gestão do risco operacional no banco de portugal · 27 de setembro 2016 gestão do risco...
TRANSCRIPT
Jorge Mourato • Coordenador do Núcleo de Gestão de Riscos Operacionais
27 setembro 2016 | Lisboa
XV CONFERÊNCIA SOBRE AUDITORIA, RISCO E GOVERNANCE A Governance de Risco
Gestão do Risco Operacional no Banco de Portugal
Framework de Risco Operacional e Responsabilidade da Auditoria Interna
2 •
Agenda
1. Organização interna
2. Principais responsabilidades
3. Gestão do Risco Operacional
4. Desafios e oportunidades
5. Responsabilidades da Auditoria Interna
6. Ações em curso
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
3 •
1. Organização
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Modelo de Governação
Departamento de Gestão de Risco
Departamento de Auditoria
Funções de Negócio(Departamentos)
1ª linha de defesa
2ª linha de defesa
3ª linha de defesa
Gabinete de Conformidade
Comissão para o Risco eo Controlo Interno
Conselho de Administração
4 •
1. Organização (cont.)
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Departamento de Gestão de Risco
Área de Gestão de Risco Financeiro
Área do Risco Global
Núcleo dos Riscos das Operações de Política Monetária
Núcleo dos Riscos da Gestão das Reservas
Núcleo de Otimização e
Principais Riscos
Núcleo de Gestão dos Riscos
Operacionais
5 •
2. Principais Responsabilidades
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Assegurar a definição e atualização, em conjunto com todos os departamentos, do processo
de gestão do risco operacional (ORM) no Banco, estabelecendo políticas e procedimentos
comuns
Coordenar, em articulação com todos os departamentos, a identificação e avaliação dos
riscos associados à atividade do Banco, prestando o necessário apoio técnico
Monitorizar, medir e avaliar o grau de risco operacional e a performance das estratégias de
gestão do risco, com base em indicadores de risco
Assegurar o acompanhamento da implementação e evolução dos processos de ORM no
âmbito do Eurosistema/SEBC
Implementar e manter um modelo de registo de incidentes, transversal ao Banco,
colaborando com os departamentos no sentido de identificar medidas de mitigação e
melhoria do ambiente de controlo interno
Realizar ações de formação e consciencialização sobre o tema para todo o universo do Banco
Participar de forma ativa nos temas relacionados com Continuidade de Negócio
6 • Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Gestão do Risco Operacional
7 •
3. Gestão do Risco Operacional
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
EVEN
TOS - Erros e falhas
- Irregularidades
- Fraudes
- Incidentes de trabalho
- Indisponibilidade
- Desastres
- Ataques
- Outros Eventos
CA
USA
S - Governação e processos de negócio
- Pessoas
- Sistemas
- Eventos externos
IMPA
CTO
S - Financeiro
- Negócio
- Reputacional
Risco Operacional
Risco de perdas ou impactos negativos a nível financeiro, do negócio, ou da imagem/reputação
da organização, causados por falhas ou deficiências na governação e processos de negócio, nas
pessoas, nos sistemas ou resultantes de eventos externos.
8 •
3. Gestão do Risco Operacional (cont.)
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
A ORM consiste no processo completo, contínuo e sistemático de identificar, analisar,
responder e monitorizar os riscos operacionais, no sentido de:
Assegurar que o Banco prossegue a sua missão e objetivos e que protege adequadamente a
sua reputação, recursos e ativos financeiros
Dotar os gestores e responsáveis de ferramentas que lhes permitam responder de forma
eficaz ao risco
Promover a todos os níveis o grau de consciencialização dos riscos e a melhoria contínua da
gestão da incerteza
Proporcionar ao Conselho de Administração uma visão estruturada, coerente e consolidada
dos riscos operacionais
9 •
3. Gestão do Risco Operacional (cont.)
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Mitigar Aceitar Transferir Eliminar?
Registo de Incidentes
“RCSA”Workshops
Planos de MitigaçãoAções de Gestão
Metodologia
Relatórios
10 •
3. Gestão do Risco Operacional (cont.)
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Metodologia
ORM
Gestão
Continuidade
Negócio
Principais
Eventos
Risco
Top-down
Bottom-upORM GCN
Monitorizar riscos, processos, controlos
Novos riscosresposta a incidentes
falhas nos testes
Risco
Residual
Melhoria
Contínua
Análise bottom-up dos principais eventos de
risco identificados
11 •
3. Gestão do Risco Operacional (cont.)
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Suporte Regulamentar
COSO
FRAMEWORK
Modelo de Gestão do Risco Operacional no Banco de Portugal
ESCB / EUROSYSTEM
OPERATIONAL RISK MANAGEMENT/
BUSINESS CONTINUITY MANAGEMENT
Metodologia Operacionalização
POLÍTICA DE GESTÃO DO RISCO OPERACIONAL DO BANCO DE PORTUGAL
PRINCÍPIOS ORIENTADORES PARA A GESTÃO DO RISCO OPERACIONAL
12 •
3. Gestão do Risco Operacional (cont.)
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Ferramenta informática de suporte
Interface em MS Access
Base de dados SQL Server
Principais funcionalidades:
Identificação e caracterização das funções e subfunções
Identificação de riscos
Avaliação de riscos
Reporte
13 •
3. Gestão do Risco Operacional (cont.)
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Registo de Incidentes
Identificar pontos críticos e riscos associados nos processos do Banco
Identificar as interdependências departamentais na execução de um objetivo de negócio
Prevenir novos incidentes
Otimizar os processos do Banco
Criar uma cultura de gestão de risco
O registo de incidentes constitui uma “memória da organização” e potencia a aprendizagem através da experiência.
Como?
Incidente
Ocorrência de evento de risco Com impacto negativo ao nível
• Financeiro• Negócio• Imagem/reputação
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
14 •
3. Gestão do Risco Operacional (cont.)
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Registo de Incidentes (RI)
O RI permite a todos os colaboradores terum papel ativo na gestão do Banco
Universalidade do registo
Formulário na Intranet
Incidentes sem validações
Análise de incidentes
Relatórios específicos para diferentes públicos
15 •
4. Desafios e Oportunidades
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Participação crescente no apoio ao processo de decisão
Exercícios periódicos de quantificação do risco operacional (BIA e métodos heurísticos)
Projeção das demonstrações financeiras
Análise de risco de suporte à decisão (componente estratégica):
Estratégia para os Data Centers do Banco
Política de outsourcing
Inputs de suporte a respostas institucionais
Coordenação de task force para estudar a temática da cibersegurança
Definição da política de Segurança da informação
16 •
4. Desafios e Oportunidades (cont.)
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Representação Internacional e Cooperação
Participação na ORM Task Force (Eurosistema/SEBC)
Participação no IORWG
Participação em eventos de cooperação, no âmbito do risco operacional e continuidade
de negócio dos BCPLP
Ações de cooperação com o Banco Central do Brasil, Banco Nacional de Angola e Banco
Central de Moçambique, no âmbito do risco operacional e continuidade de negócio
17 • Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Auditoria Interna
18 •
5. Responsabilidades da Auditoria Interna
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Vertente de gestão de risco
A função de AI, na vertente de gestão de risco, deve proporcionar uma avaliação independentedo desenho e implementação na gestão de risco no Banco, incidindo a sua apreciação sobre:
A adequação da documentação de suporte
A eficácia dos processos in place
A integridade dos sistemas aplicacionais
A organização da unidade de controlo e gestão de risco
A adequação do modelo de quantificação na captura dos riscos relevantes
19 •
6. Próximos passos
Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
Ações em curso
Revisão do normativo aplicável (em fase de finalização)
Desenvolvimento da vertente de quantificação dos riscos operacionais (métodos estatísticos)
Identificação de indicadores chave de risco (KRI)
Streamlining da metodologia ORM (RCSA)
Desenvolvimento/aquisição de nova ferramenta de Gestão de Risco (estudo prévio)
20 • Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016
“O talento vence jogos, mas só o trabalho em equipa ganha campeonatos.”Michael Jordan
21 • Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016