O papel da auditoria interna no contexto de Basiléia II ... · • “A auditoria interna, ou uma...

*connectedthinking

O papel da auditoria interna no contexto deBasiléia II* 31 de Julho 2008

2PricewaterhouseCoopersJulho de 2008

Observações importantes

Esta apresentação foi elaborada com a finalidade exclusiva de fornecer orientações geraissobre assuntos de interesse, não se constituindo em aconselhamento profissional.Nenhuma ação deve ser tomada com base nas informações aqui contidas sem assessoriaprofissional especializada. Não garantimos (expressa ou implicitamente) a precisão oucompletitude das informações contidas nesta publicação e, de acordo com o estabelecidopor lei, a PricewaterhouseCoopers - Brasil, seus membros, funcionários e agentes estãoisentos de toda e qualquer responsabilidade por conseqüências de atos ou omissões dequalquer pessoa, que sejam decorrentes de informações contidas nesta publicação ouresultantes de decisões baseadas nas mesmas.

Posicionamentos regulamentares futuros (locais e internacionais) poderão modificarsubstancialmente as análises aqui apresentadas.

Aproveitamos a oportunidade para manifestar o nosso agradecimento à ABBC em nosreceber para demonstrar nossa experiência com o tema. Permanecemos à disposição paraqualquer esclarecimento adicional que possa ser requerido em relação ao conteúdo destaapresentação.

Observações


Apresentando-nos…

• Evandro Carreras, Sócio, Advisory Services

• Luciana Medeiros, Senior Manager, Advisory Services

• Rogério Lélis, Senior Manager, Advisory Services

Apresentação


Nossos contatos para discutir qualquer aspecto relacionado aesta apresentação:

Evandro Carreras, Sócio, Advisory [email protected]

Luciana Medeiros, Senior Manager, Advisory [email protected]

Rogério Lélis, Senior Manager, Advisory [email protected]

Apresentação

Conteúdo

Referências ao papel da auditoria interna em Basiléia IIAtribuições da auditoria internaRequerimentos regulamentares no exteriorImpactos para a auditoria internaIniciativas


Contexto regulamentar

Processo de autorização para uso de modelos internosProcesso de solicitação de autorização para uso de modelos internosCritérios de elegibilidade para alocação de modelos internosPontos-chave para modelos internos de apuração de requerimento de capital

Risco OperacionalEstabelecimento de parcela de requerimento de capital

Processo de autorização para uso de modelos internosProcesso de solicitação de autorização para uso de modelos internos

Risco de MercadoCritérios de elegibilidade para adoção de modelos internos

Risco de Crédito

Processo de autorização para uso de modelos internos – abordagem avançadaProcesso de autorização para uso de modelos internos – abordagem básicaProcesso de solicitação de autorização para uso de modelos internosCritérios de elegibilidade para abordagem baseada em classificação internasPontos-chave para formatação de base de dados para sistemas internosImplementação de estrutura para gerenciamento de risco de crédito

201220112010200920082007

Processo de autorização para uso de modelos internosProcesso de solicitação de autorização para uso de modelos internosCritérios de elegibilidade para alocação de modelos internosPontos-chave para modelos internos de apuração de requerimento de capital

Risco OperacionalEstabelecimento de parcela de requerimento de capital

Processo de autorização para uso de modelos internosProcesso de solicitação de autorização para uso de modelos internos

Risco de MercadoCritérios de elegibilidade para adoção de modelos internos

Risco de Crédito

Processo de autorização para uso de modelos internos – abordagem avançadaProcesso de autorização para uso de modelos internos – abordagem básicaProcesso de solicitação de autorização para uso de modelos internosCritérios de elegibilidade para abordagem baseada em classificação internasPontos-chave para formatação de base de dados para sistemas internosImplementação de estrutura para gerenciamento de risco de crédito

201220112010200920082007

O Comunicado 16.137 do Banco Central do Brasil estabelece prazos para divulgação de critériosde elegibilidade de modelos internos, para pontos-chave para base de dados e para o processode autorização para utilização de modelos proprietários.

Referências ao papel da auditoria interna em Basiléia II


Basiléia II e Auditoria Interna

• Basiléia II:

• Promove o desenvolvimento de metodologias internas para avaliaçãode riscos.

• Proporciona um menu de abordagens com diferentes níveis desofisticação.

• Permite flexibilidade, sensibilidade a riscos e requer maiorgranularidade de dados.

• Com um movimento em direção a avaliações internas, Basiléia II requer umpapel fundamental da Auditoria Interna.

• Há menções explícitas em relação às suas atribuições.



International Convergence of Capital Measurement and CapitalStandards – A Revised Framework – Comprehensive Version

• Em relação ao riscos de crédito, as principais referências abrangem (i) o sistema de “rating”do banco e sua operação e (ii) o processo global de gerenciamento de riscos.- Parágrafo 443:

• “A auditoria interna, ou uma função igualmente independente, deve revisar no mínimoanualmente, o sistema de classificação do banco e suas operações, incluindo as operações dafunção de crédito e as estimativas de PD, LGD e EAD. As áreas de revisão devem ser todasaquelas que devem demonstrar aderência aos requerimentos mínimos aplicáveis. A auditoriainterna deve documentar suas constatações.”

- Parágrafo 165 (CRM):• “(...) Uma revisão do processo global de gerenciamento de riscos deve ocorrer em intervalos

regulares (idealmente, no mínimo uma vez ao ano) e deve abordar, de forma específica, nomínimo:- a integração das mensurações de risco no gerenciamento diário de riscos.- a validação de qualquer alteração significativa no processo de mensuração de riscos.- a precisão e a integridade dos dados utilizados.- a verificação da consistência, adequação e confiabilidade das fontes de dados usadas

para em modelos internos, incluindo a independência dessas fontes de dados.- a precisão e a adequação das premissas de volatilidade.”



• Em relação a riscos operacionais há parágrafos relevantes:

- Parágrafo 663 (e): Os processos de gerenciamento de riscos operacionais dos bancos e suasrespectivas estruturas de avaliação devem ser objetos de validação e revisão periódicaindependente. Estas revisões devem incluir as atividades das unidades de negócio e a função degerenciamento de risco operacional.

- Parágrafo 663 (f): A estrutura de avaliação de risco operacional (incluindo os processos de validaçãointerna) do banco deve ser objeto de revisão periódica pelos auditores externos e/ou por supervisoresbancários.

- Parágrafo 666 (e): Critérios de qualificação, AMA (“Advanced Measurement Approaches”). Auditoresinternos e/ou externos devem realizar revisões regulares dos processos de administração de riscooperacional e do sistema de mensuração. Essa revisão deve incluir as atividades das unidades denegócios e da função de administração de risco operacional independente.




• Em relação a riscos de mercado:

- Parágrafo 718 (LXXIV) (i): Uma revisão independente da estrutura de mensuração de risco devefazer parte do processo de auditoria interna do banco. Esta revisão deve contemplar as atividadesdas unidades de negócio e da unidade independente de risco. A revisão do processo degerenciamento de risco deve ocorrer regularmente (idealmente, não menos do que uma vez ao ano).

- Parágrafo 687(i): Bancos devem possuir políticas e procedimentos claramente definidos ecapazes de determinar quais exposições devem ser consideradas na carteira de negociaçõespara o cálculo do encargo de capital, assegurando conformidade com os critérios determinados pelodocumento de Basiléia e atentando para as capacitações e práticas de gerenciamento de risco dainstituição. A conformidade com estas políticas e procedimentos deve ser devidamentedocumentada e objeto dos trabalhos periódicos de auditoria interna.




CEBS -Committee of European Banking Supervisors

• Guidelines on the implementation, validation and assessment of AdvancedMeasurement (AMA) and Internal Ratings Based (IRB) Approaches.

- Parágrafo 447: A auditoria interna deve revisar se os sistemas de controle para “ratings” internose parâmetros relacionados são robustos (Anexo VII, Parte 4, Parágrafo 130 do CRD – “CapitalRequirement Directive”). Deve existir um entendimento apropriado de todos os processos do sistemade “rating”, incluindo aqueles que geram as estimativas dos parâmetros de risco. Como parte de suarevisão dos mecanismos de controle, a auditoria interna avaliará a profundidade, extensão e qualidadedos trabalhos relacionados a função de controle de risco de crédito. A auditoria interna deve tambémconduzir testes que assegurem que as conclusões geradas pela função antes mencionada estão bemfundamentadas. Adicionalmente, deve revisar a estrutura de TI e manutenção de dados. Parainstituições que utilizam modelos estatísticos, a auditoria interna deve realizar testes que garantam aintegridade do processo de entrada de dados.

- Parágrafo 448: A auditoria interna ou outra unidade de auditoria independente deve informar à altaadministração, no mínimo anualmente, a adequação do banco frente aos requerimentos parautilização de modelos IRB (“Internal Rating-Based”) para riscos de crédito.



CEBS -Committee of European Banking Supervisors

• Guidelines on the implementation, validation and assessment of AdvancedMeasurement (AMA) and Internal Ratings Based (IRB) Approaches.

- Parágrafo 449: Com o intuito de fortalecer a sua independência, a auditoria interna não deveestar diretamente envolvida nos processos de seleção de modelos. Embora não relacionada aquestão de independência (mas de credibilidade), a unidade de auditoria interna deve ocupar posiçãoelevada na organização e possuir indivíduos com habilidades e experiências requeridas.



BIS - Bank for International Settlements

• Internal audit in banks and the supervisor’s relationship with auditors: Asurvey, 2002.

- Esta pesquisa conduzida pelo BIS com 71 instituições financeiras em 13 países identificou que háconsenso de que é parte do escopo das atividades da auditoria interna, entre outros elementos:

• A aplicação e a efetividade dos procedimentos de gerenciamento de riscos;

• As metodologias de avaliação de riscos; e

• O sistema de determinação de capital mínimo em função das estimativas de risco.


Conteúdo



Atribuições da auditoria interna – benchmarking

• A PricewaterhouseCoopers realizou uma pesquisa com 17 bancos europeus,procurando identificar diferenças nas abordagens da auditoria interna emrelação ao Novo Acordo de Capital da Basiléia.

Atribuições da auditoria interna

• Parte da pesquisa dedicou-se a identificar o envolvimento da auditoriainterna na revisão da estrutura de “ratings” internos (desenho, operações,independência).

• O resultado demonstrou que 75% dos departamentos de auditoriainterna estavam envolvidos nesta função.


Uma segunda etapa desta avaliação dedicou-se a avaliar o escopo da revisão daestrutura de “ratings” internos. O gráfico abaixo indica que o papel da auditoria internapossui como escopo a integridade de todo o processo, assim como aspectos desuporte (metodologia e sistemas). O aspecto de dados deverá ser alterado em funçãodas diretrizes emitidas pelo CEBS CP10.

0% 20% 40% 60% 80% 100%

Funcionalidade

Processos

Sistemas

Metodologia

Dados

SimNão



0% 20% 40% 60% 80% 100%

Verificar se os padrões e as políticas devalidação são cumpridas

Validação de modelos de risco, incluindo dadose metodologia

Verificar se os modelos de riscos são validospor função independente

Verificar se os modelos de risco são validadospor terceiros ou auditores externos

SimNão

A responsabilidade da auditoria interna relaciona-se em avaliar se as políticas devalidação de modelos estão em vigor. Entretanto, uma porção significativa dos bancossolicitará à auditoria interna que valide os modelos de risco ou que garanta que osmodelos são validados por uma função independente, como risco e controle.



Outras atribuições

• Auditoria:• Projeto de Basiléia II• Estrutura de Basiléia II



Auditoria do Projeto de Basiléia II

• Escopo- Gerenciamento do projeto- Adequação de recursos e disponibilidade- Governança- Envolvimento da alta administração- Atendimento a requerimentos mínimos

* Não é uma exigência uma regulamentar.



Auditoria da Estrutura de Basiléia II

• Governança- Segregação de funções,

independência.- Envolvimento da alta

administração.

• Integração com a gestão (use test)- Utilização efetiva em processos

internos.

• Gerenciamento de dados econtroles.

• Modelos internos de rating- Desenho- Operação- Relação com parâmetros de risco.

• Processos de suporte- Calculadora de RWA e controles- Procedimentos de CRM (credit

risk mitigation).

• Disclosure.


Conteúdo



Enfoque do Supervisor no exterior

• O Supervisor espera que os departamentos de Auditoria Interna possuamexperiência, recursos humanos e técnicos adequados para a realização dasauditorias.

– “Reguladores não irão inspecionar os modelos de gerenciamento deriscos sem a revisão preliminar da Auditoria Interna.”

Requerimentos regulamentares no exterior


Supervisões apoiadas em revisões conduzidas por 3 áreas

• Auditoria interna• Auditoria externa• Unidade Validação de

modelos

• Estabelecimento deaspectos que devem sercobertos em suas revisõesperiódicas


Validaçãode modelos

AuditoriaExterna

AuditoriaInterna


Relatório específico de Auditoria Interna em relação a métodosbaseados em avaliações internas

O Auditor Interno deverá emitir um relatório específico para cada modelo, noqual se pronunciará explicitamente sobre, no mínimo, os seguintes aspectos:

- Integração dos modelos/estimativas com a gestão (use test);- As bases de dados utilizadas; e- O entorno tecnológico.



Para modelos padronizados

• Verificação:- Segregação de exposições- Correta aplicação de fatores de risco, aplicação de regras

regulamentares etc.



Unidade de Validação

• A instituição financeira deve contar com um processo interno de revisão evalidação da efetividade dos modelos desenvolvidos por uma unidadeinterna específica.

• É necessário desenhar uma unidade interna independente.especificando suas funções, posição na organização, relação com asunidades de gestão de, auditoria etc.

• A atividade desta unidade deve ser ocorrer de forma recorrentecobrindo aspectos como: backtesting, stress testing, estabilidade,capacidade preditiva, etc.

Validação de modelos


Unidade de Validação – cont.

• Procedimentos de validação:

• Efetuar verificações de tipo quantitativo para determinar a capacidadedos modelos para serem utilizados

• Desenvolver os planos de provas para os modelos a serem implantados.

• Analisar, recorrentemente, dados e feitos observados, tendências esensibilidades, comparações com fontes de informação alternativas, ediferenças entre taxas estimadas e reais, e proporcionarrecomendações.

• Revisar os procedimentos de atribuição de ratings, integração dosmodelos na gestão e os informes utilizados.

• Revisar a documentação adequada dos processos envolvidos.



Unidade de Validação – cont.

• Outras funções:

• Verificar o cumprimento de requerimentos do Supervisor e requerimentosmínimos estabelecidos no novo Acordo de Capital de Basiléia.

• Analisar os sistemas de “rating” e “scoring” e a metodologia que os fundamenta,analisando a existência de outras alternativas.

• Opinar sobre a qualidade, idoneidade, integridade e coerência dos dadosutilizados pelos modelos.

• Avaliar o ambiente de governança corporativa (adequado envolvimento daorganização, especialmente da Alta Direção, no desenvolvimento,acompanhamento e utilização dos modelos), e a adequação da estruturaorganizacional da instituição.

• Avaliar o entorno tecnológico relacionado com os sistemas de “rating” e“scoring” das instituições.



Relação entre Auditoria Interna e Unidade de Validação

• Devem ser independentes.

• Devem trabalhar de forma coordenada e, alguns casos, a unidade devalidação faz uso de testes realizados pela Auditoria Interna.

• A Unidade de Validação é escopo da Auditoria Interna.


Conteúdo



Desafios

• Auditoria interna de Basiléia II é um processo complexo, exigente e rigoroso emtermos de recursos (internos e externos).

• Programas de trabalho específicos e abrangentes:• Dados• Sistemas• Processos• Governança• Compliance

• Requerimentos regulamentares – impacto na qualificação e na quantidade da equipede Auditoria Interna:

• Equipe: quantidade e qualificação.• Metodologia• Ferramentas de auditoria.

Impactos para a auditoria interna


Interpretação da Resolução no 3.380 - Dispõe sobre aimplementação de estrutura de gerenciamento do riscooperacional.

Resolução

“....Art. 3º A estrutura degerenciamento do risco operacionaldeve prever:....

Entendimento do auditor

• A estrutura de gerenciamento de riscooperacional compreende todo oFramework – Política, EstruturaOrganizacional, Modelagem, Sistema,Procedimentos, Informação eComunicação, Cultura.



Interpretação da Resolução no 3.380 - Dispõe sobre aimplementação de estrutura de gerenciamento do riscooperacional (continuação).

Resolução


I, II….

III - elaboração, com periodicidademínima anual, de relatórios quepermitam a identificação e correçãotempestiva das deficiências de controlee de gerenciamento do riscooperacional;....”


• Participantes:

• Profissionais com a função deavaliação de Controles Internos

• Objetivo: Avaliação dos controles eda sua eficiência por meio demetodologias específicas.




Resolução


....IV - realização, com periodicidademínima anual, de testes de avaliaçãodos sistemas de controle de riscosoperacionais implementados;

V, VI…”


• Participantes:

• Risco Operacional

• Auditoria Interna

• Objetivo: Testes de avaliação dossistemas de controle de riscosoperacionais implementados.




Resolução


§ 2º Os relatórios mencionados noinciso III devem ser submetidos àdiretoria das instituições de que trata oart. 1º e ao conselho de administração,se houver, que devem manifestar-seexpressamente acerca das ações aserem implementadas para correçãotempestiva das deficiênciasapontadas.”


• Participantes: Diretoria e/ou Conselhode Administração

• Objetivo: Comentários dosparticipantes em relação as análisesefetuadas e a adequação dos planosde ação para resolução dasdeficiências encontradas.



Interpretação da Resolução no 3.380 - Dispõe sobre aimplementação de estrutura de gerenciamento do riscooperacional (continuação).Resolução“....Art. 3º A estrutura de gerenciamento dorisco operacional deve prever:....§ 3º Eventuais deficiências devemcompor os relatórios de avaliação daqualidade e adequação do sistema decontroles internos, inclusive sistemasde processamento eletrônico de dadose de gerenciamento de riscos e dedescumprimento de dispositivos legais eregulamentares, que tenham, ou possamvir a ter impactos relevantes nasdemonstrações contábeis ou nas operaçõesda entidade auditada, elaborados pelaauditoria independente, conforme dispostona regulamentação vigente.”

Entendimento do auditor• Participantes:Auditor Externo• Objetivo: No contexto de seu exame de

auditoria, avalia os trabalhos efetuadospor Controles Internos/Auditoria Interna eos respectivos comentários da Diretoriae/ou Conselho de Administração. Casoaplicável, inclui recomendações norelatório sobre a avaliação da qualidade eadequação do sistema de controlesinternos, requerido pela Resolução 3.380.

Res. no 3198



Interpretação da Resolução no 3.380 - Dispõe sobre a implementaçãode estrutura de gerenciamento do risco operacional (continuação).

Diversas áreasda instituição

financeira,incluindo Risco

Operacional

ControlesInternos eAuditoriaInterna

Diretoria e/ouConselho Auditor Externo

ControlesInternos

implementados

Avalia oscontroles dos

processosrelacionados

Ratifica osplanos de ações

elaborados

Analisa ostrabalhos

efetuados einclui na CCI,

quandonecessário



Resolução 3.464 – Riscos de mercado

Art. 5o. – “O cumprimento da política e dos procedimentos de que trata ocaput deve ser devidamente documentado e objeto de verificação pelaauditoria interna.”



• Deficiências nas integrações de sistemas.

• Utilização excessiva de planilhas eletrônicas.

• Fragilidades no ambiente geral de sistemas.

• Dificuldades na obtenção de informação:

• relacionamento.

• sistemas carregados.

• inexistência de back-up.

• Falta de conciliações com contabilidade ou outras fontes disponíveis.

• Falta de comprometimento da alta administração.

• Repulsa dos gestores de risco (supervisão).

No processo de revisão existem dificuldades e preocupaçõesdo auditor quanto a:



• Limitação do número deprofissionais da área de ORM.

• Treinamento dos auditoresinternos e da área de controlesinternos.

• Insuficiência de orçamento pararealização dos trabalhos.

• Ausência de abertura parareflexão.

• Tratamento de recomendaçõescomo críticas.

No processo de revisão existem dificuldades e preocupaçõesdo auditor quanto a:


Conteúdo



Iniciativas das auditorias internas no Brasil e no Exterior

• Capacitação em relação do Novo Acordo de Capital da Basiléia.

• Planejamento de atuação.

• Elaboração de análises de impacto sobre capacitação de pessoal,metodologias e ferramentas de auditoria.

• Elaboração de programas de trabalho e de relatórios de auditoriaespecíficos.

• Contratação de revisões externas.

Iniciativas das auditorias internas

© 2008 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the networkof member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independentlegal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US).

O papel da auditoria interna no contexto de Basiléia II ... · • “A auditoria interna, ou uma...

Documents

Transcript of O papel da auditoria interna no contexto de Basiléia II ... · • “A auditoria interna, ou uma...