Controles Internos e Gerenciamento de Riscos Operacionais

(1)

CRASP – Controles Internos -

^{Pág. 1}

Internos e

Gerenciamento de Riscos

Operacionais

Ednéa Queiroz

Dezembro 2007

(2)

Uma Nova Cultura = Menos Riscos

O mercado financeiro vive um período de grandes desafios, especialmente no que diz respeito à implementação de um processo integrado e permanente de identificação, análise, avaliação e tratamento dos processos, riscos e controles existentes na organização.

Esse trabalho é fundamental para manter o nível de exposição compatível ao grau de risco

definido para a organização e, paralelamente, atender normas e regulamentações definidas por órgãos governamentais no Brasil e no exterior (quando aplicável). Entre as determinações a serem atendidas até 31/12/07, está a Resolução 3380 de 2006 do Conselho Monetário Nacional que trata do Gerenciamento de Riscos Operacionais e é aplicável à todas as instituições

financeiras e demais autorizadas a funcionar pelo Banco Central do Brasil.

Há ainda, desde 1998 a Resolução 2554 do Conselho Monetário Nacional que deu início aos

“Controles Internos” no sistema bancário brasileiro. Paralelamente, o Acordo da Basiléia II, resultado da atuação do Comitê da Basiléia, com foco na formulação e disseminação das melhores práticas de governança bancária, está sendo responsável por profundas

transformações nas instituições financeiras nos últimos anos.

(3)

CRASP – Controles Internos -

^{Pág. 3}

Estratégia

A adequação de uma instituição financeira à

todas as exigências às quais está submetida depende

fundamentalmente da

disseminação de uma

cultura de gestão de

processos, riscos e

controles.

(4)

Controle interno é um processo adotado pela Diretoria, Conselho de Administração e outros da empresa, designados a

proporcionar uma segurança razoável referente à realização de objetivos nas seguintes categorias:

1. Confiabilidade de relatórios financeiros 2. Capacidade e eficiência nas operações 3. Conformidade com leis e regulamentos aplicáveis

São atividades exercidas por pessoas e por

sistemas de informação.

(5)

CRASP – Controles Internos -

^{Pág. 5}

A atividade bancária implica em exposição a riscos.

As instituições financeiras precisam entendê-los, avaliá-los e administrá-los adequadamente, portanto a implementação efetiva do Gerenciamento de

Riscos Operacionais é obrigatória.

Exemplos de Riscos Operacionais:

 Fraudes internas

 Fraudes externas

 Demandas trabalhistas e segurança deficiente do local de trabalho

 Práticas inadequadas relativas a clientes, produtos e serviços

 Danos à ativos físicos próprios ou em uso pela instituição

 Aqueles que acarretem a interrupção das atividades da instituição

 Falhas em sistemas de tecnologia da informação

 Falhas na execução, cumprimento de prazos e gerenciamento das

atividades na instituição

(6)

Profissionais de Controles Internos e Gerenciamento de Riscos Operacionais

São pessoas-chave para, ao lado de colaboradores de todas as unidades de

negócios e áreas de suporte atuar na disseminação da cultura de gestão de processos, gerenciamento de riscos e controles, tendo papel fundamental nas

ações da organização.

Objetivos e Atribuições dos Profissionais

Disseminar a cultura de gestão de processos, riscos e

controles, avaliar, monitorar e prezar pela qualidade dos

controles.

(7)

CRASP – Controles Internos -

^{Pág. 7}

Capacidade de atuação em grupo

Facilidade no relacionamento com pessoas

Experiência profissional Conhecimento sobre a instituição Critérios de Escolha dos Profissionais de Controles Internos e

Gerenciamento de Riscos Operacionais

(8)

A Administração é responsável por garantir que:

As demonstrações financeiras sejam preparadas e que suas informações estejam corretas A Auditoria Externa deve atestar que as Demonstrações

Financeiras são fiéis à situação da instituição financeira

A Administração é responsável por garantir que:

Os controles internos sejam adequadamente desenhados e testados e que sejam efetivos

A Auditoria Externa efetua os testes e atesta que os controles da

Instituição são eficazes e refletem a realidade

Controles Internos Demonstrações +

Financeiras

(9)

CRASP – Controles Internos -

^{Pág. 9}

Definir quais processos e controles deverão ser descritos e monitorados em conformidade com as políticas da instituição, além de normas, leis e regulamentações vigentes.

Principais Atribuições

Documentar os processos selecionados, conforme a metodologia

estabelecida, identificando riscos, os eventos de perdas e os respectivos controles.

Elaborar e implementar planos para a melhoria de controles deficientes, com base no profundo conhecimento do dia-a-dia de sua área e, em

conjunto com os responsáveis diretos pelo processo.

Desenhar estratégias de testes dos controles identificados na descrição dos processos, de maneira a verificar sua efetividade, juntamente com o gestor.

Preparar relatórios de Controles Internos e Gerenciamento de Riscos

Operacional com os “status” dos processos, dos riscos e dos controles.

(10)

A importância dos Controles Internos e do Gerenciamento de Riscos Operacionais

O sucesso na disseminação de uma cultura de

gerenciamento de processos, riscos e controles é um

elemento essencial para o futuro das instituições. Além da adequação da mesma às normas e às determinações dos órgãos reguladores, o trabalho dos profissionais terá

impacto muito positivo nas estruturas de gestão e controle da organização.

O aperfeiçoamento dos processos de governança

corporativa resultante desse trabalho trará uma série de vantagens, como a melhoria do acesso a capital. O maior benefício, no entanto, será a contribuição para a

sustentabilidade do crescimento da organização, a redução de riscos e perdas, o aumento da qualidade e conseqüente criação de valor para acionistas e

investidores.

(11)

CRASP – Controles Internos -

^{Pág. 11}

Benefícios da estrutura e processos de gestão e controles para as organizações

Uma amostra dos efeitos positivos dessas práticas foi

verificada em estudo realizado recentemente pela International Shareholder Services. Na avaliação constatou-se que

empresas comprometidas com a governança corporativa conquistaram margens líquidas de lucro 21,66% acima da média de seu segmento.

Já aquelas com menor grau de compromisso obtiveram margens de lucro 6,38%

inferiores à média.

Apesar de a consulta ter sido realizada nos Estados Unidos, a mesma relação entre lucro e governança já é observada no Brasil, onde as instituições

financeiras estão empenhadas em

ser referência de compromisso

com as melhores práticas de

governança corporativa.

(12)

Em termos profissionais, quais os ganhos dos profissionais da área?

Além de ampliar seus conhecimentos, os

profissionais de Controles Internos e Gerenciamento de Riscos Operacionais poderão colocar em

evidência sua capacidade de gerenciamento de projetos e de relacionamento com pessoas.

Em virtude da

importância de todo o processo de

disseminação de uma cultura de gestão de controles e riscos na instituição, estarão envolvidos em

atividades-chave para o sucesso da organização.

Evidentemente essas atividades

exigirão contato estreito com os

principais executivos da empresa,

o que amplia a visibilidade e as

oportunidades de troca de

experiência com seus pares e

gestores. Finalmente, as metas dos

profissionais estarão diretamente

ligadas à execução de suas

funções.

(13)

CRASP – Controles Internos -

^{Pág. 13}

As falhas relevantes nos Controles Internos deverão ser documentadas em relatórios que as descrevam e proponham planos de ação com melhorias.

Deverá ainda haver ciência da Diretoria, do Conselho de Administração e da Auditoria Externa.

Estes relatórios devem ficar à disposição dos órgãos reguladores pelo período de 5 anos.

Multas de até R$ 250 mil por ato

Inabilitação temporária ou permanente para o cargo de administrador

Cassação da autorização para funcionamento

Erros / Omissões nas Certificações da

Administração

Conseqüências das falhas nos Controles Internos, além das ações cíveis

(14)

Gerenciamento do Projeto

Início e Escopo do

Projeto

Levantar atividades, documentar e

avaliar os riscos e os

controles internos

Definir planos de ação para melhorias e

correções

Testar a eficácia operacional

dos controles

internos

Testar e preparar a

opinião

Administração Auditor

Processo de Melhoria Contínua

Preparar relatório e submeter à Diretoria e ao

Conselho da

Administração

(15)

CRASP – Controles Internos -

^{Pág. 15}

Entendendo mais sobre os tipos de riscos no mercado financeiro

(16)

Atividade Bancária implica exposição a riscos. Bancos precisam entendê-los, avaliá- los e administrá-los adequadamente

• Risco de Crédito

• Risco País e de Transferência

• Risco de Mercado

• Risco de Taxa de Juros

• Risco de Liquidez

• Risco Operacional

• Risco Legal

• Risco de Reputação

Riscos mais relevantes

(17)

CRASP – Controles Internos -

^{Pág. 17}

• Avaliações pouco acuradas da capacidade financeira dos tomadores de crédito

• Capacidade de crédito pode se reduzir ao longo do tempo

• Não reconhecimento de ativos inválidos. (envolvem garantias, aceites, investimentos em títulos)

• Exposição excessiva a um único tomador ou diversos de um mesmo grupo

• Concentração de segmentos industriais

• Concessão de crédito a indivíduos e empresas relacionadas ao banco, etc

Risco de Crédito – Resolução 2682/1999

• Concessão de Créditos internacionias, incluem o risco país, (ambientes econômicos, sociais e políticos do país tomador)

• Risco mais evidente na concessáo de crédito a governos, mas deve-se considerá-lo no setor público ou privado

• O risco de transferência está intimamente ligado. Surge quando as obrigações do tomador não estão expressas em moeda local

Risco País e de Transferência

(18)

Risco de Mercado

Risco de Taxa de Juros – Resolução 2692/2000

• Movimento dos preços no mercado

• Capital de terceiros ou capital próprio investidos em câmbio ou commodities (risco de câmbio)

• Riscos crescem durante períodos de instabilidades das taxas de câmbio

Movimentos adversos nas taxas de juros causando apreciação ou depreciação

de ativos, de passivos e de posições extra-balanço do banco e outros ajustes

(19)

CRASP – Controles Internos -

^{Pág. 19}

Risco de Liquidez – Resolução 2804/2000

Risco Operacional – Resolução 3380/2006

• Decorre da incapacidade do banco de promover reduções em seu passivo

• Quando o banco apresenta liquidez inadequada, perde a capacidade de obter recursos através da conversão de ativos, por exemplo, afetando a rentabilidade

• Liquidez insuficiente pode acarretar insolvência do banco

Colapso dos Controles Internos e do Domínio Corporativo.

• Acarretam perdas financeiras

• Comprometimento dos interesses do banco:

 por erros, fraudes ou deficiência no desempenho oportuno de atividades

 pela condução dos negócios de maneira aética ou arriscada

 por deficiências tecnológicas

 por desastres (incêndios, terremotos, etc)

(20)

Risco Legal

Risco de Reputação

• Parecer Legal inadequado ou incorreto que culmine com altas desvalorização de ativos ou valorização de passivos

• Processo Judicial envolvendo um banco, pode ter consequências (custos) em todos os outros

• Bancos são mais suscetíveis quando adotam novos tipos de transação

• Quando o direito legal de uma contraparte numa transação não está estabelecido

Originam-se, entre outros, de falhas operacionais, de deficiências no cumprimento da lei e de regulamentos relevantes.

O RISCO DE REPUTAÇÃO IMPACTA DIRETAMENTE NA IMAGEM DO BANCO E

NOS NEGÓCIOS, UMA VEZ QUE A CONFIABILIDADE É ESSENCIAL PARA O

RELACIONAMENTO COM DEPOSITANTES, CREDORES E DO MERCADO EM

GERAL.

(21)

CRASP – Controles Internos -

^{Pág. 21}

Resolução 3380

Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional.

O BANCO CENTRAL DO BRASIL, na forma do art. 9º da Lei 4.595, de 31 de dezembro de 1964, torna público que o CONSELHO MONETÁRIO NACIONAL, em

sessão realizada em 29 de junho de 2006, com base nos arts. 4º, inciso VIII, da referida lei, 2º, inciso VI, 8º e 9º da Lei 4.728, de 14 de julho de 1965, e 20 da Lei 4.864, de 29 de

novembro de 1965, na Lei 6.099, de 12 de setembro de 1974, com as alterações

introduzidas pela Lei 7.132, de 26 de outubro de 1983, na Lei 10.194, de 14 de fevereiro de 2001, com as alterações introduzidas pela Lei 11.110, de 25 de abril de 2005, e no art.

6o do Decreto-lei 759, de 12 de agosto de 1969,

R E S O L V E U:

Art. 1º Determinar às instituições financeiras e demais instituições autorizadas a

funcionar pelo Banco Central do Brasil a implementação de estrutura de gerenciamento do risco operacional.

Parágrafo único. A estrutura de que trata o caput deve ser compatível com a natureza e

a complexidade dos produtos, serviços, atividades, processos e sistemas da instituição.

(22)

Art. 2º Para os efeitos desta resolução, define-se como risco operacional a

possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos.

§ 1º A definição de que trata o caput inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros

decorrentes das atividades desenvolvidas pela instituição.

§ 2º Entre os eventos de risco operacional, incluem-se:

I - fraudes internas;

II - fraudes externas;

III - demandas trabalhistas e segurança deficiente do local de trabalho;

IV - práticas inadequadas relativas a clientes, produtos e serviços;

V - danos a ativos físicos próprios ou em uso pela instituição;

(23)

CRASP – Controles Internos -

^{Pág. 23}

VI - aqueles que acarretem a interrupção das atividades da instituição;

VII - falhas em sistemas de tecnologia da informação;

VIII - falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição.

Art. 3º A estrutura de gerenciamento do risco operacional deve prever:

I - identificação, avaliação, monitoramento, controle e mitigação do risco operacional;

II - documentação e armazenamento de informações referentes às perdas associadas ao risco operacional;

III - elaboração, com periodicidade mínima anual, de relatórios que permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do risco operacional;

IV - realização, com periodicidade mínima anual, de testes de avaliação dos

sistemas de controle de riscos operacionais implementados;

(24)

V - elaboração e disseminação da política de gerenciamento de risco operacional ao pessoal da instituição, em seus diversos níveis, estabelecendo papéis e

responsabilidades, bem como as dos prestadores de serviços terceirizados;

VI - existência de plano de contingência contendo as estratégias a serem

adotadas para assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes de risco operacional;

VII - implementação, manutenção e divulgação de processo estruturado de comunicação e informação.

§ 1º A política de gerenciamento do risco operacional deve ser aprovada e revisada, no mínimo anualmente, pela diretoria das instituições de que trata o art. 1º e pelo conselho de administração, se houver.

§ 2º Os relatórios mencionados no inciso III devem ser submetidos à diretoria das

instituições de que trata o art. 1º e ao conselho de administração, se houver, que

devem manifestar-se expressamente acerca das ações a serem implementadas para

correção tempestiva das deficiências apontadas.

(25)

CRASP – Controles Internos -

^{Pág. 25}

§ 3º Eventuais deficiências devem compor os relatórios de avaliação da qualidade

e adequação do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos e de descumprimento de dispositivos legais e regulamentares, que tenham, ou possam vir a ter impactos relevantes

nas demonstrações contábeis ou nas operações da entidade auditada, elaborados pela

auditoria independente, conforme disposto na regulamentação vigente.

Art. 4º A descrição da estrutura de gerenciamento do risco operacional deve ser

evidenciada em relatório de acesso público, com periodicidade mínima anual.

§ 1º O conselho de administração ou, na sua inexistência, a diretoria da instituição deve fazer constar do relatório descrito no caput sua responsabilidade pelas informações divulgadas.

§ 2º As instituições mencionadas no art. 1º devem publicar, em conjunto com as demonstrações contábeis semestrais, resumo da descrição de sua estrutura de

gerenciamento do risco operacional, indicando a localização do relatório citado no caput.

(26)

Art. 5º A estrutura de gerenciamento do risco operacional deve estar capacitada a identificar, avaliar, monitorar, controlar e mitigar os riscos associados a cada instituição individualmente, ao conglomerado financeiro, conforme o Plano Contábil das Instituições do Sistema Financeiro Nacional - Cosif, bem como a identificar e acompanhar os riscos associados às demais empresas integrantes do consolidado econômico-financeiro,

definido na Resolução 2.723, de 31 de maio de 2000.

Parágrafo único. A estrutura, prevista no caput, deve também estar capacitada a identificar e monitorar o risco operacional decorrente de serviços terceirizados relevantes para o funcionamento regular da instituição, prevendo os respectivos planos de

contingências, conforme art. 3º, inciso VI.

Art. 6º A atividade de gerenciamento do risco operacional deve ser executada por unidade específica nas instituições mencionadas no art. 1º.

Parágrafo único. A unidade a que se refere o caput deve ser segregada da unidade executora da atividade de auditoria interna, de que trata o art. 2º da Resolução 2.554, de 24 de setembro de 1998, com a redação dada pela Resolução 3.056, de 19 de dezembro de 2002.

(27)

CRASP – Controles Internos -

^{Pág. 27}

Art. 7º Com relação à estrutura de gerenciamento de risco, admite-se a

constituição de uma única unidade responsável:

I - pelo gerenciamento de risco operacional do conglomerado financeiro e das respectivas instituições integrantes;

II - pela atividade de identificação e acompanhamento do risco operacional das

empresas não financeiras integrantes do consolidado econômico-financeiro.

Art. 8º As instituições mencionadas no art. 1º devem indicar diretor responsável pelo gerenciamento do risco operacional.

Parágrafo único. Para fins da responsabilidade de que trata o caput, admite-se que o diretor indicado desempenhe outras funções na instituição, exceto a relativa à

administração de recursos de terceiros.

Art. 9º A estrutura de gerenciamento do risco operacional deverá ser implementada

até 31 de dezembro de 2007, com a observância do seguinte cronograma:

(28)

I - até 31 de dezembro de 2006: indicação do diretor responsável e definição

da estrutura organizacional que tornará efetiva sua implementação;

II - até 30 de junho de 2007: definição da política institucional, dos processos,

dos procedimentos e dos sistemas necessários à sua efetiva implementação;

III - até 31 de dezembro de 2007: efetiva implementação da estrutura de

gerenciamento de risco operacional, incluindo os itens previstos no art. 3º, incisos III a VII.

Parágrafo único. As definições mencionadas nos incisos I e II deverão ser aprovadas pela diretoria das instituições de que trata o art. 1º e pelo conselho de administração, se houver, dentro dos prazos estipulados.

Art. 10º O Banco Central do Brasil poderá:

I - determinar a adoção de controles adicionais, nos casos de inadequação ou

insuficiência dos controles do risco operacional implementados pelas instituições

mencionadas no art. 1º;

(29)

CRASP – Controles Internos -

^{Pág. 29}

II - imputar limites operacionais mais restritivos à instituição que deixar de

observar, no prazo estabelecido, a determinação de que trata o inciso I.

Art. 11º Esta resolução entra em vigor na data de sua publicação.

Brasília, 29 de junho de 2006.

Henrique de Campos Meirelles Presidente

(30)

Retrospectiva do

Mercado

(31)

CRASP – Controles Internos -

^{Pág. 31}

Casas Bahia é condenada pelo mau uso de dados de cliente

Teve que pagar R$ 4 mil à cliente que teve seu nome inscrito no SPC indevidamente, devido a uma dívida contraída por meio fraudulento.

Fonte: Site Consultor Jurídico - 09/07/07

Carrefour impede que clientes quitem dívidas do cartão antes do vencimento

Cliente queria quitar compra parcelada no Cartão Carrefour. Gerente da loja alegou que o sistema não faz antecipação de parcelados com juros, porque não consegue calcular o desconto.

Fonte: Site do IDEC – Instituto de Defesa do Consumidor – Casos Reais – última consulta em 03/08/07

Cartão de Crédito lidera lista de queixas no Procon-SP

No primeiro semestre de 2007, das 3.929 reivindicações recebidas, 1.674 foram de cartão de crédito, o que representa um aumento de 51,49% em relação ao ano passado.

As principais queixas feitas pelos consumidores foram quanto à cobrança indevida, problemas com contrato e lançamentos não reconhecidos na fatura.

Fonte: Jornal A Tarde On line - 24/07/07

(32)

Como Resultado…

Reflexo direto no ambiente Regulatório – novas legislações, maior exigência durante supervisões… associado às cobranças da sociedade

e pressão dos reguladores nacionais e internacionais.

Procon aplica multa de R$ 197 mil ao Supermercado Eldorado por vender produtos vencidos

Além dos produtos vencidos e sem data de validade, o supermercado foi condenado por utilizar promoção “leve 3 e pague 2”, onde a terceira unidade não era gratuita. O supermercado recorreu até o Tribunal de Justiça, que manteve a decisão.

Fonte: Site Consultor Jurídico - 05/07/07

Procon de Uberaba-MG fecha cerco sobre as financeiras

Iniciou ação cautelar para inibir a propaganda tida como enganosa e abusiva. As propagandas estão sendo consideradas abusivas, por não apresentarem informações que permitam ao consumidor analisar criteriosamente o produto ou serviço oferecido.