Raúl García de Blas Risco Operacional e Controle Interno: Buscando sinergias

(1)

Raúl García de Blas

Risco Operacional e Controle Interno:

Buscando sinergias

(2)

Risco Operacional e Controle Interno…

Duas faces de uma mesma moeda?

Risco Operacional

Riscos

Controle Interno

Controles

(3)

As funções de Risco Operacional e Controle Interno apresentam características diferentes…

• Orientado à gestão do risco: reduzir perdas por risco operacional e reduzir a exposição ao risco (com relação ao apetite/tolerância definida).

• Orientado a reforçar o ambiente de controle para a mitigação dos riscos de maneira integrada: avalia a

eficácia do ambiente de controle de riscos.

Risco Operacional Controle Interno

Desenvolvimento sob modelo de 3 linhas de defesa com uma

unidade de Risco Operacional que exerce o papel de 2ª. Linha

de Defesa.

Distintos modelos: Existência de áreas de Controle Interno, ou modelo com diferentes funções

de controle implementadas na organização.

(4)

…porém, se desenvolvem sob um “campo de jogo” comum e através de metodologias e atuações com alto grau de convergência

Entre 80% - 90% dos riscos são de natureza operacional

▪

Identificação,

avaliação e gestão dos riscos

operacionais.

▪

Execução dos

controles, avaliação dos mesmos e

identificação de deficiências.

Metodologias similares:

Identificação de riscos e controles, self assessment, indicadores, incidentes, etc.

O reforço do modelo de controle implica a mitigação

de riscos.

1ª Linha de Defesa

(5)

• Consistência na gestão interna e perante terceiros

• Eficiência em um contexto de recursos limitados SINERGIAS

Para quê?

CONSISTÊNCIA

EFICIÊNCIA

Surge a necessidade de se estabelecer um modelo de convergência com o objetivo de encontrar sinergias

(6)

Através da revisão dos 4 componentes principais do modelo se identificam

os principais focos de sinergias

Organização e Governança

Metodologia Ferramentas

de Gestão

Modelos de Informação

(7)

Existência de diferentes modelos organizacionais especialmente relacionados à função de Controle Interno, identificando 3 possíveis modelos…

Modelos de Informação Metodologia

Ferramentas de Gestão

Desde a 3ª LD

(setor não financeiro)

CEO

Diretorias

Comissão Auditoria e Controle

....

Risco Operacional Compliance Auditoria Auditoria e Controle

Integrada em Finanças ou na Diretoria de

“controle”

CEO

Finanças

Controle Interno CEO

CRO

Risco operacional e Controle Interno

Comissão de Auditoria Auditoria Interna

Integrada com Risco Operacional

A B C

Business Areas

CRO Risco operacional Business Areas

Comissão de Auditoria Auditoria Interna Finanças

(8)

….que normalmente reportam a diferentes Comitês

Comitê de Riscos

Comitê de Risco Operacional

Comitê de Auditoria e Compliance

Em muitos casos não possui um Comitê

específico

(9)

Modelos de Informação Ferramentas de

Gestão Metodologia

Mapa de riscos

EVENTOS INDICADORES Recomendações AI

…

Risk owner Control owner

Integrados

PLANOS DE AÇÃO

Ambas funções fazem parte do ciclo de identificação, avaliação e gestão de riscos e controles, cada um com objetivos e conteúdos diferentes….

(10)

EVENTOS INDICADORES Recomendações AI

…

Risk owner Control owner

Consistentes

Ambas funções fazem parte do ciclo de identificação, avaliação e gestão de riscos e controles, cada um com objetivos e conteúdos diferentes….

PLANOS DE AÇÃO

(11)

…porém, com aspectos metodológicos compartilhados entre ambos

• Tipologias de risco

• Estrutura organizacional

• Produtos, Segmentos, etc.

Taxonomias

• Mapa de processos comum para toda a instituição, entretanto o nível de agregação com o qual se trabalha pode variar (processo, sub processo, tarefas, etc.)

Mapa de processos

• O mapa de riscos comum, seja originado por Risco Operacional ou por Controle Interno, deve ser único para toda a organização

(12)

A principal dificuldade para a convergência é o enfoque Top Down, próprio da gestão de Risco Operacional e Bottom Up, próprio de Controle Interno

Responsáveis definem os riscos chave de cada um dos processos / objetivos

Bottom Up

Risco

Operacional Controle Interno

Top Down

Riscos definidos pelos donos dos controles com base em suas tarefas diárias.

(13)

A experiência prática mostra que convergência dos dois enfoques é possível, sempre que se aplique certas receitas

• Definir o conceito de Risco, compartilhado por Risco Operacional e Controle Interno, evitando a inclusão do mapa de control failures.

• Estabelecer a granularidade do mapa de riscos que equilibre sua gestão com o nível de detalhe requerido para uma adequada

identificação de deficiências do modelo de controle.

Granula- ridade

• Assegurar a completude do mapa de riscos através de um exercício que garanta que os riscos definidos cobrem a totalidade de casuísticas identificadas pelo modelo de controle.

Comple- tude Conceito

de risco

(14)

Apesar de haver elementos comuns, as duas funções focam em determinados elementos diferenciais

Gestão

Metodologia Apetite ao risco Captura de eventos de perda

Análise de cenários …

Risco Operacional

Metodologia de teste de aderência dos controles

Identificação de deficiências

Processo de certificação

Controle Interno

…

(15)

O uso de sistemas comuns favorece a consistência entre ambos modelos, existindo assim mesmo necessidades próprias de cada um

• Modelagem de perdas esperadas e inesperadas por risco operacional.

• Análise de cenários e stress test.

• Coeficiente de controle / Dashboard de controle interno.

• Continuous control monitoring.

As soluções GRC facilitam a consistência entre os elementos

comuns: processos, riscos, controles, etc.

 Porém….existem necessidades próprias:

Risk

Governança Compliance

(16)

Base comum para os modelos de informação, porém com distintos usos de acordo com a necessidade de cada função

Metodologia

Modelos de Informação

Risco Operacional

 Acompanhamento do apetite ao risco

 Evolução das perdas por eventos de risco operacional

 Acompanhamento da exposição ao risco

 …

Controle Interno

 Monitoramento das deficiências do modelo de controle interno

 Outputs do processo de certificação

 Acompanhamento do coeficiente de controle

 …

Sempre Embasados em uma base de

informações comum

(17)

Metodologia

Existência de sinergias entre Risco Operacional e Controle Interno, conseguindo consistência da informação nos dois modelos e efetividade em sua implantação

 Mesma informação base: mesmas taxonomias, mapa de processos e

mapa de riscos e metodologias de auto avaliação

Ferramentas de gestão

Modelo de informação

 Plataforma de sistemas comum para o exercício das diferentes funções (incluindo Compliance)

 Mesma informação base utilizada para a geração de relatório.

 Obtenção de conclusões análogas.

 E…Com a organização?

Menos FTE’s (dedicação) Economia de

custos

(18)

Com relação à organização, também existem sinergias, mas isso quer dizer que precisam estar sob a mesma área / função?

• Debaixo de uma mesma diretoria, sem dúvida é mais fácil a obtenção das sinergias.

• Porque a integração pode trazer um risco de canibalização de algumas das funções, perdendo a perspectiva do objetivo diferenciado de cada uma delas.

• Porém, há conteúdo suficiente e diferenciado para serem duas funções autônomas sob um modelo de convergência.

(19)

Estabelecer um modelo de convergência das duas funções gera valor para a Instituição e é necessário em um contexto

como o atual, onde prima a eficiência e a consistência

interna e perante terceiros

(20)

Obrigado!

(21)

Raúl García de Blas

Sócio Riscos Op. e Controles Internos [email protected]

Plaza Pablo Ruiz Picasso 1, Torre Picasso 28020 Madrid, Spain

Tel: +34 91 183 08 00 / Fax: +34 91 183 09 00

Marcos Izena Sócio Brasil

[email protected]

Rua Funchal 418, Edifício E-Tower – conjunto 3101 04551-060 Vila Olímpia - São Paulo, Brazil

Tel: +55 11 5105 0300 / Fax:+55 11 5105 0290

Daniel Favaretto Gerente