Como integrar a estrutura de Controles Internos à gestão de

Risco Operacional

Wagner S. Almeida

Departamento de Supervisão de Bancos e Conglomerados Bancários Divisão de Equipes Especializadas I

Comissão de Gestão de Riscos e Compliance – ABBC

São Paulo, 18 de Dezembro de 2012

2

Agenda

• Introdução

• Evolução e principais referências

• A integração numa área relevante

• Desafios à integração

• Considerações finais

3

Introdução

Proporcionalidade e Definição das Estruturas

• Estruturas de gerenciamento de risco operacional e

de controles internos compatíveis à natureza, porte,

complexidade e perfil de risco da instituição

• Papel fundamental da governança na definição das

estruturas, de seus objetivos e em sua supervisão

4

Introdução

Atendimento à Norma X Efetividade

Políticas e Procedimentos

Papéis e Responsabilidades

Elevados Padrões Éticos

Análise de Dados e Avaliação de Riscos

Revisão e Atualização Periódica

Papel da Auditoria Interna

Suporte às Decisões de Gestão

Avaliação e Controle de Perdas Esperadas

Simulação de Perdas Severas e Gerenciamento de Capital

Otimização dos Controles

Agregar valor à Instituição

5

Introdução

Sistemas de Controles Internos Fracos

Ameaça

Falta de

Prevenção

Incidente Desco-

nhecimento

Falta de

Detecção

Falta de

Proteção

Perda

ou

Dano

6

Introdução

Controles Internos e RO

Ameaça

Conhecida

Incidente

Controles

Inadequados

Perda RO

ou Dano

Ações

Corretivas

Controles

Adequados

Risco

Conhecido

e Coberto

7

Introdução

Apesar de estruturas implantadas, eventos

recentes de perda severa chamam atenção

•Falhas de controles internos e governança fraca

• Fraude interna em Tesouraria

• Fraudes contábeis

• Práticas inadequadas de negócios

• Perdas na fronteira de RO e RM e RC

8

Evolução e principais referências

Controles Internos • Internal Control – Integrated Framework COSO 1992

• Resolução CMN 2.554/1998

• Framework for Internal Control Systems in Banking

Organizations (BCBS 1998)

• Sarbanes-Oxley Act SOx – 2002

• ERM – Gerenciamento de Riscos Corporativos –

Estrutura Integrada – 2004

9

Mantém • 5 componentes

– Ambiente de controle

– Identificação e avaliação de riscos

– Atividades de controle e

segregação de funções

– Informação e comunicação

– Monitoramento e aperfeiçoamento

• Critérios usados na avaliação

da efetividade dos controles

internos

Evolução e principais referências

Controles Internos

COSO – Atualização iniciada em nov/2010

Atualiza • Abordagem baseada em

princípios

• Importância cada vez maior da

tecnologia

• Aprimora conceitos de

governança

• Aprimora considerações de

expectativas antifraude

• Introduz um “6º” componente

“Papeis e Responsabilidades”

10

Evolução e principais referências

Risco Operacional

• Resolução CMN 3.380/2006

• Sound Practices for the Management and Supervision

of Operational Risk (BCBS 2003): “Sound Practices”

11

Evolução e principais referências

Risco Operacional

Principles for the Sound Management of Operational Risk and

the Role of Supervision (BCBS 2011): “Sound Principles”

• Governança apoiada em 3 linhas de defesa: 1º: identificação e gestão do risco inerente em produtos,

atividades, processos e sistemas.

2º: estrutura independente de gerenciamento RO; desafio

aos inputs das linhas de negócios e outputs dos sistemas

de gestão, mensuração e de reporte.

3º: revisão independente e desafios para os sistemas,

processos e controles de gestão de RO.

12

Evolução e principais referências

Risco Operacional

Sound Principles (cont.)

• Forte cultura de gestão de riscos e comunicação

adequada entre as 3 linhas de defesa

•Definição apetite/tolerância a risco operacional

• Auditoria Interna também avaliando a robustez de

processos estabelecidos frente às estratégias da firma

13

Evolução e principais referências

Risco Operacional

Sound Principles (cont.)

• Identificação e avaliação do RO através de:

• Apontamentos de Auditoria

• Dados internos e externos de perdas operacionais

• Auto-avaliações (RSA ou RCSA)

• Mapeamento de processos

• Indicadores de Risco e Performance

• Análise de Cenários

• Mensuração Avançada

• Análise Comparativa

14

Evolução e principais referências

Governança

Principles for enhancing corporate governance

(BCBS 2010)

• Definição de objetivos estratégicos, incluindo apetite /

tolerância a riscos

• Forte relação Gestão de Riscos e Controles Internos

• Estruturas de gestão de riscos e controles internos com

suficiente autoridade, independência, recursos e acesso

ao Conselho de Administração

15

A integração numa área relevante

RO em Atividades de Tesouraria

Guidelines on the management of operational risk in

market-related activities (EBA/CEBS/2010)

• Fraude, operações não autorizadas, produtos novos e

complexos, risco de modelo e volume grande de

operações

• Foco em risco de mercado e fragilidade em risco

operacional

16

A integração numa área relevante

RO em Atividades de Tesouraria

Guidelines (cont.)

Governança

• Estrutura / comitês

• Segregação de funções entre área de negociação e de

suporte, verificação e monitoramento

• Políticas e procedimentos / código de conduta

• Área de controle tem capacidade, autoridade e incentivo

adequados a uma supervisão efetiva

17

A integração numa área relevante

RO em Atividades de Tesouraria

Guidelines (cont.)

Controles Internos

• Regras para atividades do trader

• Processos de confirmação, liquidação e conciliação

• Posições líquidas e brutas

• Adequação e segurança dos sistemas de TI

18

A integração numa área relevante

RO em Atividades de Tesouraria

Guidelines (cont.)

Comunicação Interna

• Reporte de operações suspeitas e de incidentes

materiais e potenciais

• Reportes com independência, qualidade e

tempestividade

19

Desafios à integração

Governança

• Patrocínio insuficiente da alta administração à

integração entre áreas de gestão de risco operacional e

de controles internos

• Autoridade, independência e recursos das áreas de

gestão de risco operacional e controles internos

insuficientes

• Pouco incentivo a uma gestão de riscos proativa e

controles internos contribuindo à prevenção de riscos

• Falta de investimentos na gestão do risco operacional

20

Desafios à integração

Estrutura de Risco Operacional

• Falta de integração entre ferramentas qualitativas

(julgamental) e quantitativas (objetiva) - Infra de TI robusta

• Deficiência na classificação e coleta de perdas

operacionais com limitação à plena sensibilização do risco

incorrido pelas áreas de negócios

• Falta de avaliações qualitativas adequadas à

identificação de eventos extremos plausíveis

• Fluxo inadequado de informações entre Controles

Internos e Risco Operacional

21

Desafios à integração

1º Linha de Defesa

• Incapacidade de gestores de negócio, auxiliados por

agentes de riscos e controles, em identificar os riscos

inerentes em produtos, atividades, processos e sistemas

• Identificação de riscos que não contribua ao

aperfeiçoamento da mensuração baseada em dados

passados

22

Desafios à integração

1º e 2º Linhas de Defesa • Testes / avaliação insuficiente da efetividade e eficácia

de controles implantados para o aperfeiçoamento da

gestão de riscos

• Falta de independência de agentes de riscos e controle

3º Linha de Defesa • Avaliação limitada da robustez dos processos

estabelecidos frente à estratégia da instituição

• Falta de trabalhos de avaliação da estrutura de gestão

do risco operacional

• Acompanhamento insuficiente pelo Comitê de Auditoria

23

Desafios à integração

Treinamento

• Falta de capacitação de agentes de riscos e controles,

de compliance e auditores internos

Tecnologia da Informação

• Insuficiência de sistemas corporativos de tecnologia de

informação e falta de integração entre eles

24

Considerações Finais

• Integração entre as estruturas de controles internos e

de gestão de riscos contribui para a eficiência e

fortalecimento de toda a instituição, cabendo à alta

administração se empenhar na busca desse objetivo

• Estabelecimento de uma forte cultura de gestão de

riscos e controles, com métricas implementadas e

acompanhadas pela Direção naturalmente favorece essa

integração

25

Considerações Finais

• Políticas, processos e limites devem ser

adequadamente estabelecidos e revistos periodicamente

em função do nível de risco operacional assumido ou

tolerado

• O aperfeiçoamento da gestão do risco operacional

depende de que alertas e recomendações dos gestores

de risco operacional sejam considerados pela Direção da

instituição

• Autoconfiança na governança e nos mecanismos de

controle podem resultar em perdas severas

26

Considerações Finais

• As instituições devem buscar o aperfeiçoamento

contínuo de suas estruturas de controles internos e de

risco operacional

• Grandes instituições devem investir em gestão de risco

avançada, propiciando melhores estimativas de

exposição ao risco operacional, contribuindo para a

manutenção de níveis adequados de capital e garantindo

a solidez do sistema financeiro

27

Contato

Obrigado!

wagner.almeida@bcb.gov.br

Departamento de Supervisão de Bancos e Conglomerados Bancários

Divisão de Equipes Especializadas I