gestão do risco operacional no banco de portugal · 27 de setembro 2016 gestão do risco...

Jorge Mourato • Coordenador do Núcleo de Gestão de Riscos Operacionais

27 setembro 2016 | Lisboa

XV CONFERÊNCIA SOBRE AUDITORIA, RISCO E GOVERNANCE A Governance de Risco

Gestão do Risco Operacional no Banco de Portugal

Framework de Risco Operacional e Responsabilidade da Auditoria Interna

2 •

Agenda

1. Organização interna

2. Principais responsabilidades

3. Gestão do Risco Operacional

4. Desafios e oportunidades

5. Responsabilidades da Auditoria Interna

6. Ações em curso

Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016

3 •

1. Organização


Modelo de Governação

Departamento de Gestão de Risco

Departamento de Auditoria

Funções de Negócio(Departamentos)

1ª linha de defesa

2ª linha de defesa

3ª linha de defesa

Gabinete de Conformidade

Comissão para o Risco eo Controlo Interno

Conselho de Administração

4 •

1. Organização (cont.)


Departamento de Gestão de Risco

Área de Gestão de Risco Financeiro

Área do Risco Global

Núcleo dos Riscos das Operações de Política Monetária

Núcleo dos Riscos da Gestão das Reservas

Núcleo de Otimização e

Principais Riscos

Núcleo de Gestão dos Riscos

Operacionais

5 •

2. Principais Responsabilidades


Assegurar a definição e atualização, em conjunto com todos os departamentos, do processo

de gestão do risco operacional (ORM) no Banco, estabelecendo políticas e procedimentos

comuns

Coordenar, em articulação com todos os departamentos, a identificação e avaliação dos

riscos associados à atividade do Banco, prestando o necessário apoio técnico

Monitorizar, medir e avaliar o grau de risco operacional e a performance das estratégias de

gestão do risco, com base em indicadores de risco

Assegurar o acompanhamento da implementação e evolução dos processos de ORM no

âmbito do Eurosistema/SEBC

Implementar e manter um modelo de registo de incidentes, transversal ao Banco,

colaborando com os departamentos no sentido de identificar medidas de mitigação e

melhoria do ambiente de controlo interno

Realizar ações de formação e consciencialização sobre o tema para todo o universo do Banco

Participar de forma ativa nos temas relacionados com Continuidade de Negócio

6 • Gestão do Risco Operacional no Banco de Portugal - Desafios e oportunidades27 de setembro 2016

Gestão do Risco Operacional

7 •

3. Gestão do Risco Operacional


EVEN

TOS - Erros e falhas

- Irregularidades

- Fraudes

- Incidentes de trabalho

- Indisponibilidade

- Desastres

- Ataques

- Outros Eventos

CA

USA

S - Governação e processos de negócio

- Pessoas

- Sistemas

- Eventos externos

IMPA

CTO

S - Financeiro

- Negócio

- Reputacional

Risco Operacional

Risco de perdas ou impactos negativos a nível financeiro, do negócio, ou da imagem/reputação

da organização, causados por falhas ou deficiências na governação e processos de negócio, nas

pessoas, nos sistemas ou resultantes de eventos externos.

8 •

3. Gestão do Risco Operacional (cont.)


A ORM consiste no processo completo, contínuo e sistemático de identificar, analisar,

responder e monitorizar os riscos operacionais, no sentido de:

Assegurar que o Banco prossegue a sua missão e objetivos e que protege adequadamente a

sua reputação, recursos e ativos financeiros

Dotar os gestores e responsáveis de ferramentas que lhes permitam responder de forma

eficaz ao risco

Promover a todos os níveis o grau de consciencialização dos riscos e a melhoria contínua da

gestão da incerteza

Proporcionar ao Conselho de Administração uma visão estruturada, coerente e consolidada

dos riscos operacionais

9 •



Mitigar Aceitar Transferir Eliminar?

Registo de Incidentes

“RCSA”Workshops

Planos de MitigaçãoAções de Gestão

Metodologia

Relatórios

10 •



Metodologia

ORM

Gestão

Continuidade

Negócio

Principais

Eventos

Risco

Top-down

Bottom-upORM GCN

Monitorizar riscos, processos, controlos

Novos riscosresposta a incidentes

falhas nos testes

Risco

Residual

Melhoria

Contínua

Análise bottom-up dos principais eventos de

risco identificados

11 •



Suporte Regulamentar

COSO

FRAMEWORK

Modelo de Gestão do Risco Operacional no Banco de Portugal

ESCB / EUROSYSTEM

OPERATIONAL RISK MANAGEMENT/

BUSINESS CONTINUITY MANAGEMENT

Metodologia Operacionalização

POLÍTICA DE GESTÃO DO RISCO OPERACIONAL DO BANCO DE PORTUGAL

PRINCÍPIOS ORIENTADORES PARA A GESTÃO DO RISCO OPERACIONAL

12 •



Ferramenta informática de suporte

Interface em MS Access

Base de dados SQL Server

Principais funcionalidades:

Identificação e caracterização das funções e subfunções

Identificação de riscos

Avaliação de riscos

Reporte

13 •



Registo de Incidentes

Identificar pontos críticos e riscos associados nos processos do Banco

Identificar as interdependências departamentais na execução de um objetivo de negócio

Prevenir novos incidentes

Otimizar os processos do Banco

Criar uma cultura de gestão de risco

O registo de incidentes constitui uma “memória da organização” e potencia a aprendizagem através da experiência.

Como?

Incidente

Ocorrência de evento de risco Com impacto negativo ao nível

• Financeiro• Negócio• Imagem/reputação


14 •



Registo de Incidentes (RI)

O RI permite a todos os colaboradores terum papel ativo na gestão do Banco

Universalidade do registo

Formulário na Intranet

Incidentes sem validações

Análise de incidentes

Relatórios específicos para diferentes públicos

15 •

4. Desafios e Oportunidades


Participação crescente no apoio ao processo de decisão

Exercícios periódicos de quantificação do risco operacional (BIA e métodos heurísticos)

Projeção das demonstrações financeiras

Análise de risco de suporte à decisão (componente estratégica):

Estratégia para os Data Centers do Banco

Política de outsourcing

Inputs de suporte a respostas institucionais

Coordenação de task force para estudar a temática da cibersegurança

Definição da política de Segurança da informação

16 •

4. Desafios e Oportunidades (cont.)


Representação Internacional e Cooperação

Participação na ORM Task Force (Eurosistema/SEBC)

Participação no IORWG

Participação em eventos de cooperação, no âmbito do risco operacional e continuidade

de negócio dos BCPLP

Ações de cooperação com o Banco Central do Brasil, Banco Nacional de Angola e Banco

Central de Moçambique, no âmbito do risco operacional e continuidade de negócio


Auditoria Interna

18 •

5. Responsabilidades da Auditoria Interna


Vertente de gestão de risco

A função de AI, na vertente de gestão de risco, deve proporcionar uma avaliação independentedo desenho e implementação na gestão de risco no Banco, incidindo a sua apreciação sobre:

A adequação da documentação de suporte

A eficácia dos processos in place

A integridade dos sistemas aplicacionais

A organização da unidade de controlo e gestão de risco

A adequação do modelo de quantificação na captura dos riscos relevantes

19 •

6. Próximos passos


Ações em curso

Revisão do normativo aplicável (em fase de finalização)

Desenvolvimento da vertente de quantificação dos riscos operacionais (métodos estatísticos)

Identificação de indicadores chave de risco (KRI)

Streamlining da metodologia ORM (RCSA)

Desenvolvimento/aquisição de nova ferramenta de Gestão de Risco (estudo prévio)


“O talento vence jogos, mas só o trabalho em equipa ganha campeonatos.”Michael Jordan

gestão do risco operacional no banco de portugal · 27 de setembro 2016 gestão do risco...

Documents