projeto de consultoria p/ gestÃo de risco … · • obrigação do orgão fiscalizador...
TRANSCRIPT
PROJETO DE CONSULTORIA P/GESTÃO DE RISCO OPERACIONAL
COSO/CobiT/SISTEMA GRO
HistHistóóricorico
1975 - Comitê da Basiléia
1993 – Bank of Credit and
Commerce International faliu em meio a escândalos de fraude e lavagem de dinheiro
1997 – Comitê Basiléia edita os 25 Princípios – Instituição de Controles Internos1995 – Barings faliu depois
de 233 anos de existência
1975 – quebra dos bancos Herstatt, da Alemanha e Franklin National, de Nova York.
HistHistóóricorico
2002 – SEC edita lei Sarbanes Oxley
2001 – WordCom – 20.000 demitidos
2003 – Res.Bacen 3.081 –Responsabilidades dos Administradores
1995-98 – Askin Capital,
Orange County, ChemicalBank entre outros
1998 – Comitê Basiléia edita mais 13 Princípios – Gestão de Riscos (5 componentes)
1998 – Res.Bacen 2.554–Controles Internos
Lei 9.613 – Prev. Lav. Din.2001 – Novo Acordo da Basiléia
2001 – Enron – 7a. Maior empresa dos EUA.
HistHistóóricorico
2004 – Decretada Intervenção no Banco Santos pelo Bacen ?
De CI a RODe CI a RO
Res.2.554/98 Res.3.380/06
Controles Internos
BASILÉIA I
processos, executados pela alta administração, gerências e funcionários, desenhados para fornecer segurança razoável com relação ao cumprimento de objetivos no que se refere a:
•Eficiência e eficácia das operações;
•Integridade/fidelidade dos relatórios financeiros;
•Aderência com as leis e normas aplicáveis.
Risco Operacional
BASILÉIA II
É o risco de perda resultante de processos internos, pessoas e sistemas inadequados ou falhos, ou de eventos externos
BasilBasilééiaia IIII
BasilBasilééiaia IIII
Os três PilaresOs três Pilares
BasilBasilééiaia IIII
Dimensão dos Riscos de NegDimensão dos Riscos de Negóóciocio
BasilBasilééiaia IIII
GestãoGestão de de RiscosRiscos
Gestão de
Riscos
Comitê
Prev.Lav.
Dinheiro
GovernançaCorporativa
RiscoOperacional
ControlesInternos
Auditoria
GestãoGestão de de RiscosRiscos
O que O que éé Risco ?Risco ?
“Todo evento que pode representar perda de valor de ativos, aumento de passivos ou custos adicionais para a instituição.”
GestãoGestão de de RiscosRiscos
• A gestão de riscos é um processo, que disciplina a identificação da origem e a mensuração dos riscos, bem como formula estratégias para gerenciá-los, monitorando-os com um nível aceitável de tolerância.
O que O que éé Gestão de Risco ?Gestão de Risco ?
GestãoGestão de de RiscosRiscos
• Existem 4 elementos fundamentais para o sucesso:
• Cultura Corporativa para Riscos
• Pessoal Qualificado
• Controles Internos
• Tecnologia
GestãoGestão de de RiscosRiscos
EtapasEtapas
Identificação
dos Riscos
PriorizaçãoElaboração do
Plano de Ação
Divulgação e
MonitoraçãoAvaliação
Definição de
estratégia
GestãoGestão de de RiscosRiscos
ComponentesComponentes
GestãoGestão de de RiscosRiscos
Componentes Componentes –– Visão MVisão Méédicadica
• Pessoas
• Execução do Processo
• Infra-Estrutura
• Eventos externos
• Fraude Interna
• Fraude Externa• Reclamações Trabalhistas e por
Perdas e Danos relacionados a Falhas de Infra-Estrutura
• Práticas Comerciais
• Desastres• Interrupção de Atividades por
Falha Tecnológica• Gerenciamento e Execução de
Processos Internos e através de Parceiros Comerciais
DOENÇASSINTOMAS
EVENTOSEVENTOSEVENTOSEVENTOS CAUSASCAUSASCAUSASCAUSAS
GestãoGestão de de RiscosRiscos
Medindo o RiscoMedindo o Risco
EsperadoEsperadoEsperadoEsperado
Diferença
- Pessimista
PresentePresente Futuro(Pessimista)
Futuro(Pessimista)
incertezas
Lucros e Perdas Capital
Riscos
ControlesControles InternosInternos
• Podem ser definidos como processos, executados pela alta administração, gerências e funcionários, desenhados para fornecer segurança razoável com relação ao cumprimento de objetivos no que se refere a:
• Eficiência e eficácia das operações;
• Integridade/fidelidade dos relatórios financeiros;
• Aderência com as leis e normas aplicáveis.
PrevenPrevenççãoão àà LavagemLavagem de de DinheiroDinheiro
“DispõeDispõe sobresobre osos procedimentosprocedimentos a a seremseremadotadosadotados nana prevenprevenççãoão e e combatecombate ààssatividadesatividades relacionamentosrelacionamentos com com osos crimes crimes previstosprevistos nana LeinLein°°9.613, de 03.03.98.9.613, de 03.03.98. .”
GovernanGovernanççaa CorporativaCorporativa
O que O que éé??
“É um conjunto de práticas e relacionamentos
entre Acionistas, Conselho de Administração,
Diretoria, Auditoria Independente e Conselho
Fiscal, com a finalidade de otimizar o desempenho
da empresa e facilitar o acesso ao capital.”
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
�� Metodologia que identifica os Metodologia que identifica os objetivos objetivos
essenciais do negessenciais do negóóciocio e define controle e define controle
interno e seus componentes.interno e seus componentes.
�� A A SarbanesSarbanes OxleyOxley indica o COSO como indica o COSO como
padrão de controle. padrão de controle.
�� O COSO propicia:O COSO propicia:
� Economia e eficiência das Operações e
segurança dos ativos contra perdas;
� Veracidade das demonstrações
financeiras;
� Compliance com normas e legislações
locais.
COSO COSO –– CommitteeCommittee ofof SponsoringSponsoring OrganizationsOrganizations
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
� Estratégicos - objetivos gerais, alinhados e que dão suporte à missão da empresa.
� Operacionais - eficiência e eficácia na utilização dos recursos
� Divulgação/Reporte - confiabilidade nos relatórios divulgados
� Compliance - atendimento às leis e aos regulamentos aplicáveis
COSO – Atingir os Objetivos
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
� Níveis Corporativos
� Divisões ou Subsidiárias
� Unidades de Negócios
� Processos
COSO – Níveis da Organização
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
� Ambiente Interno . ambiente no qual a empresa opera
� Estabelecimento de Objetivos - objetivos alinhados à missão
� Identificação de Evento . eventos que possam afetar os objetivos
� Avaliação de Risco . como a empresa avalia seus riscos
COSO – Componentes
� Tratamento do Risco . alinhar os riscos com os objetivos� Atividades de Controle . políticas e procedimentos para assegurar
que os objetivos sejam executados� Informação e Comunicação . ocorre de maneira ampla, fluindo vertical
e horizontalmente� Monitoramento . é realizado mediante atividades gerenciais contínuas
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
Pontos Fortes� objetivos alinhados à missão� mesma linguagem na empresa� monitora o atingimento dos objetivos� aprimoramento das decisões� melhora da comunicação� redução dos riscos
COSO
Limitações� excessiva dependência em pessoas
� É o conjunto de relações, processos e práticas que garantem o alinhamento de TI à Estratégia da Instituição e aos objetivos dos Negócios, otimizando custos e investimentos e melhorando processos.
COBIT - Control Objectives for Informationand Related Technologies
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
O O CobiTCobiT trata de:trata de:
� Objetivos do Controle – O que controlar
� Melhores Práticas de Controle – Como implementar o controle
� Orientação para Auditoria – Como auditar cada área, obter compliance e medir riscos
� Orientação para Administração de TI – Como melhorar processos de TI, utilizar as melhores práticas e medir seus resultados em relação aos padrões de mercado.
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
Objetivos do NEGÓCIO
InformaInformaççãoão
Planejar e Organizar
Adquirir e Implantar
Entregar eSuportar
Monitorar
Recursos de TIRecursos de TIAbrangência:• pessoas• sistemas• equipamentos• infra-estrutura
Fatores Críticos:• efetividade• confidencialidade• integridade• disponibilidade• compatibilidade• confiabilidade
GOVERNANGOVERNANÇÇA DE TIA DE TI
Modelo de processos Modelo de processos CobiTCobiT
DomDomíínios da nios da GovernanGovernançça de TIa de TI
DomDomíínios nios
�� Planejar e Organizar (PO)Planejar e Organizar (PO)
�� Adquirir e Implementar (AI)Adquirir e Implementar (AI)
�� Entregar e Suportar (DS)Entregar e Suportar (DS)
�� Monitorar (M)Monitorar (M)
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
�� Cobre a estratCobre a estratéégia e a tgia e a táática de TI e tica de TI e
define o melhor caminho para TI define o melhor caminho para TI
suportar o alcance dos objetivos suportar o alcance dos objetivos
estratestratéégicos da organizagicos da organizaçção. ão.
�� Garante a definiGarante a definiçção, comunicaão, comunicaçção e ão e
o gerenciamento de um plano o gerenciamento de um plano
estratestratéégico para TI.gico para TI.
�� Assegura a definiAssegura a definiçção da estrutura ão da estrutura
adequada para a adequada para a áárea, bem como a rea, bem como a
utilizautilizaçção da melhor infraão da melhor infra--estrutura estrutura
tecnoltecnolóógica.gica.
�� 11 processos11 processos
�� 100 objetivos de controle100 objetivos de controle
ProcessosProcessos
�� PO1 PO1 -- Definir um plano estratDefinir um plano estratéégico de TIgico de TI
�� PO2 PO2 –– Definir a arquitetura de informaDefinir a arquitetura de informaççãoão
�� PO3 PO3 –– Determinar a direDeterminar a direçção tecnolão tecnolóógicagica
�� PO4 PO4 –– Definir a organizaDefinir a organizaçção e ão e
relacionamentos de TIrelacionamentos de TI
�� PO5 PO5 –– Gerenciar o investimento em TIGerenciar o investimento em TI
�� PO6 PO6 –– Comunicar Objetivos e Diretrizes da Comunicar Objetivos e Diretrizes da
AdministraAdministraççãoão
�� PO7 PO7 –– Gerenciar recursos humanosGerenciar recursos humanos
�� PO8 PO8 –– Garantia do cumprimento de Garantia do cumprimento de
exigências externasexigências externas
�� PO9 PO9 –– AvaliaAvaliaçção de riscosão de riscos
�� PO10 PO10 –– Gerenciar projetosGerenciar projetos
�� PO11 PO11 –– Gerenciar qualidadeGerenciar qualidade
DomDomíínios nios –– Planejar e OrganizarPlanejar e Organizar
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
� Permite a realização da estratégia de TI, por meio da aquisição ou desenvolvimento de sistemas aplicativos, bem como da integração destes aos processos de negócio.
� Controla as mudanças e manutenções nos sistemas existentes para assegurar a continuidade do ciclo de vida destes sistemas.
� 6 processos
� 68 objetivos de controle
ProcessosProcessos
�� AI1 AI1 –– Identificar soluIdentificar soluççõesões
�� AI2 AI2 –– Adquirir e manter software Adquirir e manter software
aplicativoaplicativo
�� AI3 AI3 –– Adquirir e manter Adquirir e manter
arquitetura tecnolarquitetura tecnolóógicagica
�� AI4 AI4 –– Desenvolver e manter Desenvolver e manter
procedimentos de TIprocedimentos de TI
�� AI5 AI5 –– Instalar e certificar sistemasInstalar e certificar sistemas
�� AI6 AI6 –– Gerenciar mudanGerenciar mudanççasas
DomDomíínios nios –– Adquirir e ImplementarAdquirir e Implementar
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
� Concentra-se na atual entrega dos serviços requeridos e, com base nas operações, define quais as necessidades de treinamento em segurança e continuidade. Para tanto, provê os processos de suporte necessários.
� 13 processos
� 126 objetivos de controle
ProcessosProcessos
�� DS1 DS1 –– Definir nDefinir nííveis de serviveis de serviççosos
�� DS2 DS2 –– Gerenciar serviGerenciar serviçços de terceirosos de terceiros
�� DS3 DS3 –– Gerenciar performance e capacidadeGerenciar performance e capacidade
�� DS4 DS4 –– Garantir continuidade dos serviGarantir continuidade dos serviççosos
�� DS5 DS5 –– Garantir seguranGarantir segurançça dos sistemasa dos sistemas
�� DS6 DS6 –– Identificar e alocar custosIdentificar e alocar custos
�� DS7 DS7 –– Educar e treinar usuEducar e treinar usuááriosrios
�� DS8 DS8 –– Auxiliar e aconselhar usuAuxiliar e aconselhar usuáários de TIrios de TI
�� DS9 DS9 –– Gerenciamento da configuraGerenciamento da configuraççãoão
�� DS10 DS10 –– Gerenciamento de problemas e Gerenciamento de problemas e
incidentesincidentes
�� DS11 DS11 –– Gerenciamento de dadosGerenciamento de dados
�� DS12 DS12 –– Gerenciamento de instalaGerenciamento de instalaççõesões
�� DS13 DS13 –– Gerenciamento da operaGerenciamento da operaççãoão
DomDomíínios nios –– Entregar e SuportarEntregar e Suportar
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
� Provê avaliação periódica dos processos de TI, observando sua qualidade e aderência aos requerimentos de controle.
� Provê direção para a execução de auditorias internas e externas.
� 4 processos
� 24 objetivos de controle
ProcessosProcessos�� M1 M1 –– Monitorar os processosMonitorar os processos
�� M2 M2 –– Avaliar a adequaAvaliar a adequaçção do ão do
controle internocontrole interno
�� M3 M3 –– Obter certificaObter certificaçção ão
independenteindependente
�� M4 M4 –– AuditoriaAuditoria
DomDomíínios nios –– MonitorarMonitorar
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
Modelo deModelo de
MaturidadeMaturidade
ProcessosProcessos--Chave de TIChave de TI
Fatores CrFatores Crííticos ticos
de Sucesso (CSF)de Sucesso (CSF)
Indicadores chaves Indicadores chaves
dos Objetivos (KGI)dos Objetivos (KGI)
Indicadores ChavesIndicadores Chaves
De Performance (KPI)De Performance (KPI)
Método de classificação dos processos de TI em não existente até otimizado com índices variando de 0 até 5.
São as ações necessárias para implementar os controles sobre TI e seus processos. Os CSF são as definições mais importantes para que os processos de TI atinjam seus objetivos. Podem ser de natureza estratégica, técnica, organizacional, processos ou procedimentos. Devem ser expressas de forma curta e orientadas à ação.
Medidas que identificam se um processo está sendo bem executado ou não. Identificam a tendência se o objetivo seráalcançado.
Medidas – após a ocorrência –se um processo de TI atingiu os objetivos de negócio, normalmente expresso em termos de critérios de informação.• Disponibilidade da informação no tempo adequado.•Riscos de integridade e confidencialidade.•Eficiência de custos operacionais.•Confiabilidade, efetividade e atendimento aos requerimentos.
o que não o que não éé MEDIDO MEDIDO não não éé GERENCIADOGERENCIADO
DomDomíínios de Governannios de Governanççaa
Estrutura de ImplantaEstrutura de Implantaççãoão
AAquisiquisiçção e ão e IImplementamplementaççãoãoAI5 AI5 –– Instalar e certificar sistemasInstalar e certificar sistemas
→→ Controle sobre o processo de TIControle sobre o processo de TI ““Instalar e certificar sistemasInstalar e certificar sistemas””, ,
→→ que atende ao requisito de negque atende ao requisito de negóóciocio ””verificar e assegurar que as verificar e assegurar que as solusoluçções de ões de software software atendem ao seu propatendem ao seu propóósito inicialsito inicial””→→ éé habilitado pelahabilitado pela ““realizarealizaçção de um plano bem formalizado para ão de um plano bem formalizado para
a instalaa instalaçção, migraão, migraçção e aceite das soluão e aceite das soluççõesões””→→ e leva em considerae leva em consideraçção:ão:
� Treinamento dos usuários e pessoal de TI;� Ambiente de testes que espelha o ambiente de produção;� Certificação;� Revisões e feedback pós-implantação;� Envolvimento dos usuários nos testes;� Planos de melhoria contínua de qualidade;� Requisitos de continuidade do negócio;� Medidas de capacidade e throughput e� Acordo sobre os critérios de aceite.
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
AAquisiquisiçção e ão e IImplementamplementaççãoãoAI5 AI5 –– Instalar e certificar sistemasInstalar e certificar sistemas
→→ Possui 14 Objetivos de Controle:Possui 14 Objetivos de Controle:
1. Treinamento1. Treinamento2. Dimensionamento do 2. Dimensionamento do
Desempenho das AplicaDesempenho das Aplicaçções ões de Softwarede Software
3. Plano de Implementa3. Plano de Implementaççãoão4. Conversão de Sistemas4. Conversão de Sistemas5. Conversão de Dados5. Conversão de Dados6. Planos e Estrat6. Planos e Estratéégias de gias de
TesteTeste7. Mudan7. Mudançças Testadasas Testadas
8. Crit8. Critéérios e Desempenhos dos rios e Desempenhos dos Testes Pilotos e ParalelosTestes Pilotos e Paralelos
9. Teste de Aceite Final9. Teste de Aceite Final10. Teste e Certifica10. Teste e Certificaçção de ão de
SeguranSeguranççaa11.Testes Operacionais11.Testes Operacionais12.12.PromotionPromotion to to ProductionProduction
13. Avalia13. Avaliaçção do Atendimento ão do Atendimento dos Requisitos do Usudos Requisitos do Usuááriorio
14.Gerenciamento da Revisão 14.Gerenciamento da Revisão PPóóss--ImplementaImplementaççãoão
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
NNíí v
el d
e M
atu
rid
ade
em G
ove
rnan
vel d
e M
atu
rid
ade
em G
ove
rnan
çç a d
e T
Ia
de
TI
� Nível 5 - Otimizado: Melhores práticas são seguidas e automatizadas
� Nível 4 - Gerenciado: Processos monitorados e medidos
� Nível 3 - Definido: Processos documentados e comunicados
� Nível 2 - Repetitivo: Processos estão estruturados
� Nível 1 - Inicial: Há gerenciamento desorganizado
� Nivel 0 - Inexistente: Gerenciamento não é aplicado
NNííveis de maturidadeveis de maturidade
MetodologiasMetodologias de de GestãoGestão de de RiscosRiscos
SOX SOX –– SarbanesSarbanes OxleyOxley ACTACT
“A Sarbanes-Oxley, ou simplesmente SOx, é uma lei criada nos Estados Unidos para aperfeiçoar os controles financeiros das empresas que possuem capital na Bolsa de Nova York, o que incluicerca de 70 empresas brasileiras. Esta lei veio em decorrência dos escândalos financeiros das empresas Enron, Worldcom e outras que pulverizaram as economias pessoais de muitos americanos. A lei foi promulgada em 30 de julho de 2002 e prevê multas que variam de 1 milhão e 5 milhões de dólares e penas de reclusão entre 10 e 20 anos para os CEOs (Chief Executive Officer) e CFOs (Chief Finance
Officer) das empresas.”
PorPor quêquê implantarimplantar
• Obrigação do Orgão Fiscalizador (Res.3.380/06)
• Diminuir valor para a Alocação de Capital
• Conscientização dos gestores para a gestão de riscos
• Vantagem competitiva
• Redução de custos
• Riscos aceitáveis e gerenciáveis
• Riscos assumidos de forma consciente.
O O quêquê implantarimplantar
• Processos mapeados e documentados (manuais)• Políticas e Normas divulgadas• Código de Ética• Gestão de Riscos – Avaliação Contínua• Cultura de Controles Internos e Compliance
• Segregações de Funções• Auditoria Rotineira• Comitê de Auditoria e Compliance• Treinamento e Capacitação de Funcionários• Prevenção à Lavagem de Dinheiro• Governança Corporativa• Segurança da Informação• PCN – Plano de Continuidade dos Negócios
�� Mapeamento de RiscosMapeamento de Riscos� Levantamento de Informações� Fluxo dos Processos/Produtos� Descrição detalhada dos Processos/Produtos� Identificação de Riscos� Identificação/Avaliação dos Controles� Exposição de Riscos� Elaboração de Matrizes de Riscos e Controles� Elaboração do Plano de Ação em conjunto com os
responsáveis� Carga das informações no Sistema de Gerenciamento de
Risco (SGR)� Treinamento para Controladoria/Controles Internos (
Modelo/Sistema )� Work Shop Diretoria/ Operacional� Know How em Modelo de Gestão de Riscos passada para a
Instituição
ProjetoProjeto
�� Revisão, adequaRevisão, adequaçção e elaboraão e elaboraçção de: ão de: � Políticas� Normas� Manual de Processos
�� ElaboraElaboraçção do PCN ão do PCN –– Plano de Continuidade de NegPlano de Continuidade de Negóócioscios�� Revisões e recomendaRevisões e recomendaçções sobre a estrutura ões sobre a estrutura
organizacional e funcionalorganizacional e funcional
ProjetoProjeto
RatingRating BACENBACEN
Desagregação em Atividades
de Negócio Significativas
Avaliação de Risco com Base em Modelo
Agregação e rating
“Rating” da Instituição com Base em Julgamento
Controle de Qualidade
RatingRating BACENBACEN
Componentes do modeloComponentes do modelo
C apital
A tivos (qualidade) Quantitativos
- revisão do
E xigibilidades/liquidez desempenho
financeiro
R entabilidade
•
R isco (Matriz) Qualitativos - revisão dos riscos e controles
C apital
A tivos (qualidade) Quantitativos
- revisão do
E xigibilidades/liquidez desempenho
financeiro
R entabilidade
•
R isco (Matriz) Qualitativos - revisão dos riscos e controles
RatingRating BACENBACEN
Principais elementos e mecânica do modeloPrincipais elementos e mecânica do modelo
INSTITUIÇÃO
DESAGREGAÇÃO
INDICADORES QUALITATIVOSINDICADORES QUALITATIVOS
NOTA QUALITATIVA
NOTA QUANTITATIVA
RATING DA INSTITUIÇÃO
ÁREAS PARA
AVALIAR
METODOLOGIA
DE AGREGAÇÃO
Atividadesfuncionais e de
negóciossignificativas
RatingRating BACENBACEN
Nota finalNota final
“Rating” finalda instituição
Nota quantitativafinal
Nota qualitativafinal
Nota do componente
(Capital)
Nota do componente
(Ativos)
Nota do componente(Exigibilidades/
Liquidez)
Nota do componente(Resultados)
Nota da Unidade de Negócio 1
Nota da AtividadeFuncional 1
Nota do indicador 1 Nota do indicador 2 Nota da Atividadede Negócio 1
Nota da Atividadede Negócio 2
Nota consolidadade controle
Nota consolidadade risco
Nota do risco 1 Nota do risco 2 Nota do controle 1 Nota do controle 2
Nota do elemento de risco 1
Nota do elemento de risco 2
Nota do elemento de controle 1
Nota do elemento de controle 2
“Rating” finalda instituição
Nota quantitativa final
Nota qualitativa final
Nota do componente
(Capital)
Nota do componente
(Ativos)
Nota do componente (Exigibilidades/
Liquidez)
Nota do componente (Resultados)
Nota da Unidade de Negócio 1
Nota da Atividade Funcional 1
Nota do indicador 1 Nota do indicador 2 Nota da Atividade de Negócio 1
Nota da Atividade de Negócio 2
Nota consolidada de controle
Nota consolidada de risco
Nota do risco 1 Nota do risco 2 Nota do controle 1 Nota do controle 2
Nota do elemento de risco 1
Nota do elemento de risco 2
Nota do elemento de controle 1
Nota do elemento de controle 2
JULGAMENTO “Rating” finalda instituição
Nota quantitativa final
Nota qualitativa final
Nota do componente
(Capital)
Nota do componente
(Ativos)
Nota do componente (Exigibilidades/
Liquidez)
Nota do componente (Resultados)
Nota da Unidade de Negócio 1
Nota da Atividade Funcional 1
Nota do indicador 1 Nota do indicador 2 Nota da Atividade de Negócio 1
Nota da Atividade de Negócio 2
Nota consolidada de controle
Nota consolidada de risco
Nota do risco 1 Nota do risco 2 Nota do controle 1 Nota do controle 2
Nota do elemento de risco 1
Nota do elemento de risco 2
Nota do elemento de controle 1
Nota do elemento de controle 2
“Rating” finalda instituição
Nota quantitativa final
Nota qualitativa final
Nota do componente
(Capital)
Nota do componente
(Ativos)
Nota do componente (Exigibilidades/
Liquidez)
Nota do componente (Resultados)
Nota da Unidade de Negócio 1
Nota da Unidade de Negócio 2
Nota do indicador 1 Nota do indicador 2 Nota da Atividade de Negócio 1
Nota da Atividade de Negócio 2
Nota consolidada de controle
Nota consolidada de risco
Nota do risco 1 Nota do risco 2 Nota do controle 1 Nota do controle 2
Nota do elemento de risco 1
Nota do elemento de risco 2
Nota do elemento de controle 1
Nota do elemento de controle 2
JULGAMENTO
O ModeloO Modelo
Dicionário de riscos
Dicionário de riscos
Bestpractices
Bestpractices
Programasde
Compliace
Programasde
Compliace
Compliances(Officer e das Áreas)
Compliances(Officer e das Áreas)
Documen-tação
Documen-tação MatrizesMatrizes
Plano deAção
Plano deAção
Relatóriosde
Auditorias
Relatóriosde
Auditorias
Consulta Atualização
Ações a serem tomadas(risco >3)
Ações a serem tomadas
Risco Operacional
(Perdas)
Risco Operacional
(Perdas)
Risco Líquido >3(Valorização da Perda)
Ações a Serem tomadas
ContábilContábil
Área que identificouÁrea que identificou
Área responsávelÁrea responsável
Compliance OfficerCompliance Officer
Alocação de capitalAlocação de capitalVAR/ Monte Carlo
VAR/ Monte Carlo
Contas contábeis
Módulo 1
Módulo 1
Módulo 2
Módulo 2
Módulo 3
Módulo 3
Matriz de RiscosMatriz de Riscos
� Apurar o Risco Bruto
� Conhecer a dimensão real do risco e seu impacto na instituição
� Possibilidade de quantificação
� Desenvolver atividades de auto-avaliação
Matriz de RiscosMatriz de Riscos
Alto Médio Baixo Alta Média Baixa
I - Venda/Negociação
1 Definição da estratégia de negociaçãoOscilação das taxas de juros do mercado, além das previsões e/ou informações disponíveis
8 7 6,2
2 Negociação com brokersNegociação fora dos parâmetros determinados para o dia (financeira - Mesa).
8 7 6,2
3 Ausência de input na PN 8 6 5,3 4 Input com informações divergentes das negociadas 8 6 5,3
5 Monitoramento de boletos aguardando precificaçãoFalha no monitoramento e consequente ausência de precificação
8 5 4,4
6Parâmetros de mercado digitados erroneamente no arquivo mestre
8 7 6,2
7 Precificação incorreta do papel. 8 6 5,3
8 Verificação dos limites operacionaisNegociações além do limite operacional estabelecido para o dia
8 7 6,2
9 Aprovação da operação pelo operador Aprovação de operação fora dos padrões estabelecidos 8 7 6,2
II - Processamento - Boleto
Execução de boletos eletrônicos Execução de boleto eletrônicopor funcionário não autorizado 8 5 4,4
11 Execução de boleto manual por funcionário não autorizado 8 7 6,2 Boleto manual efetuado com dados incorretos ou não efetuados
8 7 6,2
12Registro efetuado com caracterísiticas divergentes das negociadas (CRK e E_GET)
8 6 5,3
13 Ausência de registro de transações (CRK e E-GET) 8 6 5,3
14Registro efetuado de títulos e/ou quantidades divergentes das negociadas
8 6 5,3
15 Ausência de registro de transações 8 6 5,3 16 Remessa de documentação ao B.O. Extravio de documentos enviados ao B.O. 7 5 3,9
III - Monitoramento
18Remessa de informações ao Planejamento e controle para cálculo de Var e Stop Loss
Remessa de informações incorretas e/ou incompletas ao Planejamento e Controle
8 6 5,3
19 Recepção de listagem da BM&F Morosidade no trânsito de documentos (recepção / remessa) 6 3 2,0
20 Recepção da planilha MISMatch de controle. Ausência de apuração do risco exposto pelo Banco 8 6 5,3
21 Execução do cálculo de MTM Cálculo executado com informações incorretas e/ou parciais 8 7 6,2
IV - Liquidação22 Inadimplência 8 4 3,6 23 Recebimento/liquidação de valores parciais 7 6 4,7 24 Baixa das operações no sistema Não registro de liquidação e/ou registro inadequado 7 5 3,9
V - Salvaguarda de Ativos25 Contratos custodiados no B.O.- BM&F/CETIP Trânsito indevido de contratos 8 4 3,6 26 Registros e informações contábeis Registros não correspondentes à situação patrimonial 8 7 6,2
5,2
Input do boleto na PN
Pagamento/Recebimento da contraparte
Registro de transações diretamente nos sistemas legados (títs. Públicos)
Registro de movimentação de títulos públicos no SELIC
RISCO BRUTOETAPAS/ATIVIDADES DESCRIÇÃO DOS RISCOS
IMPACTO
Execução de boleto manual para determinados produtos
Precificação das operações
PROBABILIDADE
Mensuração:•Baixo= 0 a 3 •Médio= 3,1 a 6 •Alto = 6,1 a 9
CCáálculo do Risco Bruto:lculo do Risco Bruto:((Impacto * 1/9)*(Prob * 1/9)) * (9)((Impacto * 1/9)*(Prob * 1/9)) * (9)
Matriz de ControlesMatriz de Controles
� Componente de mensuração do grau de exposição ao risco
� Mitigar a própria exposição ao risco
� Calcular a Eficiência e a Eficácia dos Controles
Matriz de ControlesMatriz de ControlesCONTROLE
A M B A M B
I - Venda / Negociação
1Oscilação das taxas de juros do mercado, além das previsões e/ou informações disponíveis
A política de investimento do Banco é estruturada de forma a efetuar emissões casadas, evitando o pagamento de taxas muito acima do mercado (posição zerada).
7 7 5,4
2Negociação fora dos parâmetros determinados para o dia (financeira - Mesa).
Reunião de caixa realizada diariamente entre a diretoria de tesouraria e o staff da mesa analisando as operações fechadas no dia
7 4 3,1
3 Ausência de input na PNDivergências no movimento financeiro são detectados no fechamento do fluxo de caixa
6 3 2,0
4 Input com informações divergentes das negociadasVerificações informais pelo Diretor da Mesa das operações negociadas
6 6 4,0
5Falha no monitoramento e consequente ausência de precificação
A PN é verificada no fechamento do dia 6 3 2,0
6Parâmetros de mercado digitados erroneamente no arquivo mestre
Arquivo mestre alimentado por apenas duas pessoas designadas
5 3 1,7
7 Precificação incorreta do papel.Todas as operações do dia são consolidadas no fechamento para análise
6 3 2,0
8Negociações além do limite operacional estabelecido para o dia
Verificações informais pelo Diretor da Mesa das operações negociadas
5 3 1,7
9 Aprovação de operação fora dos padrões estabelecidosExiste uma segunda aprovação informal sobre cada operação pelo Diretor da Mesa
6 3 2,0
Processamento - Boleto
10Execução de boleto eletrônico por funcionário não autorizado
O sistema está parametrizado para indentificação do responsável pela boletagem.
7 7 5,4
Execução de boleto manual por funcionário não autorizado
Boleto manual efetuado com dados incorretos ou não efetuadosRegistro efetuado com caracterísiticas divergentes das negociadas (CRK e E_GET)Ausência de registro de transações (CRK e E-GET)Registro no SELICefetuado de títulos e/ou quantidades divergentes das negociadasAusência de registro de transações no SELIC
14 Extravio de documentos enviados ao B.O.Confronto diário das operações realizadas com os sistemas legados.
6 6 4,0
Monitoramento
15Remessa de informações incorretas e/ou incompletas ao Planejamento e Controle
Conciliação das informações com o fluxo de caixa. 6 6 4,0
16Morosidade no trânsito de documentos BM&F/ CETIP(recepção / remessa)
Documentação é extraída diretamente dos sistemas custodiantes pelo Back Office
7 8 6,2
17 Ausência de apuração do risco exposto pelo BancoElaboração diária do relatório Mismatch, consolidando todos os negócios realizados durante o dia, utilizado para tomada de decisão gerencial
6 6 4,0
18Cálculo de MTM executado com informações incorretas e/ou parciais
Conciliação contábil das planilhas de cálculo do MTM 6 6 4,0
Liquidação
19 InadimplênciaMonitoramento diário da posição da carteira de investimentos
6 6 4,0
20 Recebimento/liquidação de valores parciais Conciliação diária da Reserva 7 6 4,7
21Não registro de liquidação e/ou registro inadequado nos sistemas legados
Conciliação de posições BMF / CETIP / SELIC 6 6 4,0
Salvaguarda de ativos
22 Trânsito indevido de contratosContratos arquivados em local reservado sob dupla custódia
7 6 4,7
23 Registros não correspondentes à situação patrimonial Conciliações contábeis parciais executadas pelo B.O. 1 1 0,1
3,1
11
12
13
RISCO
Confronto diário das operações realizadas com os sistemas legados.
não há conciliação entre dados inputados nos dois sistemas
EFICÁCIAEFICIÊNCIA
Conciliação entre dados do E-Get e extratos SELIC
DESCRIÇÃO DOS CONTROLES
6
6
6 4,0
0,0
4,0
6
00
CCáálculo da Eficiência e Eficlculo da Eficiência e Eficáácia:cia:((Eficiência * 1/9)*(Efic((Eficiência * 1/9)*(Eficáácia * 1/9)) * (9)cia * 1/9)) * (9)
Risco LRisco Lííquidoquido
� Apurar o nível de exposição do risco;
� Apurar o nível de relação entre os algoritmos de risco x controle:
EXPOSIEXPOSIÇÇÃO = RISCO ÃO = RISCO -- CONTROLECONTROLE
Risco LRisco Lííquidoquido
I - Venda/Negociação
1Oscilação das taxas de juros do mercado, além das previsões e/ou informações disponíveis
6,2 A política de investimento do Banco é estruturada de forma a efetuar emissões casadas, evitando o pagamento de taxas muito acima do mercado (posição zerada).
5,4 0,8
2 Negociação fora dos parâmetros determinados para o dia (financeira - Mesa). 6,2 Reunião de caixa realizada diariamente entre a diretoria de tesouraria e o staff da mesa analisando as operações fechadas no dia
3,1 3,1
3 Ausência de input na PN 5,3 Divergências no movimento financeiro são detectados no fechamento do fluxo de caixa
2,0 3,3
4 Input com informações divergentes das negociadas 5,3 Verificações informais pelo Diretor da Mesa das operações negociadas 4,0 1,3 5 Falha no monitoramento e consequente ausência de precificação 4,4 A PN é verificada no fechamento do dia 2,0 2,4 6 Parâmetros de mercado digitados erroneamente no arquivo mestre 6,2 Arquivo mestre alimentado por apenas duas pessoas designadas 1,7 4,5 7 Precificação incorreta do papel. 5,3 Todas as operações do dia são consolidadas no fechamento para análise 2,0 3,3 8 Negociações além do limite operacional estabelecido para o dia 6,2 Verificações informais pelo Diretor da Mesa das operações negociadas 1,7 4,5
9 Aprovação de operação fora dos padrões estabelecidos 6,2 Existe uma segunda aprovação informal sobre cada operação pelo Diretor da Mesa
2,0 4,2
II - Processamento - Boleto
10 Execução de boleto eletrônicopor funcionário não autorizado 4,4O sistema está parametrizado para indentificação do responsável pela boletagem.
5,4 (1,0)
11 Execução de boleto manual por funcionário não autorizado 6,2 Confronto diário das operações realizadas com os sistemas legados. 4,0 2,2 12 Boleto manual efetuado com dados incorretos ou não efetuados 6,2 Confronto diário das operações realizadas com os sistemas legados. 4,0 2,2
13Registro efetuado com caracterísiticas divergentes das negociadas (CRK e E_GET)
5,3 não há conciliação entre dados inputados nos dois sistemas 0,0 5,3
14 Ausência de registro de transações (CRK e E-GET) 5,3 não há conciliação entre dados inputados nos dois sistemas 0,0 5,3 15 Registro efetuado de títulos e/ou quantidades divergentes das negociadas 5,3 Conciliação entre dados do E-Get e extratos SELIC 4,0 1,3 16 Ausência de registro de transações 5,3 Conciliação entre dados do E-Get e extratos SELIC 4,0 1,3 17 Extravio de documentos enviados ao B.O. 3,9 Confronto diário das operações realizadas com os sistemas legados. 4,0 (0,1)
III - Monitoramento
18Remessa de informações incorretas e/ou incompletas ao Planejamento e Controle
5,3 Conciliação das informações com o fluxo de caixa. 4,0 1,3
19 Morosidade no trânsito de documentos (recepção / remessa) 2,0 Documentação é extraída diretamente dos sistemas custodiantes pelo Back Office
6,2 (4,2)
20 Ausência de apuração do risco exposto pelo Banco 5,3 Elaboração diária do relatório Mismatch, consolidando todos os negócios realizados durante o dia, utilizado para tomada de decisão gerencial
4,0 1,3
21 Cálculo executado com informações incorretas e/ou parciais 6,2 Conciliação contábil das planilhas de cálculo do MTM 4,0 2,2
IV - Liquidação22 Inadimplência 3,6 Monitoramento diário da posição da carteira de investimentos 4,0 (0,4)23 Recebimento/liquidação de valores parciais 4,7 Conciliação diária da Reserva 4,7 (0,0)24 Não registro de liquidação e/ou registro inadequado 3,9 Conciliação de posições BMF / CETIP / SELIC 4,0 (0,1)
V - Salvaguarda de Ativos25 Trânsito indevido de contratos 3,6 Contratos arquivados em local reservado sob dupla custódia 4,7 (1,1)26 Registros não correspondentes à situação patrimonial 6,2 Conciliações contábeis parciais executadas pelo B.O. 0,1 6,1
5,2 3,3 1,9
DESCRIÇÃO DOS CONTROLESDESCRIÇÃO DOS RISCOS RISCO BRUTO CONTROLE RISCO LÍQUIDO
Para (N) Riscos e (M) Controles temos:Para (N) Riscos e (M) Controles temos:
Exp=(ImpExp=(Imp11*Prob*Prob11)+...+(Imp)+...+(ImpNN*Prob*ProbNN) ) -- (E(E11*EF*EF11)+...+(E)+...+(EMM*EF*EFMM))
N N MM
GrGrááfico de exposifico de exposiçção (Risco Lão (Risco Lííquido)quido)
R I S C O
C O
N T
R O
L E
3
00 3 6 9- 3
9
6
3
0
ZONA DE RISCOZONA DE RISCO
R I S C O
C O
N T
R O
L E
3
00 3 6 9- 3
9
6
3
0
ZONA DE CONFORTOZONA DE CONFORTO
GrGrááfico de exposifico de exposiçção (Risco Lão (Risco Lííquido)quido)
R I S C O
C O
N T
R O
L E
3
00 3 6 9- 3
9
6
3
0
ZONA DE INEFICIÊNCIAZONA DE INEFICIÊNCIA
GrGrááfico de exposifico de exposiçção (Risco Lão (Risco Lííquido)quido)
�� Levantar informaLevantar informaçções contões contáábeis e gerenciais das beis e gerenciais das InstituiInstituiçções do Sistema Financeiro Nacional para ões do Sistema Financeiro Nacional para execuexecuçção da segunda anão da segunda anáálise quantitativa e qualitativa lise quantitativa e qualitativa de impacto de alocade impacto de alocaçção de capital para risco operacional ão de capital para risco operacional sob o enfoque de Basilsob o enfoque de Basilééia II.ia II.
�� A planilha Excel preenchida foi transmitida para o Banco A planilha Excel preenchida foi transmitida para o Banco Central do Brasil, atravCentral do Brasil, atravéés da transas da transaçção PSTAW10 para o ão PSTAW10 para o ccóódigo de documento A018.digo de documento A018.
Objetivo Objetivo
AlocaAlocaççãoão de Capitalde Capital
�� BIA BIA -- Abordagem de Indicador BAbordagem de Indicador Báásicosico�� ASA ASA -- Abordagem Padronizada AlternativaAbordagem Padronizada Alternativa�� AMA AMA -- Abordagem de MensuraAbordagem de Mensuraçção Avanão Avanççadaada
Abordagens para a AlocaAbordagens para a Alocaçção de Capital ão de Capital
AlocaAlocaççãoão de Capitalde Capital
AlocaAlocaççãoão de Capitalde Capital
1. Abordagem de Indicador Básico (BIA)
Ano Linhas de Negócio (LOB)Indicador de Exposição
(Gross Income)
Eliminação de resultados negativos
Alpha Alocação de Capital
2003 Total da IF 3.918.573 3.918.573 15% 587.7862004 Total da IF 3.493.798 3.493.798 15% 524.0702005 Total da IF 4.763.123 4.763.123 15% 714.468
Quantidade de anos com Indicador de Exposição positivo 3
Alocação Total de Capital (BIA) 608.775
AlocaAlocaççãoão de Capitalde Capital
2. Abordagem Padronizada Alternativa (ASA)
Ano Linhas de Negócio (LOB) Carteiras de Crédito m Beta Alocação de Capital
2003 Banco de Varejo 0 0,03500 12% 02004 0 0,03500 12% 02005 0 0,03500 12% 02003 Banco Comercial 0 0,03500 15% 02004 0 0,03500 15% 02005 0 0,03500 15% 0
Ano Linhas de Negócio (LOB)Indicador de Exposição
(Gross Income)Beta
Alocação de Capital
2003 Corporate finance 0 18% 0Negociação e Vendas 718.126 18% 129.263Banco de Varejo --- --- 0Banco Comercial --- --- 0Pagamento e Liquidação 0 18% 0Serviços de Agência 0 15% 0Administração de Ativos 0 12% 0Corretagem de varejo 0 12% 0Total da IF --- --- 129.263
2004 Corporate finance 0 18% 0Negociação e Vendas 43.445 18% 7.820Banco de Varejo --- --- 0Banco Comercial --- --- 0Pagamento e Liquidação 0 18% 0Serviços de Agência 0 15% 0Administração de Ativos 0 12% 0Corretagem de varejo 0 12% 0Total da IF --- --- 7.820
2005 Corporate finance 0 18% 0Negociação e Vendas 741.451 18% 133.461Banco de Varejo --- --- 0Banco Comercial --- --- 0Pagamento e Liquidação 0 18% 0Serviços de Agência 0 15% 0Administração de Ativos 0 12% 0Corretagem de varejo 0 12% 0Total da IF --- --- 133.461
Alocação Total de Capital (ASA) 90.181
AlocaAlocaççãoão de Capitalde Capital
3. Abordagem Padronizada Alternativa Agregada (ASA-2)
Ano Linhas de Negócio (LOB) Carteiras de Crédito m Beta Alocação de Capital
2003 Banco de Varejo e Banco Comercial 0 0,03500 15% 02004 0 0,03500 15% 02005 0 0,03500 15% 0
Ano Linhas de Negócio (LOB)Indicador de Exposição
(Gross Income)Beta
Alocação de Capital
2003 Demais linhas de negócio 718.126 18% 129.263Banco de Varejo e Banco Comercial --- --- 0Total da IF --- --- 129.263
2004 Demais linhas de negócio 43.445 18% 7.820Banco de Varejo e Banco Comercial --- --- 0Total da IF --- --- 7.820
2005 Demais linhas de negócio 741.451 18% 133.461Banco de Varejo e Banco Comercial --- --- 0Total da IF --- --- 133.461
Alocação Total de Capital (ASA-2) 90.181
AlocaAlocaççãoão de Capitalde Capital