Serviços de auditoria interna Uma abordagem moderna baseada em modelagem de risco para instituições financeiras Nilson de Lima Barboza, MBA Valdir Jorge Mompean, MS, MBA Malcolm McLelland, Ph.D. 23 June 2014 2012-2014 Mompean e Associadosl 1
Basiléia III e COSO-ERM compatíveis com os objetivos de controle Objetivos fundamentais... Objetivos do ambiente de controle Para fornecer garantias suficientes de que a gestão exerce as suas responsabilidades e que a organização como um todo, atua de acordo com a legislação, com as normas e regulamentos internos e com os objetivos de negócios estabelecidos pelos acionistas. Atribuição dos direitos de decisão... A definição das responsabilidades pela tomada de decisão pelos gestores deve ser atribuída a pessoas com o nível exigido de conhecimentos, habilidades, experiências e informações relevantes para tomar as melhores decisões e efetivamente gerenciar processos de negócios e de risco. Compensações e incentivos... Os sistemas de remuneração e incentivos devem garantir que as compensações e incentivos dos funcionários e executivos estejam alinhados com os objetivos da organização como um todo e de seus acionistas. Avaliação de desempenho... Os sistemas de remuneração e incentivos devem garantir que as compensações e incentivos dos funcionários e executivos estejam alinhados com os objetivos da organização como um todo e de seus acionistas. Objetivos dos sistemas de informação Autorização... Transações são executadas e acessos a ativos são permitidos somente a pessoas autorizadas pela gerencia. Sistemas... Os eventos são registrados conforme necessário para (i) manter a responsabilidade por recursos e obrigações, e sua disponibilidade, (ii) permitir a preparação de relatórios internos e externos necessários para o controle de gestão e em conformidade legal, regulatória e fiscal, e (iii) fornecer informações necessárias para planejamento e controle de operações e de risco. Controles... Eventos registrados (e os ativos, passivos e capital próprio) são independentemente comparados com evidências de sua existência, valor, e disponibilidade em intervalos razoáveis, e são tomadas medidas adequadas com respeito a quaisquer diferenças. 2012-2014 Mompean e Associadosl 2
Banco Central do Brasil Resolução Nº 3056: Considerações requeridas de risco em função de auditoria interna Resolução Nº 3056,requer o seguinte: Os controles internos, cujas disposições devem ser acessíveis a todos os funcionários da instituição de forma a assegurar sejam conhecidas a respectiva função no processo e as responsabilidades atribuídas aos diversos níveis da organização, devem prever: I II III IV V VI A definição de responsabilidades dentro da instituição; A segregação das atividades atribuídas aos integrantes da instituição de forma a que seja evitado o conflito de interesses, bem como meios de minimizar e monitorar adequadamente áreas identificadas como de potencial conflito da espécie; Meios de identificar e avaliar fatores internos e externos que possam afetar adversamente a realização dos objetivos da instituição; A existência de canais de comunicação que assegurem aos funcionários, segundo o correspondente nível de atuação, o acesso a confiáveis, tempestivas e compreensíveis informações consideradas relevantes para suas tarefas e responsabilidades; A contínua avaliação dos diversos riscos associados às atividades da instituição; O acompanhamento sistemático das atividades desenvolvidas, de forma a que se possa avaliar se os objetivos da instituição estão sendo alcançados, se os limites estabelecidos e as leis e regulamentos aplicáveis estão sendo cumpridos, bem como a assegurar que quaisquer desvios possam ser prontamente corrigidos; VII A existência de testes periódicos de segurança para os sistemas de informações, em especial para os mantidos em meio eletrônico. Observe o seguinte: I IV... basicamente, exigem a concepção adequada do ambiente de controle, V VI... basicamente requer o design adequado da função de gestão e controle de riscos, VII... basicamente exige sistemas de informação e controles relacionados adequados... e sua avaliação pela função de auditoria interna. 2012-2014 Mompean e Associadosl 3
Serviços de auditoria interna contínua baseada em metodologia focada em risco: Abordagem de auditoria operacional integrada ao sistema de informação Auditoria interna e serviços integrados de consultoria de risco incluem não apenas a avaliação e teste de controles sobre informações contábeis e operacionais ("avaliação de sistemas de informação"), mas também a avaliação de controle de gerenciamento de processos de negócio e os riscos subjacentes ("avaliação da gestão de risco"), bem como o sistema de governança corporativa global e ambiente de controle. 2012-2014 Mompean e Associadosl 4
Avaliação do ambiente de controle: Risco-retorno com base no desenho da estrutura organizacional 2012-2014 Mompean e Associadosl 5
Avaliação do ambiente de controle: Eficácia do gerenciamento e gestão A eficácia do gerenciamento e gestão está focada na eficácia do risco baseada em sistemas de planejamento e controle, e exige avaliação de (1) sistemas de identificação, medição e estimativa dos fatores de risco que influenciam o resultado, e (2) melhorias (ou decisões de gestão ao longo do tempo com relação ao risco e planejamento de resultado e controle). 2012-2014 Mompean e Associadosl 6
Avaliação do ambiente de controle: Avaliação de desempenho e eficácia do sistema de compensação (remuneração) A avaliação do risco baseada em avaliação de desempenho e sistemas de incentivos requer avaliação de (1) sistemas para determinação da relação esperada entre fatores de risco e de resultado, e (2) o uso de tais estimativas e dos fatores efetivos de risco no processo de avaliação de desempenho e gestão de sistemas de incentivos. 2012-2014 Mompean e Associadosl 7
Serviços de auditoria interna contínua baseada em metodologia focada em risco: Operações de credito, riscos e sistemas de informação Além do foco de auditoria padronizada focada na avaliação dos controles internos e dos sistemas de informação, a abordagem de auditoria interna continua baseada em riscos concentra-se em avaliar a adequação da gestão de risco de credito, gestão dos riscos relacionados a modelos, relatórios de gestão continua de risco de credito, através de relatórios de acompanhamento gerados especificamente para essa finalidade. 2012-2014 Mompean e Associadosl 8
Serviços de auditoria interna contínua baseada em metodologia focada em risco: Operações de tesouraria, riscos e sistemas de informações Além do foco de auditoria padronizada focada na avaliação dos controles internos e dos sistemas de informação, a abordagem de auditoria interna continua baseada em riscos concentra-se em avaliar a adequação da gestão de risco da tesouraria, gestão dos riscos relacionados a modelos, relatórios de gestão continua de risco da tesouraria, liquidez, juros e risco de contraparte, através de relatórios de acompanhamento gerados especificamente para essa finalidade. 2012-2014 Mompean e Associadosl 9
Gestão de risco baseado em modelos: Modelo eficaz para o gerenciamento através do sistema de informação Entrevistas... Entrevistas com os gerentes para obter a metodologia empregada na gestão dos fatores de riscos, taxa, liquidez, juros, crédito e risco de contraparte. Desenvolvimento do modelo econometrico... Combinar as metodologias de gestão de riscos com a teoria econômica para desenvolver modelos econometricos de riscos, e os componentes de resultado sensíveis a tais riscos na instituição financeira. Dados e informações... Obter dados para estimar modelos econometricos, adaptando os modelos sempre que necessário com base em restrições de dados e disponibilidade. Definição do modelo econometrico... Estimar os parâmetros do modelo econometrico e testar a sensibilidade e estabilidade destes, através dos back testing, atualizando e adaptando o modelo sempre que necessário. Gestão e revisão... Analisar as estimativas do modelo e obter o parecer de gestão sobre a razoabilidade de modelos, as estimativas de parâmetros, sua estabilidade e sensibilidade, aos fatores de riscos. Integração do modelo ao sistema de informação Integrar modelos econométricos em relatórios contínuos de risco da instituição financeira, e gerir o planejamento e gestão dos sistemas de controle. 2012-2014 Mompean e Associadosl 10