Upload
truongtruc
View
214
Download
0
Embed Size (px)
Citation preview
© 2009 Deloitte
The Risk Intelligent Enterprise™“O papel do CAE e da função de
auditoria interna”
Conferência Anual IPAI
18 de Novembro de 2009
© 2009 Deloitte© 2009 Deloitte2
Agenda
The Risk Intelligent Enterprise™
Contexto do Risco nas Instituições Financeiras
Caso de Estudo – O Auditor interno no suporte ao
Risco de Crédito
Encerramento
Conferência Anual IPAI
© 2009 Deloitte
The Risk Intelligent Enterprise™
“Companies make money by taking
intelligent risks and lose money by
failing to manage risk intelligently”.
© 2009 Deloitte
The Risk Intelligent Enterprise™
Enquadramento
4
“Risco: a probabilidade de perda
ou a menor oportunidade de ganho
causada por factores que afectam
inadvertidamente o cumprimento
dos objectivos da organização.”
Uma Risk Intelligent Enterprise™ é o local onde
todos utilizam o mesmo “par de óculos de Risco”,
partilham uma visão comum sobre Risco e
adoptam uma framework comum para alinhamento
das actividades relacionadas com Risco.
O objectivo principal numa Risk Intelligent
Enterprise™ não é eliminar o contributo que cada
indivíduo tem na Gestão dos Riscos da Organização,
mas sobretudo fomentar a comunicação entre
todos os intervenientes na Gestão de Risco
através numa cultura corporativa de Risk
Intelligence.
Acreditamos que empresas que apenas se focam em
evitar riscos podem sobreviver mas raramente têm
sucesso. Apenas as organizações que forem
capazes de uma gestão inteligente do risco orientada
à preservação e criação de valor serão capazes de
triunfar no contexto actual.
Conferência Anual IPAI
© 2009 Deloitte
The Risk Intelligent Enterprise™
9 princípios para ser uma Risk Intelligent Enterprise™
5 Conferência Anual IPAI
Princípio #1 - Uma definição
comum de Risco
Princípio #2 - Um modelo de
gestão de Risco comum
Princípio #3 - Papéis e
Responsabilidades
Princípio #5 - Responsabilidade dos órgãos de Governance
Princípio #7 - As unidades de negócio são
responsáveis pelos RiscosPrincípio #8 - Funções de suporte ao Risco
Princípio #6 -
Responsabilidade da gestão
executiva
Princípio #4 - Um modelo
comum de suporte
Princípio #9 -
Responsabilidades de
revisão, e monitorização
Risk Governance
Risk Infrastructure & Management
Risk Ownership
“Uma Risk Intelligent
Enterprise™ utiliza
um modelo de gestão
de Risco comum
alinhado com as boas
práticas e com as
principais
expectativas das
áreas da
Organização.”
© 2009 Deloitte
The Risk Intelligent Enterprise™
O papel do Auditor Interno
6
“Apesar de consciente de
que não é o “dono” dos
Riscos, o Auditor Interno
pode desempenhar tarefas
de reassurance de que os
riscos são geridos de
forma eficiente e eficaz e
em conformidade com o
apetite de risco definido”
“Your mission, should you choose to accept it…”
Conferência Anual IPAI
Princípio # 9 [Risk Infrastructure & Management]
Determinadas funções (e.g. Auditoria Interna, Gestão de Risco, Conformidade)
são encarregues da revisão, monitorização do programa de Gestão de Risco e
reporte aos órgãos de governo e gestão da Organização.
Harmonizar
SincronizarRacionalizar
© 2009 Deloitte
The Risk Intelligent Enterprise™
Ambiente de Risco corporativo
7
“A Gestão de Risco é
tradicionalmente focada
na protecção de activos.
Como tal, e em função do
actual estado de
desenvolvimento, a gestão
tem vindo a encarar a
Gestão de Risco como um
custo e um bloqueio ao
crescimento do negócio e
não como um intrumento
de apoio à geração de
valor.”
Valor e Crescimento
Riscos de Governance
Riscos de Estratégia e de
negócio
Riscos Operacionais (operacional, sistemas de informação)
Riscos de infra-estrutura
Riscos de conformidade
Conferência Anual IPAI
Uma linguagem única de risco
O Auditor Interno pode contribuir para uma visão única de risco na
Organização, se direccionar a discussão para as áreas como o crescimento,
margem, rentabilidade, valor de activos e conformidade.
7
© 2009 Deloitte
Contexto do Risco nas Instituições Financeiras
“The risk of not taking action outweighs
the risk of taking action”
© 2009 Deloitte
Contexto do Risco nas Instituições Financeiras
Disposições regulamentares
9
“A adopção de Basileia II
contribui decisivamente
para a alteração da
função Auditoria Interna
nas Instituições
Financeiras. O foco é
assegurar a existência de
capacidade interna para
avaliar, de forma
independente, o sistema de
gestão de risco. Avaliação
enquadrada, após o Aviso
nº5/2008 como parte
integrante do Sistema de
Controlo Interno.”
Conferência Anual IPAI
Regulamentação emitida pelo Banco de Portugal no âmbito da adopção de
Basileia II
Aviso 4/2007 – Alterações ao método de
cálculo dos Fundos Próprios
Instrução 12/2007 – Processo de
Validação Interna de Sistemas de Notação
(Método das Notações Internas)
Aviso 5/2007 – Regras de determinação
dos requisitos mínimos de Fundos
Próprios para Risco de Crédito
Instrução 13/2007 – Operações de
Titularização
Aviso 6/2007 – Grandes Riscos Instrução 14/2007 – Reconhecimento de
Empresas de Investimento, Bolsas,
Câmaras de Compensação, Índices e
Divisas
Aviso 7/2007 – Regras aplicáveis a
operações de titularização
Instrução 15/2007 – Processo de Auto-
avaliação da Adequação do Capital Interno
(ICAAP)
Aviso 8/2007 – Regras de determinação
dos requisitos mínimos de Fundos
Próprios para Risco de Mercado
Instrução 16/2007 – Risco de Taxa de
Juro da Carteira Bancária
Instrução 9/2007 – Processo de
reconhecimento de Agências de Notação
Externa (ECAI)
Instrução 17/2007 – Risco de
Concentração
Instrução 10/2007 – Reconhecimento de
Agências de Notação Externa (ECAI) e
respectivo Mapeamento
Instrução 18/2007 – Testes de esforço
(stress tests)
Instrução 11/2007 – Processo de
Candidatura para Utilização do Método das
Notações Internas (Risco de Crédito) e dos
Métodos Standard e de Medição Avançada
(Risco Operacional)
Instrução 4/2008 – Processo de
Candidatura para a Utilização de Modelos
Internos para Cálculo de Requisitos de
Fundos Próprios para Cobertura de Riscos
de Mercado
Legenda
Referência explícita ao papel da função de AI
Possível participação da função de AI
© 2009 Deloitte
REQUISITOS REGULAMENTARES
Contexto do Risco nas Instituições Financeiras
Papel para a função Auditoria Interna
10
“O papel da função
Auditoria Interna não se
limita ao suporte ao
processo de adopção e
cumprimento dos
requisitos regulamentares,
mas deve reflectir a
alteração verificada no
domínio da gestão, e como
tal, deverão ser
dinamizadas alterações no
domínio do âmbito,
planeamento,
competências e
instrumentos de trabalho.
Conferência Anual IPAI
PE
RF
IL D
E R
ISC
O
Risco de Crédito
Risco de Mercado
Risco Operacional
Validação dos modelos internos
Cálculo de requisitos
mínimos de fundos próprios
Outros riscos
Processo de candidatura à utilização de
modelos avançados
Avaliação do capital
económico e stress testing
Processo de adopção
Mudança do paradigma de actuação
Âmbito do
trabalhoPlaneamento
Competências
e qualificações
Instrumentos
de trabalho
© 2009 Deloitte
Contexto do Risco nas Instituições Financeiras
Risco de crédito
11 Conferência Anual IPAI
• Metodologias:
- Definições de incumprimento (default),
perda, segmentação da carteira, etc.
- Sistemas de scoring e de rating
- Algoritmos de apuramento dos factores
de risco (PD, LGD, EAD, M)
- Algoritmos de apuramento de requisitos
de fundos próprios
• Bases de dados:
- Bases de dados de calibração
- Bases de dados de exposições; e
- Bases de dados históricas de
armazenamento de outputs dos modelos
• Processos de suporte à gestão de risco
e determinação dos fundos próprios
necessários
• Controlos que garantam o bom
funcionamento do sistema
• Meios tecnológicos e humanos, que
possibilitam o funcionamento efectivo do
sistema
Aspectos a considerarREQUISITOS REGULAMENTARES
PE
RF
IL D
E R
ISC
O
Risco de Crédito
Risco de Mercado
Risco Operacional
Validação dos
modelos internos
Cálculo de
requisitos mínimos
de fundos próprios
Outros riscos
Processo de
candidatura à
utilização de
modelos avançados
Avaliação do capital
económico e stress
testing
Processo de adopção
Mudança do paradigma de actuação
Âmbito do
trabalhoPlaneamento
Competências e
qualificações
Instrumentos de
trabalho
© 2009 Deloitte
Contexto do Risco nas Instituições Financeiras
Risco de mercado
12 Conferência Anual IPAI
• Identificação da carteira de activos
detidos para negociação
• Estratégia de negociação para cada
posição/instrumento financeiro
• Políticas e procedimentos para a gestão
activa das posições
• Políticas e procedimentos para o
acompanhamento das posições
• Métodos de avaliação dos activos
• Conceito de cobertura interna e
respectivos impactos
• Cálculo das posições líquidas
• Cálculo dos Requisitos de Fundos
Próprios
• Meios tecnológicos e humanos, que
possibilitam o funcionamento efectivo do
sistema
Aspectos a considerarREQUISITOS REGULAMENTARES
PE
RF
IL D
E R
ISC
O
Risco de Crédito
Risco de Mercado
Risco Operacional
Validação dos
modelos internos
Cálculo de
requisitos mínimos
de fundos próprios
Outros riscos
Processo de
candidatura à
utilização de
modelos avançados
Avaliação do capital
económico e stress
testing
Processo de adopção
Mudança do paradigma de actuação
Âmbito do
trabalhoPlaneamento
Competências e
qualificações
Instrumentos de
trabalho
© 2009 Deloitte
Contexto do Risco nas Instituições Financeiras
Risco Operacional
13 Conferência Anual IPAI
• Categorização de riscos
• Identificação dos eventos de risco
potencial
• Questionários de auto-avaliação
• Definição e utilização de KRI
• Repartição das actividades por segmentos
de actividade e cálculo dos FP
(abordagem standard)
• Identificação e recolha de eventos;
• Identificação e reconciliação com registos
contabilísticos
• Metodologias quantitativas: combinação
das avaliações de peritos com registos
históricos internos e externos de perdas,
tratamento das correlações e de eventos
extremos
• Sistema de informação de gestão
• Mecanismos de governação e tomada de
decisão suportada na avaliação do risco
operacional
Aspectos a considerar
Inclui os riscos operacional, compliance e sistemas de informação.
REQUISITOS REGULAMENTARES
PE
RF
IL D
E R
ISC
O
Risco de Crédito
Risco de Mercado
Risco Operacional
Validação dos
modelos internos
Cálculo de
requisitos mínimos
de fundos próprios
Outros riscos
Processo de
candidatura à
utilização de
modelos avançados
Avaliação do capital
económico e stress
testing
Processo de adopção
Mudança do paradigma de actuação
Âmbito do
trabalhoPlaneamento
Competências e
qualificações
Instrumentos de
trabalho
© 2009 Deloitte
Contexto do Risco nas Instituições Financeiras
Outros riscos
14 Conferência Anual IPAI
• Grau de integração na gestão dos
processos de avaliação e planeamento de
capital
• Avaliação da documentação existente em
termos de metodologias, hipóteses,
procedimentos e métodos quantitativos ou
qualitativos utilizados
• Avaliação das metodologias consideradas
• Validação da razoabilidade dos
pressupostos considerados para a
estratégia da Instituição e outros factores
• Consistência e comparabilidade com os
fundos próprios
• Existência e razoabilidade do plano de
contingência para assegurar a gestão da
actividade e a adequação do capital interno
perante uma recessão ou uma crise
• Avaliação dos meios tecnológicos e
humanos que garantam a adequação e
recorrência do processo
Aspectos a considerar
Inclui os riscos de taxa de juro, câmbio, estratégico e reputacional.
REQUISITOS REGULAMENTARES
PE
RF
IL D
E R
ISC
O
Risco de Crédito
Risco de Mercado
Risco Operacional
Validação dos
modelos internos
Cálculo de
requisitos mínimos
de fundos próprios
Outros riscos
Processo de
candidatura à
utilização de
modelos avançados
Avaliação do capital
económico e stress
testing
Processo de adopção
Mudança do paradigma de actuação
Âmbito do
trabalhoPlaneamento
Competências e
qualificações
Instrumentos de
trabalho
© 2009 Deloitte
Contexto do Risco nas Instituições Financeiras
Mudança de paradigma de actuação
15 Conferência Anual IPAI
• Alargamento do âmbito:- Avaliação do sistema de controlo
interno complementada por especificidades no âmbito do sistema de gestão de riscos
- Inclusão dos processos associados à gestão dos sistemas de informação, aspectos governativos e sistema de informação de gestão
- Foco na avaliação de controlos• Alteração do planeamento através da sua
subordinação à avaliação do risco inerente e residual
• A utilização eficiente de recursos obrigará ao incremento da formação e competências dos auditores internos na sua competência core e a complementá-la com competências adicionais (financeiras, estatísticas, de sistemas de informação)
• A eficiência do processo de auditoria obrigará a investir em novos instrumentos de tratamento massificado de dados e à potenciação da “auditoria contínua à distância”
Aspectos a considerarREQUISITOS REGULAMENTARES
PE
RF
IL D
E R
ISC
O
Risco de Crédito
Risco de Mercado
Risco Operacional
Validação dos
modelos internos
Cálculo de
requisitos mínimos
de fundos próprios
Outros riscos
Processo de
candidatura à
utilização de
modelos avançados
Avaliação do capital
económico e stress
testing
Processo de adopção
Mudança do paradigma de actuação
Âmbito do
trabalhoPlaneamento
Competências e
qualificações
Instrumentos de
trabalho
© 2009 Deloitte
Caso de estudoO Auditor interno no suporte ao Risco de
Crédito
© 2009 Deloitte
Caso de estudo
O Auditor interno no suporte ao Risco de Crédito
17
“A avaliação da auditoria
interna do processo de
concessão de crédito
requer alargamento do
âmbito de actuação da
função, preponderância
no planeamento da
actividade, competências
multidisciplinares e novos
instrumentos de
trabalho.”
Conferência Anual IPAI
Integração na gestão dos sistemas de
apoio à decisão de
crédito (ratings / scorings)
Bases de dados e
procedimentos utilizados para
criação de bases de
dados
Ambiente tecnológico e aplicações de
suporte à concessão de
crédito
•Cumprimento dos
normativos internos
•Validação da
informação utilizada
na concessão e a
sua utilização
•Suficiência dos
controlos existentes
• Integridade e
consistência das
bases de dados
•Revisão da
documentação e
conceitos utilizados
•Validação de dados
•Grau de integração
•Grau de
automatização
•Manutenção da
informação
•Planos de
contingência e
suficiência de
recursos
•Revisão da
documentação
técnica
21 3
Desafios
© 2009 Deloitte
Caso de estudo
Risco de crédito – Integração na gestão
18 Conferência Anual IPAI
Integração na gestão dos sistemas de
apoio à decisão de crédito (ratings / scorings)
Alguns aspectos críticos
Revisão de processos de concessão
de crédito
Supervisão sobre as componentes
qualitativas da classificação
Controlo das operações que não são
sujeitas a avaliação através de modelos
de notação de risco
Aprovação de operações “negadas”
pelos sistemas de apoio à decisão de
crédito
Caducidade de atribuição de ratings e
limites de crédito
Formação
Suporte à informação de gestão
Aspectos governativos e
processuais
Testes a considerar
1. Verificação que os termos em que a
operação é concedida são coerentes com a
classificação obtida (exemplo: comparação de
preços vs risco percebido)
2. Verificação dos inputs para obtenção das
classificações
3. Obtenção de estudos efectuados sobre as
classificações obtidas
4. Obtenção das actas de Comités ou outras
estruturas governativas nas quais se procede
à análise dos estudos efectuados
5. Verificação da coerência dos aspectos
qualitativos existentes nas classificações
efectuadas e o seu impacto no resultado final
6. Obter evidência que os processos de
crédito incluem a classificação de crédito e
que a classificação que vigora corresponde à
efectuada
7. Obter evidência dos casos em que a
decisão de crédito foi inconsistente com a
classificação obtida, avaliar suporte da
decisão tomada e se foram recolhidas as
autorizações adequadas
8. Avaliar resultados das decisões contrárias e
o grau de monitorização sobre estes
resultados
© 2009 Deloitte
Caso de estudo
Risco de crédito – Bases de dados
19 Conferência Anual IPAI
Testes a considerar
1. Verificação que as operações consideradas
cumprem os critérios para pertencer à base de
dados e que todas as que estão nas fontes
originárias que cumprem os critérios foram
consideradas
2. Verificação da suficiência (histórico de
dados) e respectiva qualidade
3. Verificação da inexistência de duplicação de
operações ou de clientes dentro de um
mesmo segmento ou em segmentos
diferentes
4. Verificação da coerência entre a definição
de default e requisitos regulamentares, e
validação da estabilidade do critério
5. Verificação da correcta implementação da
definição e aplicação às operações
6. Verificação das reconciliações da
informação constante das bases de dados
com dados contabilísticos ou de informação
de gestão no processo de construção do
histórico
7. Recálculo das notações de risco
8. Verificação da correcta atribuição dos
factores de risco às operações em função das
suas características e segmentação
Bases de dados e procedimentos utilizados para
criação de bases de dados
Alguns aspectos críticos
Coerência dos dados obtidos de
diversas bases de dados
Inexistência de cópias das fontes de
dados em virtude de processos ad-hoc
de extracção
Filtros efectuados sobre os dados
Processos de extracção pouco
automatizados, com poucos controlos
e “nenhumas” evidências
Reconciliação dos dados
Metodologias de cálculo
© 2009 Deloitte
Caso de estudo
Risco de crédito – Ambiente tecnológico
20 Conferência Anual IPAI
Testes a considerar
1. Análise do nível de automatização nos
processos de interface
2. Avaliação da documentação técnica sobre
funcionamento dos processos de interface
3. Avaliação dos controlos existentes para
garantir a integridade dos dados (controlo por
somas de campos numéricos ou número de
registos)
4. Identificação e análise dos procedimentos
existentes para evitar que alterações nos
sistemas provoquem disrupções
5. Análise da capacidade operacional dos
sistemas suporte sem assistência humana
6. Avaliação da capacidade das bases de
dados gerirem a informação e a capacidade
de albergar novos dados
7. Avaliação da capacidade de processamento
8. Avaliação da capacidade de incorporar
novos modelos
9. Análise da metodologia utilizada no
desenvolvimento de software e gestão de
bases de dados (controlos gerais informáticos)
10. Avaliação dos instrumentos de auditoria ao
sistema desenvolvidos
Ambiente tecnológico e aplicações de
suporte ao modelo
Alguns aspectos críticos
Interfaces entre aplicações
Disponibilidade para utilização
Metodologia e procedimentos de
desenvolvimento
Escalabilidade
Manutenção
Administração das bases de dados
Documentação técnica
Gestão das contingências
© 2009 Deloitte
Encerramento
“Missão Impossível?”
© 2009 Deloitte
• Uma visão única de risco
• Assegurar Reassurance e não Assurance
• O papel do auditor interno é fundamental
num contexto legal e normativo cada vez
mais complexo
• Necessidade de mudança de alguns
paradigmas de actuação
• Importância de adopção de uma abordagem
integrada de suporte às várias áreas de
Risco da organização
• A verificação, revisão e avaliação no contexto
da gestão de Risco de Crédito são factores
críticos para a sua eficiência
22 Conferência Anual IPAI
Qual é o seu papel?
© 2009 Deloitte
A expressão Deloitte refere-se à Deloitte Touche Tohmatsu, uma Swiss Verein, ou a uma ou mais entidades da sua rede de firmas membro, sendo cada uma delas uma
entidade legal separada e independente. Para aceder à descrição detalhada da estrutura legal da Deloitte Touche Tohmatsu e suas firmas membro consulte
www.deloitte.com/about.
Esta publicação contém apenas informação geral, pelo que nem a Deloitte Touche Tohmatsu, nem qualquer das suas firmas membro, respectivas subsidiárias e participadas,
estão através desta publicação, a prestar serviços de auditoria, consultoria fiscal, consultoria ou corporate finance, aconselhamento legal, ou outros serviços profissionais ou
aconselhamento. Esta publicação não substitui tal aconselhamento ou a prestação daqueles serviços profissionais, nem a mesma deve ser usada como base para actuar ou
tomar decisões que possam afectar o vosso património ou negócio. Antes de tomarem qualquer decisão ou acção que possa afectar o vosso património ou negócio, devem
consultar um profissional qualificado.
Em qualquer caso, nem a Deloitte Touche Tohmatsu, nem qualquer das suas firmas membro, respectivas subsidiárias ou participadas serão responsáveis por quaisquer danos
ou perdas sofridos em resultado de acções ou tomadas de decisão somente com base nesta publicação.
23
Deloitte & Associados, SROC, S.A.
Edifício Atrium Saldanha
Praça Duque de Saldanha, 1 - 6º
1050-094 Lisboa
Portugal
Tel: +(351) 21 042 75 00
Mobile: +(351) 96 210 31 53
Fax: +(351) 21 042 79 50
www.deloitte.com/pt
Member of
Deloitte Touche Tohmatsu
Bruno Horta Soares
Manager
Deloitte Consultores, S.A.
Edifício Atrium Saldanha
Praça Duque de Saldanha, 1 - 6º
1050-094 Lisboa
Portugal
Tel: +(351) 21 042 25 21
Mobile: +(351) 93 620 55 62
Fax: +(351) 21 042 79 50
www.deloitte.com/pt
Member of
Deloitte Touche Tohmatsu
Miguel Morais
Senior Manager
Conferência Anual IPAI