERNOS DAS UNIDADES DE NEGÓCIO E ÁREAS OPERACIONAIS 2ª Linha de Defesa ÁREAS CORPORATIVAS DE CONTROLES INTERNOS, COMPLIANCE E GESTÃO DE RISCOS 3ª Linha de Defesa AUDITORIA INTERNA Agente externo: AUDITORIA EXTERNA

Novos desafios

Novos desafios Risco socioambiental (Resolução 4.327/14) Riscos na contratação de operações e na prestação de serviços (Resolução 3.694/09 com redação dada pela Resolução 4.283/13) Plano de Recuperação (Resolução 4.502/16) Risco relativo ao uso da tecnologia (Resolução 4.557/17)

Um Setor Cada Vez Mais Digital

Um Setor Cada Vez Mais Digital O Setor Bancário Brasileiro é caracterizado por grandes investimentos em tecnologia. Foco estratégico do bancos nos canais Mobile Banking e Internet Banking. Uso de tecnologias inovadoras no aprimoramento de processos de negócio: Cloud Computing, Big Data & Analytics, Inteligência Artificial e Computação Cognitiva, Distributed Ledger Technology/Blockchain,...

Um Setor Cada Vez Mais Digital COSO (2013) - mudanças mais relevantes: Importância cada vez maior da tecnologia; Aprimora conceitos de governança; Aprimora considerações de expectativas antifraude; Preocupação com terceirização. Desafios para a gestão de riscos e controles internos: Capacitação Ferramental (regulação, metodologias,sistemas,...) Tempestividade na atuação

Um Setor Cada Vez Mais Digital Desafios da Supervisão: como as instituições estabelecidas empregarão a tecnologia para alavancar seu negócios; e quais as mudanças no perfil de risco dessas instituições decorrente do uso de novas tecnologias.

Banco Central do Brasil - Missão Assegurar a estabilidade do poder de compra da moeda e um sistema financeiro sólido e eficiente. Tecnologia é uma grande catalisadora de eficiência operacional Requer o estabelecimento de controles adequados ao perfil de risco

Banco Central do Brasil - Regulação Resolução CMN 4.474/2016: digitalização de documentos Resolução CMN 4.557/2017: gestão integrada de riscos Resolução CMN 4.480/2016: abertura de conta de depósito por meios eletrônicos

Banco Central do Brasil - Regulação Embora a Resolução 4.474/2016 e a Resolução 4.480/2016 tragam inovações que possibilitem o uso da tecnologia para prover maior eficiência aos processos das instituições, a Resolução 4.557/2017 é a que traz os fundamentos para a adequada gestão de risco relativa ao uso da tecnologia.

Res. 4.557/2017: Proporcionalidade A Resolução 4.557/2017 trata os princípios de proporcionalidade em linha com a segmentação proposta na Resolução nº 4.553/2017. Entretanto, riscos relacionados ao uso da tecnologia da informação podem depender mais do tipo de canal empregado para o provimento de produtos do que do porte da instituição ou mesmo da complexidade desses produtos. Por exemplo, instituições que disponibilizam seus produtos via Internet Banking estão sujeitas a ataques cibernéticos, independentemente do porte de cada uma. Art. 1º Esta Resolução dispõe sobre a estrutura de gerenciamento de riscos e a estrutura de gerenciamento de capital. Art. 2º... 1º As estruturas de gerenciamento de que trata o caput devem ser: I - compatíveis com o modelo de negócio, com a natureza das operações e com a complexidade dos produtos, dos serviços, das atividades e dos processos da instituição; II - proporcionais à dimensão e à relevância da exposição aos riscos, segundo critérios definidos pela instituição; III - adequadas ao perfil de riscos

Res. 4.557/2017: Gestão Integrada de Riscos A gestão integrada de riscos deve ser efetiva, consolidando-se como uma ferramenta nevrálgica para a adequada gestão de riscos das instituições. Informações Regulatórias Sistemas de Origem Integridade da Informação Sistemas Gerenciais (MIS) Informações erradas resultam em decisões erradas!! Art. 7º A estrutura de gerenciamento de riscos deve prever:... II - processos efetivos de rastreamento e reporte tempestivo de exceções às políticas de gerenciamento de riscos, aos limites e aos níveis de apetite por riscos fixados na RAS; III - sistemas, rotinas e procedimentos para o gerenciamento de riscos; IV - avaliação periódica da adequação dos sistemas, rotinas e procedimentos de que trata o inciso III;

Res. 4.557/2017: Gestão Integrada de Riscos O processo de Gestão Integrada de Riscos deve ser periodicamente avaliado e APRIMORADO! Avaliações independentes Controles internos (Validação ampla, quando existir) Auditoria interna As avaliações dos sistemas devem ser amplas, com especial consideração de aspectos relacionados à integridade da informação, à segurança da informação e à continuidade do processo de gestão de riscos em caso de eventuais incidentes. Art. 7º A estrutura de gerenciamento de riscos deve prever:... X - relatórios gerenciais tempestivos para a diretoria da instituição, o comitê de riscos, e o conselho de administração, quando existente, versando sobre:... c) avaliação dos sistemas, das rotinas e dos procedimentos, de que trata o caput, inciso IV, incluindo eventuais deficiências da estrutura de gerenciamento de riscos e ações para corrigi-las;

Res. 4.557/2017: Continuidade de negócios A gestão de continuidade de negócios não deve ser responsabilidade exclusiva da área de TI. Deve ser capitaneada pela Alta Administração e pelos requisitos das áreas de negócio. As estratégias a serem definidas devem ser compatíveis com o perfil operacional da instituição e da organização de sua infraestrutura tecnológica. Art. 20. As políticas para a gestão de continuidade de negócios de que trata o art. 7º, inciso IX, devem estabelecer: I - processo para análise de impacto nos negócios que inclua: a) identificação, classificação e documentação dos processos críticos de negócio; b) avaliação dos potenciais efeitos da interrupção dos processos mencionados na alínea a ; II - estratégias para assegurar a continuidade das atividades da instituição e limitar perdas decorrentes da interrupção dos processos críticos de negócio;

Res. 4.557/2017: Continuidade de negócios Os planos de continuidade de negócios devem ser efetivos: Os testes devem ser relevantes para atestar a efetividade dos planos. Os testes devem cobrir todos os cenários relevantes. As correções nos planos devem ser tempestivas. Os funcionários devem ser adequadamente capacitados. Art. 20. As políticas para a gestão de continuidade de negócios de que trata o art. 7º, inciso IX, devem estabelecer:... III - planos de continuidade de negócios que estabeleçam procedimentos e prazos estimados para reinício e recuperação das atividades em caso de interrupção dos processos críticos de negócio, bem como as ações de comunicação necessárias; IV - testes e revisões dos planos de continuidade de negócios com periodicidade adequada.

Res. 4.557/2017: Governança de TI As áreas de TI devem dispor de processos adequados ao perfil operacional da instituição. A gestão dos riscos tecnológicos deve estar alinhada à gestão corporativa de riscos. Devem ser observadas as boas práticas da indústria. A estrutura de TI deve possibilitar o atendimento dos requisitos legais e regulatórios vigentes (em especial, de proteção ao sigilo bancário). Art. 33. A estrutura de gerenciamento de que trata o art. 7º deve prever, adicionalmente, para o risco operacional:... III - implementação de estrutura de governança de TI consistente com os níveis de apetite por riscos estabelecidos na RAS; IV - sistemas, processos e infraestrutura de TI que: a) assegurem integridade, segurança e disponibilidade dos dados e dos sistemas de informação utilizados; b) sejam robustos e adequados às necessidades e às mudanças do modelo de negócio, tanto em circunstâncias normais quanto em períodos de estresse;

Res. 4.557/2017: Segurança da Informação Os mecanismos de segurança da informação devem ser compatíveis com o perfil operacional da instituição. Preocupações atuais: ataques cibernéticos: indisponibilidade ou de roubo informações (preocupação com sigilo bancário). Controles de segurança da informação dos prestadores de serviço terceirizados. Art. 33. A estrutura de gerenciamento de que trata o art. 7º deve prever, adicionalmente, para o risco operacional:... IV - sistemas, processos e infraestrutura de TI que:... c) incluam mecanismos de proteção e segurança da informação com vistas a prevenir, detectar e reduzir a vulnerabilidade a ataques digitais;

Res. 4.557/2017: Terceirização de TI O risco dos provedores de serviços terceirizados deve ser gerenciado. Serviços terceirizados podem ser críticos para a adequada operacionalização de processos de negócio relevantes da instituição. A avaliação dos controles das instituições também envolve a avaliação dos controles dos provedores de serviços críticos. Os contratos em vigor deverão ser revistos e ajustados aos termos preconizados na Resolução 4.557/2017. Art. 20. As políticas para a gestão de continuidade de negócios de que trata o art. 7º, inciso IX, devem estabelecer:... 1º A política e os planos de continuidade de negócios devem considerar os serviços prestados por terceiros, quando relevantes. 2º Os relatórios gerenciais mencionados no art. 7º, inciso X, devem incluir os resultados dos testes e das revisões de que trata o caput, inciso IV.

Obrigado! paulo.neves@bcb.gov.br