Auditoria da função de gestão de riscos operacionais* 1 de Agosto *connectedthinking

Introdução

Parte I -

Auditoria específica (complementar)

na área de risco operacional

Introdução

Parte I -

Auditoria específica (complementar)

na área de risco operacional

Objetivos da apresentação

Esta apresentação tem o objetivo de demonstrar a visão do auditor em

relação a um processo de auditoria das funções de risco operacional de uma instituição financeira no Brasil. Ressaltamos que esta análise foi baseada nos fundamentos da Resolução no 3.380, no Comunicado no 12.746, em questões relacionadas ao Novo Acordo da Basiléia e na legislação brasileira atual. Alterações regulamentares futuras poderão modificar

substancialmente a análise aqui apresentada.

Aproveitamos a oportunidade para manifestar o nosso agradecimento à

ABBC em nos receber para demonstrar nosso entendimento sobre o tema. Permanecemos à disposição de V.Sas. para qualquer esclarecimento

adicional que possa ser requerido com relação ao conteúdo deste documento.

Objetivos da apresentação

Auditoria específica Auditoria conforme requerido pela

Resolução 3380

• Foco em todos os componentes do framework (estratégia, processo, política, estrutura organizacional, modelagem, procedimento,

sistema,informação e comunicação) de gerenciamento de risco

operacional para atendimento a Basiléia II

• Público alvo: Conselho de

Administração, Comitê de Auditoria, Conselho Fiscal e Diretoria.

• Foco no sistema de controles internos para o processo de risco operacional com base nos requerimentos da

Resolução 3380.

• Público alvo: Conselho de

Administração, Diretoria, Controles Internos, Auditor Interno e Externo e Autoridade Regulatória

Introdução

Parte I -

Auditoria específica (complementar)

na área de risco operacional

As instituições podem solicitar uma auditoria independente

envolvendo os controles internos e procedimentos efetuados

no gerenciamento do risco operacional.

Objetivos de efetuar uma auditoria específica:

• Obter uma visão independente quanto às práticas empregadas (metodologias de mensuração) e relatórios fornecidos.

• Obter conforto para alta administração e gestor de risco em relação as práticas empregadas e um acompanhamento em relação a efetividade dos controles internos.

• Aprimorar o gerenciamento de risco operacional na instituição. • Identificar ineficiências.

As instituições podem solicitar uma auditoria independente

envolvendo os controles internos e procedimentos efetuados no

gerenciamento do risco operacional.

Objetivos de efetuar uma auditoria específica (continuação):

• Demonstrar ao regulador e/ou agências de rating sobre a situação do gerenciamento de risco

operacional.

• Ser reconhecida positivamente pelos reguladores (modelos padrões - tendência a adoção de modelos proprietários, com exigência de monitoramento por terceiro - auditor externo).

• Atender requisitos do acordo da Basiléia II para riscos operacionais.

Estrutura de relatórios

O relatório dos auditores independentes sobre a efetividade do sistema de controles internos para os processos de gerenciamento de risco

operacional será baseado em uma norma de auditoria internacional – ISAE 3000.

O objetivo do “International Standard on

Assurance Engagements (ISAE)” é estabelecer princípios básicos, procedimentos essenciais e prover um guia para que os auditores possam efetuar as referidas auditorias.

Definição de controle interno

Controle interno é um processo realizado pelo conselho, diretoria,

gerência ou outros profissionais de uma entidade, desenhado a prover razoável segurança quanto ao atendimento dos objetivos nas seguintes categorias: • efetividade e eficiência das

operações

• confiança nos relatórios financeiros • compliance com regulamentos e

Estrutura de relatórios (continuação)

a) Declaração da Administração sobre a Efetividade dos Controles Internos Para a avaliação da efetividade, a administração da instituição divulga as afirmações quanto a esta efetividade, como por exemplo:

• os controles internos são suficientes para suportar as necessidades da instituição quanto a análise de gerenciamento de riscos

operacionais;

• foram aplicados de forma

segura, precisa e oportuna no período sob análise.

Estrutura de relatórios (continuação)

a) Declaração da Administração sobre a Efetividade dos Controles Internos “Desta forma, o Banco XPTO declara que avaliou os mencionados

controles internos e concluiu que, no período de XXº de XXX a XX de XXX de 200X, os referidos controles provinham razoável conforto à administração de que:

(i) integridade dos sistemas - o processamento do sistema foi completo, preciso, oportuno e autorizado pelos níveis adequados;

(ii) disponibilidade dos sistemas - o sistema ficou disponível para atender às necessidades de nível de serviço e acordos internos/externos;

(iii) manutenção dos sistemas - o sistema pode ser atualizado quando requerido mantendo os padrões de qualidade do processamento;

(iv) segurança da informação - o sistema está protegido contra acesso físico e lógico não autorizado;

Estrutura de relatórios (continuação)

a) Declaração da Administração sobre a Efetividade dos Controles Internos (continuação).

(v) oportunidade da informação - tempo de atendimento aos requisitos de negócio;

(vi) precisão da informação - utilização de metodologias para mensuração de riscos, e

(vi) integridade dos dados.

Definição de critérios

As Afirmações da Administração estão baseadas nos princípios de

controles internos internacionalmente reconhecidos do COSO (Committee of Sponsoring Organizations of the Tradeway Commission).

Estrutura de relatórios (continuação)

b) Relatório dos auditores independentes sobre a efetividade do sistema de controles internos para o processo gerenciamento de risco operacional Parecer de auditores independentes acerca das afirmações da

administração quanto a efetividade dos sistemas de controles internos dos processos de gerenciamento dos riscos operacionais.

Este parecer possui diferentes formatos dependendo da

conclusão do auditor que podem ser: • Sem ressalva – é emitido quando

o auditor está convencido sobre todos os aspectos relevantes dos assuntos tratados.

Estrutura de relatórios (continuação)

b) (continuação)

• Com ressalva – é emitido quando o auditor conclui que o efeito de qualquer discordância ou restrição na extensão de um trabalho não é de tal magnitude que requeira parecer adverso ou abstenção de

opinião.

• Abstenção de opinião – é emitido quando houver uma limitação

significativa na extensão de seus exames que impossibilite o auditor expressar opinião sobre o objeto de auditoria por não ter obtido

comprovação suficiente para fundamentá-la.

• Adverso – é emitido quando o auditor discorda das afirmações da administração.

Estrutura de relatórios (continuação)

c) Relatório de aprimoramento dos sistemas de controles de gestão de riscos para os processos de gerenciamento de risco operacional

d) Carta de representação da administração 1.1. Estrutura organizacional Comentários da Administração Recomendações de aprimoramento Práticas atuais

Boas práticas de mercado para gerenciamento de riscos

Confiança nos Controles Internos

A abordagem de determinação da confiança nos controles internos auxiliará na definição dos procedimentos de auditoria e sua extensão:

• Alta • Alguma • Baixa

Quanto de esforço de auditoria será necessário para confirmar a

exatidão dos relatórios?

Confiança nos controles internos da área:

Baixa Alguma Alta

Sistemas Integrados Planilhas

Confiança nos Controles Internos

Concluir que não pode ser depositada qualquer confiança nos controles internos da área de Gerenciamento de Riscos Operacionais:

• testes substantivos de comprovação no processamento dos relatórios (++)

Baixa

Concluir que pode ser depositada confiança em alguns controles internos da área de Gerenciamento de Riscos Operacionais:

• identificação dos controles-chave

• testes dos controles-chave (+)

• revisões analíticas (-)

• comparação dos controles-chave com relatórios (-)

Alguma

Concluir que pode ser depositada confiança nos controles interno da área de Gerenciamento de Riscos Operacionais:

• identificação dos controles-chave

• testes dos controles-chave (-)

• revisões analíticas (+)

• comparação dos controles-chave com relatórios (+)

Baixa

Moderada

Alta

Testes substantivos

Revisões analíticas

Abordagem no primeiro ano de auditoria

Evidência substantiva de auditoria – este é o termo utilizado para descrever a evidência obtida pela

realização de procedimentos analíticos ou testes

detalhados para obter conforto significativo ou conforto limitado do ciclo de conforto de auditoria. No caso específico da auditoria para controles internos será necessário obter conforto significativo de auditoria.

Evidência substantiva de auditoria

Principalmente procedimentos

analíticos

Principalmente testes detalhados

Visão geral da metodologia

Procedimentos analíticos – facilita o processo efetivo de auditoria pelo auxílio no entendimento do negócio do cliente, direcionando a atenção do auditor às áreas de

maior risco, identificando assuntos que podem não ser aparentes, e auxiliar na avaliação dos resultados da auditoria.

Testes detalhados – se não for possível obter garantia suficiente por meio de

procedimentos analíticos, será necessário executar testes detalhados. Estes testes

compreendem: cálculos de processamento, verificação de documentos, conciliações de posições, confronto com dados externos, etc.

Outros procedimentos de auditoria –

compreendem outros procedimentos que cercam os processos sob análise como leitura de atas de reunião de comitês e comissões, comparações com melhores práticas de mercado, etc.

Outros procedimentos de auditoria

Introdução

Parte I -

Auditoria específica (complementar)

na área de risco operacional

Interpretação da Resolução n

_{3.380 - Dispõe sobre a}

implementação de estrutura de gerenciamento do risco

operacional.

Resolução

“....Art. 3º A estrutura de

gerenciamento do risco operacional deve prever:....

Entendimento do auditor

• A estrutura de gerenciamento de risco operacional compreende todo o

Framework – Política, Estrutura

Organizacional, Modelagem, Sistema, Procedimentos, Informação e

Interpretação da Resolução n

_{3.380 - Dispõe sobre a}

implementação de estrutura de gerenciamento do risco

operacional (continuação).

Resolução

“....Art. 3º A estrutura de

gerenciamento do risco operacional deve prever:....

I, II…. III - elaboração, com periodicidade

mínima anual, de relatórios que

permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do risco

operacional;....”

Entendimento do auditor

• Participantes:

• Controles Internos

• Objetivo: Avaliação dos controles e da sua eficiência por meio de

Interpretação da Resolução n

_{3.380 - Dispõe sobre a}

implementação de estrutura de gerenciamento do risco

operacional (continuação).

Resolução

“....Art. 3º A estrutura de

gerenciamento do risco operacional deve prever:....

....IV - realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de controle de riscos operacionais implementados; V, VI…” Entendimento do auditor • Participantes: • Risco Operacional • Auditoria Interna

• Objetivo: Testes de avaliação dos sistemas de controle de riscos operacionais implementados.

Interpretação da Resolução n

_{3.380 - Dispõe sobre a}

implementação de estrutura de gerenciamento do risco

operacional (continuação).

Resolução

“....Art. 3º A estrutura de

gerenciamento do risco operacional deve prever:....

§ 2º Os relatórios mencionados no inciso III devem ser submetidos à

diretoria das instituições de que trata o art. 1º e ao conselho de administração, se houver, que devem manifestar-se expressamente acerca das ações a serem implementadas para correção tempestiva das deficiências

apontadas.”

Entendimento do auditor

• Participantes: Diretoria e/ou Conselho de Administração

• Objetivo: Comentários dos

participantes em relação as análises efetuadas e a adequação dos planos de ação para resolução das

Interpretação da Resolução n

_{3.380 - Dispõe sobre a}

implementação de estrutura de gerenciamento do risco

operacional (continuação).

Resolução

“....Art. 3º A estrutura de gerenciamento do risco operacional deve prever:....

§ 3º Eventuais deficiências devem compor os relatórios de avaliação da qualidade e adequação do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos e de

descumprimento de dispositivos legais e regulamentares, que tenham, ou possam vir a ter impactos relevantes nas

demonstrações contábeis ou nas operações da entidade auditada, elaborados pela

auditoria independente, conforme disposto na regulamentação vigente.”

Entendimento do auditor

• Participantes:Auditor Externo

• Objetivo: No contexto de seu exame de auditoria, avalia os trabalhos efetuados por Controles Internos/Auditoria Interna e os respectivos comentários da Diretoria e/ou Conselho de Administração. Caso aplicável, inclui recomendações no

relatório sobre a avaliação da qualidade e adequação do sistema de controles

internos, requerido pela Resolução 3.380.

Interpretação da Resolução no _{3.380 - Dispõe sobre a implementação}

de estrutura de gerenciamento do risco operacional (continuação).

Diversas áreas da instituição financeira, incluindo Risco Operacional Controles Internos e Auditoria Interna Diretoria e/ou

Conselho Auditor Externo

Controles Internos implementados Avalia os controles dos processos relacionados Ratifica os planos de ações elaborados Analisa os trabalhos efetuados e inclui na CCI, quando necessário

• Deficiências nas integrações de sistemas. • Utilização excessiva de planilhas eletrônicas. • Fragilidades no ambiente geral de sistemas. • Dificuldades na obtenção de informação:

• relacionamento.

• sistemas carregados. • inexistência de back-up.

• Falta de conciliações com contabilidade ou outras fontes disponíveis. • Falta de comprometimento da alta administração.

• Repulsa dos gestores de risco (supervisão).

No processo de revisão (auditoria específica ou contexto

regulatório) existem dificuldades e preocupações do auditor

quanto a:

• Limitação do número de

profissionais da área de ORM. • Treinamento dos auditores

internos e da área de controles internos.

• Insuficiência de orçamento para realização dos trabalhos.

• Ausência de abertura para reflexão.

• Tratamento de recomendações como críticas.

No processo de revisão (auditoria específica ou contexto

regulatório) existem dificuldades e preocupações do auditor

quanto a:

Luciana Medeiros von Adamek 3674-3796 [email protected] Luciana Bacci 3674-3419 [email protected] Marco Antonio 3674-3340 [email protected]

responsabilidade por conseqüências de atos ou omissões de qualquer pessoa, que sejam decorrentes de informações contidas nesta publicação ou resultantes de decisões baseadas nas mesmas.