Como integrar a estrutura de Controles Internos à gestão de
Risco Operacional
Wagner S. Almeida
Departamento de Supervisão de Bancos e Conglomerados Bancários Divisão de Equipes Especializadas I
Comissão de Gestão de Riscos e Compliance – ABBC
São Paulo, 18 de Dezembro de 2012
2
Agenda
• Introdução
• Evolução e principais referências
• A integração numa área relevante
• Desafios à integração
• Considerações finais
3
Introdução
Proporcionalidade e Definição das Estruturas
• Estruturas de gerenciamento de risco operacional e
de controles internos compatíveis à natureza, porte,
complexidade e perfil de risco da instituição
• Papel fundamental da governança na definição das
estruturas, de seus objetivos e em sua supervisão
4
Introdução
Atendimento à Norma X Efetividade
Políticas e Procedimentos
Papéis e Responsabilidades
Elevados Padrões Éticos
Análise de Dados e Avaliação de Riscos
Revisão e Atualização Periódica
Papel da Auditoria Interna
Suporte às Decisões de Gestão
Avaliação e Controle de Perdas Esperadas
Simulação de Perdas Severas e Gerenciamento de Capital
Otimização dos Controles
Agregar valor à Instituição
5
Introdução
Sistemas de Controles Internos Fracos
Ameaça
Falta de
Prevenção
Incidente Desco-
nhecimento
Falta de
Detecção
Falta de
Proteção
Perda
ou
Dano
6
Introdução
Controles Internos e RO
Ameaça
Conhecida
Incidente
Controles
Inadequados
Perda RO
ou Dano
Ações
Corretivas
Controles
Adequados
Risco
Conhecido
e Coberto
7
Introdução
Apesar de estruturas implantadas, eventos
recentes de perda severa chamam atenção
•Falhas de controles internos e governança fraca
• Fraude interna em Tesouraria
• Fraudes contábeis
• Práticas inadequadas de negócios
• Perdas na fronteira de RO e RM e RC
8
Evolução e principais referências
Controles Internos • Internal Control – Integrated Framework COSO 1992
• Resolução CMN 2.554/1998
• Framework for Internal Control Systems in Banking
Organizations (BCBS 1998)
• Sarbanes-Oxley Act SOx – 2002
• ERM – Gerenciamento de Riscos Corporativos –
Estrutura Integrada – 2004
9
Mantém • 5 componentes
– Ambiente de controle
– Identificação e avaliação de riscos
– Atividades de controle e
segregação de funções
– Informação e comunicação
– Monitoramento e aperfeiçoamento
• Critérios usados na avaliação
da efetividade dos controles
internos
Evolução e principais referências
Controles Internos
COSO – Atualização iniciada em nov/2010
Atualiza • Abordagem baseada em
princípios
• Importância cada vez maior da
tecnologia
• Aprimora conceitos de
governança
• Aprimora considerações de
expectativas antifraude
• Introduz um “6º” componente
“Papeis e Responsabilidades”
10
Evolução e principais referências
Risco Operacional
• Resolução CMN 3.380/2006
• Sound Practices for the Management and Supervision
of Operational Risk (BCBS 2003): “Sound Practices”
11
Evolução e principais referências
Risco Operacional
Principles for the Sound Management of Operational Risk and
the Role of Supervision (BCBS 2011): “Sound Principles”
• Governança apoiada em 3 linhas de defesa: 1º: identificação e gestão do risco inerente em produtos,
atividades, processos e sistemas.
2º: estrutura independente de gerenciamento RO; desafio
aos inputs das linhas de negócios e outputs dos sistemas
de gestão, mensuração e de reporte.
3º: revisão independente e desafios para os sistemas,
processos e controles de gestão de RO.
12
Evolução e principais referências
Risco Operacional
Sound Principles (cont.)
• Forte cultura de gestão de riscos e comunicação
adequada entre as 3 linhas de defesa
•Definição apetite/tolerância a risco operacional
• Auditoria Interna também avaliando a robustez de
processos estabelecidos frente às estratégias da firma
13
Evolução e principais referências
Risco Operacional
Sound Principles (cont.)
• Identificação e avaliação do RO através de:
• Apontamentos de Auditoria
• Dados internos e externos de perdas operacionais
• Auto-avaliações (RSA ou RCSA)
• Mapeamento de processos
• Indicadores de Risco e Performance
• Análise de Cenários
• Mensuração Avançada
• Análise Comparativa
14
Evolução e principais referências
Governança
Principles for enhancing corporate governance
(BCBS 2010)
• Definição de objetivos estratégicos, incluindo apetite /
tolerância a riscos
• Forte relação Gestão de Riscos e Controles Internos
• Estruturas de gestão de riscos e controles internos com
suficiente autoridade, independência, recursos e acesso
ao Conselho de Administração
15
A integração numa área relevante
RO em Atividades de Tesouraria
Guidelines on the management of operational risk in
market-related activities (EBA/CEBS/2010)
• Fraude, operações não autorizadas, produtos novos e
complexos, risco de modelo e volume grande de
operações
• Foco em risco de mercado e fragilidade em risco
operacional
16
A integração numa área relevante
RO em Atividades de Tesouraria
Guidelines (cont.)
Governança
• Estrutura / comitês
• Segregação de funções entre área de negociação e de
suporte, verificação e monitoramento
• Políticas e procedimentos / código de conduta
• Área de controle tem capacidade, autoridade e incentivo
adequados a uma supervisão efetiva
17
A integração numa área relevante
RO em Atividades de Tesouraria
Guidelines (cont.)
Controles Internos
• Regras para atividades do trader
• Processos de confirmação, liquidação e conciliação
• Posições líquidas e brutas
• Adequação e segurança dos sistemas de TI
18
A integração numa área relevante
RO em Atividades de Tesouraria
Guidelines (cont.)
Comunicação Interna
• Reporte de operações suspeitas e de incidentes
materiais e potenciais
• Reportes com independência, qualidade e
tempestividade
19
Desafios à integração
Governança
• Patrocínio insuficiente da alta administração à
integração entre áreas de gestão de risco operacional e
de controles internos
• Autoridade, independência e recursos das áreas de
gestão de risco operacional e controles internos
insuficientes
• Pouco incentivo a uma gestão de riscos proativa e
controles internos contribuindo à prevenção de riscos
• Falta de investimentos na gestão do risco operacional
20
Desafios à integração
Estrutura de Risco Operacional
• Falta de integração entre ferramentas qualitativas
(julgamental) e quantitativas (objetiva) - Infra de TI robusta
• Deficiência na classificação e coleta de perdas
operacionais com limitação à plena sensibilização do risco
incorrido pelas áreas de negócios
• Falta de avaliações qualitativas adequadas à
identificação de eventos extremos plausíveis
• Fluxo inadequado de informações entre Controles
Internos e Risco Operacional
21
Desafios à integração
1º Linha de Defesa
• Incapacidade de gestores de negócio, auxiliados por
agentes de riscos e controles, em identificar os riscos
inerentes em produtos, atividades, processos e sistemas
• Identificação de riscos que não contribua ao
aperfeiçoamento da mensuração baseada em dados
passados
22
Desafios à integração
1º e 2º Linhas de Defesa • Testes / avaliação insuficiente da efetividade e eficácia
de controles implantados para o aperfeiçoamento da
gestão de riscos
• Falta de independência de agentes de riscos e controle
3º Linha de Defesa • Avaliação limitada da robustez dos processos
estabelecidos frente à estratégia da instituição
• Falta de trabalhos de avaliação da estrutura de gestão
do risco operacional
• Acompanhamento insuficiente pelo Comitê de Auditoria
23
Desafios à integração
Treinamento
• Falta de capacitação de agentes de riscos e controles,
de compliance e auditores internos
Tecnologia da Informação
• Insuficiência de sistemas corporativos de tecnologia de
informação e falta de integração entre eles
24
Considerações Finais
• Integração entre as estruturas de controles internos e
de gestão de riscos contribui para a eficiência e
fortalecimento de toda a instituição, cabendo à alta
administração se empenhar na busca desse objetivo
• Estabelecimento de uma forte cultura de gestão de
riscos e controles, com métricas implementadas e
acompanhadas pela Direção naturalmente favorece essa
integração
25
Considerações Finais
• Políticas, processos e limites devem ser
adequadamente estabelecidos e revistos periodicamente
em função do nível de risco operacional assumido ou
tolerado
• O aperfeiçoamento da gestão do risco operacional
depende de que alertas e recomendações dos gestores
de risco operacional sejam considerados pela Direção da
instituição
• Autoconfiança na governança e nos mecanismos de
controle podem resultar em perdas severas
26
Considerações Finais
• As instituições devem buscar o aperfeiçoamento
contínuo de suas estruturas de controles internos e de
risco operacional
• Grandes instituições devem investir em gestão de risco
avançada, propiciando melhores estimativas de
exposição ao risco operacional, contribuindo para a
manutenção de níveis adequados de capital e garantindo
a solidez do sistema financeiro
27
Contato
Obrigado!
Departamento de Supervisão de Bancos e Conglomerados Bancários
Divisão de Equipes Especializadas I