O papel da auditoria interna no contexto de Basiléia II* 31 de Julho *connectedthinking

(1)



*connectedthinking

O papel da auditoria interna no contexto de

(2)

Observações importantes

Esta apresentação foi elaborada com a finalidade exclusiva de fornecer orientações gerais sobre assuntos de interesse, não se constituindo em aconselhamento profissional.

Nenhuma ação deve ser tomada com base nas informações aqui contidas sem assessoria profissional especializada. Não garantimos (expressa ou implicitamente) a precisão ou completitude das informações contidas nesta publicação e, de acordo com o estabelecido por lei, a PricewaterhouseCoopers - Brasil, seus membros, funcionários e agentes estão isentos de toda e qualquer responsabilidade por conseqüências de atos ou omissões de qualquer pessoa, que sejam decorrentes de informações contidas nesta publicação ou resultantes de decisões baseadas nas mesmas.

Posicionamentos regulamentares futuros (locais e internacionais) poderão modificar substancialmente as análises aqui apresentadas.

Aproveitamos a oportunidade para manifestar o nosso agradecimento à ABBC em nos receber para demonstrar nossa experiência com o tema. Permanecemos à disposição para qualquer esclarecimento adicional que possa ser requerido em relação ao conteúdo desta

(3)

3 PricewaterhouseCoopers

Julho de 2008

Apresentando-nos…

• Evandro Carreras, Sócio, Advisory Services

• Luciana Medeiros, Senior Manager, Advisory Services

• Rogério Lélis, Senior Manager, Advisory Services

(4)

Nossos contatos para discutir qualquer aspecto relacionado a

esta apresentação:

Evandro Carreras, Sócio, Advisory Services

[email protected] 3674-3577

Luciana Medeiros, Senior Manager, Advisory Services

Rogério Lélis, Senior Manager, Advisory Services

(5)

Conteúdo

Referências ao papel da auditoria interna em Basiléia II

Atribuições da auditoria interna

Requerimentos regulamentares no exterior

Impactos para a auditoria interna

(6)

Conteúdo

Referências ao papel da auditoria interna em Basiléia II

Atribuições da auditoria interna

Requerimentos regulamentares no exterior

Impactos para a auditoria interna

(7)

Julho de 2008

Contexto regulamentar

Processo de autorização para uso de modelos internos

Processo de solicitação de autorização para uso de modelos internos Critérios de elegibilidade para alocação de modelos internos

Pontos-chave para modelos internos de apuração de requerimento de capital

Risco Operacional

Estabelecimento de parcela de requerimento de capital Processo de autorização para uso de modelos internos

Processo de solicitação de autorização para uso de modelos internos

Risco de Mercado

Critérios de elegibilidade para adoção de modelos internos

Risco de Crédito

Processo de autorização para uso de modelos internos – abordagem avançada Processo de autorização para uso de modelos internos – abordagem básica Processo de solicitação de autorização para uso de modelos internos Critérios de elegibilidade para abordagem baseada em classificação internas Pontos-chave para formatação de base de dados para sistemas internos Implementação de estrutura para gerenciamento de risco de crédito

2012 2011 2010 2009 2008 2007

Processo de autorização para uso de modelos internos

Processo de solicitação de autorização para uso de modelos internos Critérios de elegibilidade para alocação de modelos internos

Pontos-chave para modelos internos de apuração de requerimento de capital

Risco Operacional

Estabelecimento de parcela de requerimento de capital Processo de autorização para uso de modelos internos

Processo de solicitação de autorização para uso de modelos internos

Risco de Mercado

Critérios de elegibilidade para adoção de modelos internos

Risco de Crédito

Processo de autorização para uso de modelos internos – abordagem avançada Processo de autorização para uso de modelos internos – abordagem básica Processo de solicitação de autorização para uso de modelos internos Critérios de elegibilidade para abordagem baseada em classificação internas Pontos-chave para formatação de base de dados para sistemas internos Implementação de estrutura para gerenciamento de risco de crédito

2012 2011 2010 2009 2008 2007

O Comunicado 16.137 do Banco Central do Brasil estabelece prazos para divulgação de critérios de elegibilidade de modelos internos, para pontos-chave para base de dados e para o processo de autorização para utilização de modelos proprietários.

(8)

Basiléia II e Auditoria Interna

• Basiléia II:

• Promove o desenvolvimento de metodologias internas para avaliação de riscos.

• Proporciona um menu de abordagens com diferentes níveis de sofisticação.

• Permite flexibilidade, sensibilidade a riscos e requer maior granularidade de dados.

• Com um movimento em direção a avaliações internas, Basiléia II requer um papel fundamental da Auditoria Interna.

(9)

Julho de 2008

International Convergence of Capital Measurement and Capital

Standards – A Revised Framework – Comprehensive Version

• Em relação ao riscos de crédito, as principais referências abrangem (i) o sistema de “rating”

do banco e sua operação e (ii) o processo global de gerenciamento de riscos.

- Parágrafo 443:

• “A auditoria interna, ou uma função igualmente independente, deve revisar no mínimo

anualmente, o sistema de classificação do banco e suas operações, incluindo as operações da função de crédito e as estimativas de PD, LGD e EAD. As áreas de revisão devem ser todas aquelas que devem demonstrar aderência aos requerimentos mínimos aplicáveis. A auditoria interna deve documentar suas constatações.”

- Parágrafo 165 (CRM):

• “(...) Uma revisão do processo global de gerenciamento de riscos deve ocorrer em intervalos regulares (idealmente, no mínimo uma vez ao ano) e deve abordar, de forma específica, no mínimo:

- a integração das mensuraçõesde risco no gerenciamento diário de riscos.

- a validação de qualquer alteração significativa no processo de mensuração de riscos. - a precisão e a integridade dos dados utilizados.

- a verificação da consistência, adequação e confiabilidade das fontes de dadosusadas para em modelos internos, incluindo a independência dessas fontes de dados.

- a precisão e a adequação das premissas de volatilidade.”

(10)

• Em relação a riscos operacionais há parágrafos relevantes:

- Parágrafo 663 (e):Os processos de gerenciamento de riscos operacionais dos bancos e suas

respectivas estruturas de avaliaçãodevem ser objetos de validação e revisão periódica

independente. Estas revisões devem incluir as atividades das unidades de negócio e a função de

gerenciamento de risco operacional.

- Parágrafo 663 (f): A estrutura de avaliação de risco operacional (incluindo os processos de validação interna) do banco deve ser objeto de revisão periódica pelos auditores externos e/ou por supervisores bancários.

- Parágrafo 666 (e):Critérios de qualificação, AMA(“Advanced Measurement Approaches”). Auditores internos e/ou externos devem realizar revisões regulares dos processos de administração de risco operacional e do sistema de mensuração. Essa revisão deve incluir as atividades das unidades de negócios e da função de administração de risco operacional independente.

Referências ao papel da auditoria interna em Basiléia II

International Convergence of Capital Measurement and Capital

Standards – A Revised Framework – Comprehensive Version

(11)

Julho de 2008

• Em relação a riscos de mercado:

- Parágrafo 718 (LXXIV) (i): Uma revisão independente da estrutura de mensuração de risco deve

fazer parte do processo de auditoria interna do banco. Esta revisão deve contemplar as atividades das unidades de negócio e da unidade independente de risco. A revisão do processo de

gerenciamento de risco deve ocorrer regularmente (idealmente, não menos do que uma vez ao ano).

- Parágrafo 687(i): Bancos devem possuirpolíticas e procedimentos claramente definidos e

capazes de determinar quais exposições devem ser consideradas na carteira de negociações

para o cálculo do encargo de capital, assegurando conformidade com os critérios determinados pelo documento de Basiléia e atentando para as capacitações e práticas de gerenciamento de risco da instituição. A conformidade com estas políticas e procedimentos deve ser devidamente

documentada e objeto dos trabalhos periódicos de auditoria interna. Referências ao papel da auditoria interna em Basiléia II

International Convergence of Capital Measurement and Capital

Standards – A Revised Framework – Comprehensive Version

(12)

CEBS -

Committee of European Banking Supervisors

• Guidelines on the implementation, validation and assessment of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches.

- Parágrafo 447: A auditoria interna deve revisar se os sistemas de controle para “ratings” internos

e parâmetros relacionados são robustos (Anexo VII, Parte 4, Parágrafo 130 do CRD – “Capital Requirement Directive”). Deve existir um entendimento apropriado de todos os processos do sistema de “rating”, incluindo aqueles que geram as estimativas dos parâmetros de risco. Como parte de sua revisão dos mecanismos de controle, a auditoria interna avaliará a profundidade, extensão e qualidade dos trabalhos relacionados a função de controle de risco de crédito. A auditoria interna deve também conduzir testes que assegurem que as conclusões geradas pela função antes mencionada estão bem fundamentadas. Adicionalmente, deve revisar a estrutura de TI e manutenção de dados. Para instituições que utilizam modelos estatísticos, a auditoria interna deve realizar testes que garantam a integridade do processo de entrada de dados.

- Parágrafo 448: A auditoria interna ou outra unidade de auditoria independentedeve informar à alta

administração, no mínimo anualmente, a adequação do banco frente aos requerimentos para utilização de modelos IRB (“Internal Rating-Based”) para riscos de crédito.

(13)

Julho de 2008

CEBS

-Committee of European Banking Supervisors

• Guidelines on the implementation, validation and assessment of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches.

- Parágrafo 449: Com o intuito de fortalecer a sua independência, a auditoria interna não deve

estar diretamente envolvida nos processos de seleção de modelos.Embora não relacionada a questão de independência (mas de credibilidade), a unidade de auditoria interna deve ocupar posição elevada na organização e possuir indivíduos com habilidades e experiências requeridas.

(14)

BIS -

Bank for International Settlements

• Internal audit in banks and the supervisor’s relationship with auditors: A survey, 2002.

- Esta pesquisa conduzida pelo BIS com 71 instituições financeiras em 13 países identificou que há consenso de que é parte do escopo das atividades da auditoria interna, entre outros elementos:

• A aplicação e a efetividade dos procedimentos de gerenciamento de riscos;

• As metodologias de avaliação de riscos; e

• O sistema de determinação de capital mínimo em função das estimativas de risco.

(15)

Conteúdo

Referências ao papel da auditoria interna em Basiléia II

Atribuições da auditoria interna

Requerimentos regulamentares no exterior

Impactos para a auditoria interna

(16)

Atribuições da auditoria interna –

benchmarking

• A PricewaterhouseCoopers realizou uma pesquisa com 17 bancos europeus, procurando identificar diferenças nas abordagens da auditoria interna em relação ao Novo Acordo de Capital da Basiléia.

Atribuições da auditoria interna

• Parte da pesquisa dedicou-se a identificar o envolvimento da auditoria

interna na revisão da estrutura de “ratings” internos (desenho, operações, independência).

• O resultado demonstrou que 75% dos departamentos de auditoria

(17)

Julho de 2008

Uma segunda etapa desta avaliação dedicou-se a avaliar o escopo da revisão da

estrutura de “ratings” internos. O gráfico abaixo indica que o papel da auditoria interna possui como escopo a integridade de todo o processo, assim como aspectos de

suporte (metodologia e sistemas). O aspecto de dados deverá ser alterado em função das diretrizes emitidas pelo CEBS CP10.

0% 20% 40% 60% 80% 100% Funcionalidade Processos Sistemas Metodologia Dados Sim Não

(18)

0% 20% 40% 60% 80% 100%

Verificar se os padrões e as políticas de validação são cumpridas

Validação de modelos de risco, incluindo dados e metodologia

Verificar se os modelos de riscos são validos por função independente

Verificar se os modelos de risco são validados por terceiros ou auditores externos

Sim Não

A responsabilidade da auditoria interna relaciona-se em avaliar se as políticas de

validação de modelos estão em vigor. Entretanto, uma porção significativa dos bancos solicitará à auditoria interna que valide os modelos de risco ou que garanta que os modelos são validados por uma função independente, como risco e controle.

(19)

19 PricewaterhouseCoopers Julho de 2008

Outras atribuições

• Auditoria: • Projeto de Basiléia II • Estrutura de Basiléia II

(20)

Auditoria do Projeto de Basiléia II

• Escopo

- Gerenciamento do projeto

- Adequação de recursos e disponibilidade - Governança

- Envolvimento da alta administração - Atendimento a requerimentos mínimos

* Não é uma exigência uma regulamentar.

(21)

Julho de 2008

Auditoria da Estrutura de Basiléia II

• Governança

- Segregação de funções, independência.

- Envolvimento da alta administração.

• Integração com a gestão (use test)

- Utilização efetiva em processos internos.

• Gerenciamento de dados e controles.

• Modelos internos de rating

- Desenho - Operação

- Relação com parâmetros de risco. • Processos de suporte

- Calculadora de RWA e controles - Procedimentos de CRM (credit

risk mitigation). • Disclosure.

(22)

Conteúdo

Referências ao papel da auditoria interna em Basiléia II

Atribuições da auditoria interna

Requerimentos regulamentares no exterior

Impactos para a auditoria interna

Iniciativas

(23)

Julho de 2008

Enfoque do Supervisor no exterior

• O Supervisor espera que os departamentos de Auditoria Interna possuam experiência, recursos humanos e técnicos adequados para a realização das auditorias.

– “Reguladores não irão inspecionar os modelos de gerenciamento de riscos sem a revisão preliminar da Auditoria Interna.”

(24)

Supervisões apoiadas em revisões conduzidas por 3 áreas

• Auditoria interna • Auditoria externa • Unidade Validação de modelos • Estabelecimento de

aspectos que devem ser cobertos em suas revisões periódicas

Requerimentos regulamentares no exterior

Validação de modelos Auditoria Externa Auditoria Interna

(25)

Julho de 2008

Relatório específico de Auditoria Interna em relação a métodos

baseados em avaliações internas

O Auditor Interno deverá emitir um relatório específico para cada modelo, no qual se pronunciará explicitamente sobre, no mínimo, os seguintes aspectos:

- Integração dos modelos/estimativas com a gestão (use test); - As bases de dados utilizadas; e

- O entorno tecnológico.

(26)

Para modelos padronizados

• Verificação:

- Segregação de exposições

- Correta aplicação de fatores de risco, aplicação de regras regulamentares etc.

(27)

Julho de 2008

Unidade de Validação

• A instituição financeira deve contar com um processo interno de revisão e

validação da efetividade dos modelos desenvolvidos por uma unidade interna específica.

• É necessário desenhar uma unidade interna independente.

especificando suas funções, posição na organização, relação com as unidades de gestão de, auditoria etc.

• A atividade desta unidade deve ser ocorrer de forma recorrente cobrindo aspectos como: backtesting, stress testing, estabilidade, capacidade preditiva, etc.

(28)

Unidade de Validação – cont.

• Procedimentos de validação:

• Efetuar verificações de tipo quantitativo para determinar a capacidade dos modelos para serem utilizados

• Desenvolver os planos de provas para os modelos a serem implantados. • Analisar, recorrentemente, dados e feitos observados, tendências e

sensibilidades, comparações com fontes de informação alternativas, e

diferenças entre taxas estimadas e reais, e proporcionar recomendações.

• Revisar os procedimentos de atribuição de ratings, integração dos modelos na gestão e os informes utilizados.

(29)

Julho de 2008

Unidade de Validação – cont.

• Outras funções:

• Verificar o cumprimento de requerimentos do Supervisor e requerimentos mínimos estabelecidos no novo Acordo de Capital de Basiléia.

• Analisar os sistemas de “rating” e “scoring” e a metodologia que os fundamenta, analisando a existência de outras alternativas.

• Opinar sobre a qualidade, idoneidade, integridade e coerência dos dados

utilizados pelos modelos.

• Avaliar o ambiente de governança corporativa (adequado envolvimento da organização, especialmente da Alta Direção, no desenvolvimento,

acompanhamento e utilização dos modelos), e a adequação da estrutura organizacional da instituição.

• Avaliar o entorno tecnológico relacionado com os sistemas de “rating” e “scoring” das instituições.

(30)

Relação entre Auditoria Interna e Unidade de Validação

• Devem ser independentes.

• Devem trabalhar de forma coordenada e, alguns casos, a unidade de validação faz uso de testes realizados pela Auditoria Interna.

• A Unidade de Validação é escopo da Auditoria Interna.

(31)

Conteúdo

Referências ao papel da auditoria interna em Basiléia II

Atribuições da auditoria interna

Requerimentos regulamentares no exterior

Impactos para a auditoria interna

(32)

Desafios

• Auditoria interna de Basiléia II é um processo complexo, exigente e rigoroso em termos de recursos (internos e externos).

• Programas de trabalho específicos e abrangentes:

• Dados • Sistemas • Processos • Governança • Compliance

• Requerimentos regulamentares – impacto na qualificação e na quantidade da equipe de Auditoria Interna:

• Equipe: quantidade e qualificação. • Metodologia

(33)

Julho de 2008

Interpretação da Resolução n

o

_{3.380 - Dispõe sobre a}

implementação de estrutura de gerenciamento do risco

operacional.

Resolução

“....Art. 3º A estrutura de

gerenciamento do risco operacional deve prever:....

Entendimento do auditor

• A estrutura de gerenciamento de risco operacional compreende todo o

Framework – Política, Estrutura

Organizacional, Modelagem, Sistema, Procedimentos, Informação e

Comunicação, Cultura.

(34)

Interpretação da Resolução n

o

_{3.380 - Dispõe sobre a}

implementação de estrutura de gerenciamento do risco

operacional (continuação).

Resolução

I, II….

III - elaboração, com periodicidade mínima anual, de relatórios que

permitam a identificação e correção

tempestiva das deficiências de controle e de gerenciamento do risco

operacional;....”

• Participantes:

• Profissionais com a função de avaliação de Controles Internos • Objetivo: Avaliação dos controles e

da sua eficiência por meio de metodologias específicas.

(35)

Julho de 2008

Interpretação da Resolução n

o

_{3.380 - Dispõe sobre a}

implementação de estrutura de gerenciamento do risco

operacional (continuação).

Resolução

....IV - realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de controle de riscos operacionais implementados; V, VI…” Entendimento do auditor • Participantes: • Risco Operacional • Auditoria Interna

• Objetivo: Testes de avaliação dos sistemas de controle de riscos operacionais implementados.

(36)

Interpretação da Resolução n

o

_{3.380 - Dispõe sobre a}

implementação de estrutura de gerenciamento do risco

operacional (continuação).

Resolução

§ 2º Os relatórios mencionados no inciso III devem ser submetidos à diretoria das instituições de que trata o art. 1º e ao conselho de administração, se houver, que devem manifestar-se expressamente acerca das ações a serem implementadas para correção tempestiva das deficiências

apontadas.”

• Participantes: Diretoria e/ou Conselho de Administração

• Objetivo: Comentários dos

participantes em relação as análises efetuadas e a adequação dos planos de ação para resolução das

deficiências encontradas.

(37)

Julho de 2008

Interpretação da Resolução n

o

_{3.380 - Dispõe sobre a}

implementação de estrutura de gerenciamento do risco

operacional (continuação).

Resolução

“....Art. 3º A estrutura de gerenciamento do risco operacional deve prever:....

§ 3º Eventuais deficiências devem compor os relatórios de avaliação da qualidade e adequação do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos e de

descumprimento de dispositivos legais e regulamentares, que tenham, ou possam vir a ter impactos relevantes nas

demonstrações contábeis ou nas operações da entidade auditada, elaborados pela

auditoria independente, conforme disposto na regulamentação vigente.”

• Participantes:Auditor Externo

• Objetivo: No contexto de seu exame de auditoria, avalia os trabalhos efetuados por Controles Internos/Auditoria Interna e os respectivos comentários da Diretoria e/ou Conselho de Administração. Caso aplicável, inclui recomendações no

relatório sobre a avaliação da qualidade e adequação do sistema de controles

internos, requerido pela Resolução 3.380.

Res. no ₃₁₉₈

(38)

Interpretação da Resolução no _{3.380 - Dispõe sobre a implementação}

de estrutura de gerenciamento do risco operacional (continuação).

Diversas áreas da instituição financeira, incluindo Risco Operacional Controles Internos e Auditoria Interna Diretoria e/ou

Conselho Auditor Externo

Controles Internos implementados Avalia os controles dos processos relacionados Ratifica os planos de ações elaborados Analisa os trabalhos efetuados e inclui na CCI, quando necessário

(39)

Julho de 2008

Resolução 3.464 – Riscos de mercado

Art. 5o. – “O cumprimento da política e dos procedimentos de que trata o caput deve ser devidamente documentado e objeto de verificação pela auditoria interna.”

(40)

• Deficiências nas integrações de sistemas.

• Utilização excessiva de planilhas eletrônicas.

• Fragilidades no ambiente geral de sistemas.

• Dificuldades na obtenção de informação:

• relacionamento.

• sistemas carregados.

• inexistência de back-up.

• Falta de conciliações com contabilidade ou outras fontes disponíveis.

No processo de revisão existem dificuldades e preocupações

do auditor quanto a:

(41)

Julho de 2008

• Limitação do número de

profissionais da área de ORM.

• Treinamento dos auditores

internos e da área de controles internos.

• Insuficiência de orçamento para realização dos trabalhos.

• Ausência de abertura para reflexão.

• Tratamento de recomendações como críticas.

No processo de revisão existem dificuldades e preocupações

do auditor quanto a:

(42)

Conteúdo

Referências ao papel da auditoria interna em Basiléia II

Atribuições da auditoria interna

Requerimentos regulamentares no exterior

Impactos para a auditoria interna

(43)

Julho de 2008

Iniciativas das auditorias internas no Brasil e no Exterior

• Capacitação em relação do Novo Acordo de Capital da Basiléia.

• Planejamento de atuação.

• Elaboração de análises de impacto sobre capacitação de pessoal,

metodologias e ferramentas de auditoria.

• Elaboração de programas de trabalho e de relatórios de auditoria específicos.

• Contratação de revisões externas.

(44)