Circular No. 169/B/2002-DSB/AMCM (Data: 21/11/2002) DIRECTIVAS PARA O CONTROLE INTERNO DAS INSTITUIÇÕES DE CRÉDITO AUTORIZADAS A Autoridade Monetária de Macau (AMCM), com os poderes conferidos pelo artigo 9º dos seus Estatutos, aprovados pelo Decreto-Lei nº 14/96/M, de 11 de Março, e pelo artigo 6º do Regime Jurídico do Sistema Financeiro de Macau (RJSF) , aprovado pelo DecretoLei Nº 32/93/M, de 5 de Julho, estabelece o seguinte: 1. APRESENTAÇÃO 1.1 Um sistema eficiente de controle interno é uma componente fundamental da gestão bancária e o alicerce para as operações seguras e sadias das organizações bancárias. Controles internos fracos ou ineficazes tem provocado prejuízos em numerosos bancos e contribuído para o encerramento de outros em todo o mundo. Alguns dos casos citados poderiam ter sido evitados ou descobertos através de mecanismos de controle eficazes antes que os prejuízos tivessem sido realmente sofridos pelos bancos. Tendo em vista a crescente importância de um sistema de controle interno eficaz em garantir que as operacões dos bancos se mantenham seguras e prudentes, a AMCM resolveu publicar estas Directivas. 1.2 Estas directivas destinam-se a todas as instituições de crédito autorizadas (doravante referidas como “bancos”), tanto as constituídas localmente como as sucursais de bancos sediados no estrangeiro. Embora a AMCM reconheça que nem todas as instituições possam implementar todos os aspectos destas directivas, os bancos serão encorajados e obrigados a criar, manter e operar um sistema eficaz de controle interno apropriado à dimensão do banco e à natureza, ao âmbito, e ao risco da sua actividade. Contudo, embora seja provável que os bancos de menor dimensão sejam menos formais e menos estruturados, os seus sistemas de controle interno devem ser tão eficazes quanto os dos bancos mais complexos e de maior dimensão. A AMCM fará, com base nestas directivas, a monitorização estreita bem como a avaliação da qualidade e eficácia dos sistemas de controle interno dos bancos. 2. OBJECTIVOS DO CONTROLE INTERNO Não obstante as rápidas alterações da indústria bancária, o conceito fundamental subjacente ao controle interno eficaz permanece o mesmo. Os controles internos 1 destinam-se a assegurar que os bancos alcancem as suas metas bem como os seus objectivos de rendibilidade a longo prazo de um modo seguro, prudente e controlável. Mais concretamente, um sistema eficaz de controle interno podem assegurar que os bancos alcancem os objectivos a seguir descritos: • • • • • As operações bancárias sejam eficientes e eficazes. O registo das transações seja exacto. Os relatórios financeiros e os de gestão sejam fidedignos e completos. Os sistemas de controle de riscos sejam eficazes. O banco respeite as leis e os regulamentos, bem como as políticas e os procedimentos internos vigentes. 3. PRINCÍPIOS DO CONTROLE INTERNO O banco, ao criar o seu sistema de controle interno, deverá ter em atenção os princípios abaixo indicados: 3.1 Eficaz e Eficiente. O controle interno deve ser aplicado consistentemente e bem compreendido pelos trabalhadores do banco a fim de permitir que as políticas do conselho de administração e da direcção sejam implementadas de maneira eficaz e eficiente. Entretanto, o controle interno não deverá tolerar quaisquer actos de má gestão tanto da administração como dos principais directores. 3.2 Prudente. O cerne do controle interno é efectivamente o de mitigar os riscos associadas à actividade bancária. A prudência deve ter sempre a maior prioridade na delineação de um sistema de controle interno. 3.3 Completo. Os princípios e procedimentos de controle interno devem abranger todos os aspectos da actividade e operação bancária. 3.4 Oportuno. O sistema de controle interno deve ser aplicado desde o primeiro dia de actividade do banco com a eficácia necessária para despoletar sinais de alerta permitindo que os corpos gerentes tomem acções correctivas para reduzir e evitar riscos potenciais. 3.5 Independente. A função de avaliar a eficácia do sistema de controle interno deve estar separada do da formulação e execução do mesmo. A qualidade e a adequabilidade dos controles internos devem ser avaliados de forma independente. 4. COMPONENTES DO CONTROLE INTERNO O sistema de controle interno é composto de cinco elementos críticos, a saber: 2 • • • • • Um ambiente de controle; Reconhecimento e avaliação do risco; Actividades de controle; Sistemas de contabilidade, informação e de comunicação, e Monitorização e correcção. 4.1 AMBIENTE DE CONTROLE Um ambiente de controle reflecte o compromisso do conselho de administração e da direcção para com o sistema de controle interno. O citado ambiente fornece a disciplina e a estrutura necessária para o sistema de controle. Os elementos de um ambiente de controle incluem: • • • • • • A estrutura organizacional da instituição; Filosofia de gestão e estilo operacional; A integridade, a ética e a competência do quadro de pessoal; As influências externas que afectam as operações bancárias e as práticas da gestão de risco, tais como, auditoria independente. A atenção e a direcção fornecidas pelo conselho de administração e as suas comissões; A eficácia da política de recursos humanos e procedimentos associados. 4.1.1 O conselho de administração deve possuir a responsabilidade para a formulação, aprovação e revisão periódica das estratégias negociais e principais políticas do banco, compreendendo os maiores riscos associados à actividade bancária, estabelecendo limites aceitáveis para os mesmos e assegurar que os membros da direcção tomem as medidas essenciais para identificar, medir, monitorizar e controlar os riscos: aprovar a estrutura organizacional; e definir claramente as autoridades e responsabilidades, utilizando eficazmente o trabalho produzido pelos auditores internos e externos, como reconhecimento da função importante de controle que eles fornecem. O conselho de administração deve debater periodicamente com a direcção assuntos relacionados com a eficácia do sistema de controle; rever oportunamente os procedimentos e resultados do controle interno; assegurar, de imediato, o seguimento pronto pela direcção das recomendações e preocupações por pelos depositários tais como reguladores, accionistas e clientes sobre deficiências de controle interno; e rever periodicamente a adequabilidade da estratégia do banco e dos seus limites de risco. 4.1.2 Os gerentes principais devem ter a responsabilidade de fazer executar as directivas emanadas do conselho de administração, incluindo o da implementação das estratégias e políticas. Os gerentes principais devem manter uma estrutura organizacional que imputam, com toda a clareza, as relações de responsabilidade, de autoridade e de comunicabilidade. A 3 distribuição de funções e de responsabilidades deve assegurar de que não existem hiatos nas linhas de comunicação e de que o nível de controle de gestão seja extensível a todas as camadas do banco e às suas actividades diversas. A delegação é uma parte essencial da gestão. Ë importante que os principais gerentes supervisionem aqueles a quem eles delegaram essas responsabilidades com o propósito de asseguram o seu exercício efectivo e próprio. Os gerentes principais devem ser os responsáveis pela elaboração de procedimentos que identifiquem, meçam, monitorizem e controlem os riscos, e de outros procedimentos que recrutem, remunerem, motivem e recompensem trabalhadores capazes com o fim de atrair os mais qualificados a permanecerem no banco. 4.1.3 Um dos elementos essenciais para o sistema de controle interno é o de haver uma forte cultura de controle. O conselho de administração e os principais gerentes são responsáveis pela promoção de elevados padrões de ética e de integridade, e para o estabelecimento de uma cultura dentro da organização que realce e demonstre a todas as camadas de trabalhadores a importância dos controles internos. Todos os trabalhadores de uma organização bancária necessitam de compreender o seu papel no processo de controle interno e de participarem total e activamente nesse mesmo processo. Ao realçarem os valores éticos, os bancos deverão evitar políticas e práticas que possam inadvertidamente fornecer incentivos ou tentações para a prática de actividades inapropriadas. As metas a atingir bem como outros resultados operacionais não deverão ser alcançados em detrimento dos riscos de longo prazo. 4.2 Reconhecimento e avaliação do risco O reconhecimento e a avaliação do risco é o processo pela qual o conselho de administração e a direcção utiliza para identificar e analisar os riscos que poderão impedir o banco de alcançar os objectivos planeados. A avaliação deverá ajudar a determinar quais os riscos, como deverão ser geridos, e quais os controles necessários. Os riscos poderão surgir ou de se alterarem consoante os factores a seguir indicados: • • • • • • • • Mudança no ambiente operacional do banco; Pessoal novo; Sistemas de informação novos ou renovados; Crescimento rápido; Nova tecnologia; Actividades, produtos ou negócios novos ou aumentados; Fusões ou outras reestruturações da sociedade, e Alterações nos padrões contabilísticos. 4.2.1 Uma avaliação do risco deve identificar e sopesar os factores internos e externos que poderão afectar negativamente os objectivos planeados pelo banco, 4 nomeadamente os de execução, de informação e de conformidade. Essa avaliação deve abranger todos os riscos que o banco enfrenta (tais como, risco do crédito, risco do país e transferências, risco do mercado, risco da taxa de juro, risco da liquidez, risco operacional, risco legal e risco reputacional). 4.2.2 A avaliação do risco deve ser efectuada a todos os níveis dos negócios individuais e sobre um leque largo de actividades. Uma avaliação efectiva do risco é feita tanto sobre os aspectos mensuráveis como os não-mensuráveis e pondera os custos de controle contra os benefícios daí provenientes. 4.2.3 A avaliação do risco deve determinar igualmente quais os riscos controláveis pelo banco daqueles que não o são. Para os riscos controláveis, o banco deve ponderar se se deve ou não aceitá-los ou qual a extensão que deve ir por forma a mitigar esses riscos através dos procedimentos de controle. Para os riscos não controláveis, o banco deve decidir se se aceita o(s) mesmo(s) ou se retira do negócio ou se reduz o nível de actividade em questão. 4.2.4 Os controles internos poderão ter se ser revistos a fim de poder enfrentar quaisquer riscos novos ou previamente não controlados. Por exemplo, à medida que vai havendo inovações financeiras, o banco terá a necessidade de avaliar os novos instrumentos financeiros e as transacções no mercado e ponderar sobre os riscos associados com essas actividades. 4.3 Actividades de controle 4.3.1 As actividades de controle incluem as políticas, os procedimentos e as práticas estabelecidas para ajudar a assegurar os trabalhadores do banco no cumprimento das directivas emanadas do conselho de administração e da direcção. Essas actividades ajudam a assegurar que o conselho de administração e a direcção possam gerir e controlar os riscos que poderiam vir a afectar a gestão operacional do banco ou provocar prejuízos financeiros. As políticas que governam as actividades de controle devem assegurar que os directores, gerentes e trabalhadores bancários que executem funções de controle para além do seu trabalho operacional não estejam em condições de avaliar o seu próprio trabalho. As actividades de controle envolvem dois passos típicos:(1) a criação de políticas e procedimentos de controle; e (2) verificação de que as políticas e procedimentos de controle estão a ser seguidos em conformidade. 4.3.2 As actividades de controle são aplicadas a diversos níveis organizacionais e funcionais e incluem: • Revisões de execução operacional. Essas actividades de controle incluem as avaliações de riscos e comparações entre a execução financeira actual face aos orçamentos, previsões, e execuções anteriores bem como as actividades de 5 controle operacional. Ao executar essas revisões, o banco faz a comparação de vários conjuntos de dados entre si. O banco utiliza essas comparações para analisar as execuções reais com as projectadas ou necessárias com o propósito de identificar as razões dos desvios significantes e para ponderar se se deve ajustar qualquer actividade específica. • Processamento de informação. As actividades de controle dos sistemas de informação podem ser agrupadas de uma forma genérica em duas grandes categorias: controles gerais e controles de aplicação. Os controles gerais incluem os sobre as operações do centro de processamento de dados, aquisição e manutenção do “software” do sistema informático. Esses controles destinam-se ao sistema central, servidores e estações de trabalho para os utilizadores finais, e redes internas e externas. Os controles de aplicação destinam-se aos programas que o banco utiliza no processamento das transações e ajudam a assegurar que as transações são válidas, devidamente autorizadas e exactas. • Conformidade com os limites de exposição. O estabelecimento de limites prudentes sobre a exposição ao risco é um aspecto muito importante da gestão do risco. Por exemplo, a conformidade com os limites de exposição para mutuários e terceiros reduz a concentração do risco de crédito do banco e ajuda a diversificar o seu perfil de risco. Consequentemente, uma faceta importante dos controles internos é o processo para a revisão da conformidade para com esses limites e o acompanhamento posterior em casos de inconformidade. • Controles físicos. De um modo geral estas actividades asseguram a integridade física dos activos do banco. Estão incluídos nesses activos os confiados à sua guarda bem como os registos, limitando o acesso aos programas informáticos e ficheiro de dados, e periodicamente comparando os valores actuais dos activos e passivos com os registados no controle. • Aprovações e autorizações. A delegação de autoridade apropriada e/ou devoluções não devem comprometer as aprovações e autorizações necessárias. A necessidade da obtenção de aprovação e autorização para transações acima de alguns limites assegura que a direcção está ciente dessa mesma transação ou situação a fim de realçar o sistema de responsabilização. • Verificação e reconciliação. As verificações dos detalhes das transações, actividades e a produção dos diversos sistemas de processamento e de gestão são de muita importância para o banco a fim de assegurar a exactidão e a fiabilidade dos relatórios operacional, financeiro e de gestão. As reconciliações devem ser efectuadas regularmente a fim de identificar actividades e registos que precisam de rectificação ou de outro tipo de acção. Consequentemente, quaisquer resultados excepcionais ou extraordinários fruto dessas reconciliações devem ser relatadas em tempo oportuno ao nível de gestão apropriado. 6 • Segregação de funções. Os bancos estabelecem a segregação de funções ao nomear trabalhadores diferentes para as responsabilidades de autorização de transações, registo de transações e manutenção da custódia dos activos. Tal segregação destina-se a tornar impossível que qualquer trabalhador esteja na situação de, ao mesmo tempo, perpretar e esconder erros ou irregularidades no decorrer do exercício normal das suas funções. As áreas de conflito potenciais devem ser identificadas, minimizadas e sujeitas a uma monitorização cuidada e independente. 4.3.3 As actividades de controle serão mais eficazes se forem consideradas parte integral, e não apenas mais um acréscimo, das actividades diárias do banco. Não basta à direcção a simples criação de políticas e procedimentos apropriados para as diversas actividades e unidades orgânicas do banco. A direcção terá de assegurar regularmente que todos os sectores do banco estão em conformidade com tias políticas e procedimentos e determinar se as políticas e procedimentos vigentes continuam adequadas. 4.4 Sistemas de Contabilidade, Informação e de Comunicação Os sistemas de contabilidade, informação e de comunicação identificam, recolhem e trocam informação num formato que permite aos trabalhadores do banco o pleno exercício das suas responsabilidades. Os sistemas de contabilidade incluem os métodos e registos que identificam, agregam, analisam, classificam, registam e informam as transações do banco. Os sistemas de informação produzem relatórios sobre operações, finanças, gestão de risco e conformidade que permitem ao conselho de administração e direcção a gestão eficiente do banco. Por último, os sistemas de comunicação fornecem informação por todo o banco e a terceiros, tais como, autoridades de supervisão, inspectores bancários, accionistas e clientes. 4.4.1 Um sistema de controle interno eficaz requer a existência de uma gama adequada e completa de dados contabilísticos, financeiros, operacionais e de conformidade, bem como de dados sobre o mercado externo acerca de acontecimentos e condições que são relevantes para o processo da tomada de decisão. A informação deve ser fidedigna, oportuna, acessível e fornecida de maneira sistemática. 4.4.2 Um sistema eficaz de controle interno requer igualmente a criação e manutenção de sistemas de informação de gestão que cubram a gama completa das actividades do banco. Esses sistemas, incluindo aqueles que armazenam e utilizam dados com formato electrónico, devem ser seguros, monitorizados independentemente e apoiados por sistemas de contingência adequados. 4.4.3 Um sistema eficaz de controle interno requer canais de comunicação eficazes a fim de assegurar que todos os trabalhadores compreendam de modo cabal e adiram às políticas e procedimentos que afectam as suas funções e responsabilidades e que toda e qualquer informação relevante chegue aos seus destinatários. 7 A direcção deve ser responsável pelo estabelecimento de uma linha de comunicação que assegure que toda a informação relevante chegue aos trabalhadores correctos, e pela criação de uma estrutura organizacional que facilite fluxos de informação adequados, tanto para cima, para baixo, ou horizontalmente pela organização. 4.5 Monitorização e Correcção Inclui cinco ou mais áreas: • A eficácia global do sistema de controle interno do banco deve ser monitorizada de forma contínua. A monitorização contínua pode ter a vantagem de detectar e corrigir com rapidez as deficiências no sistema, e facilitar a direcção na resolução atempada dos problemas. Alguns dos riscos mais importantes devem fazer parte da rotina diária do banco. Entretanto, os auditores externos desempenham um papel importante na monitorização das políticas e procedimentos internos do banco. A função do auditor externo nesse campo é considerado, segundo a AMCM, parte integrante do seu controle de qualidade. • A auditoria interna deve funcionar independentemente. Os auditores internos devem reportar-se ao conselho de administração, directamente ou através do conselho fiscal, de acordo com a estrutura organizacional de cada banco. O conselho de administração é responsável pelo estabelecimento de condições que permitam um funcionamento eficaz e monitorização da auditoria, e determina quão intensiva o processo de auditoria deve ser a fim de testar e monitorizar com eficácia os controles internos e de assegurar a fiabilidade dos mapas da situação financeira e relatórios do banco. Um programa de auditoria interna claro e conciso pode ser uma defesa primordial contra quebras de controle ou tentativas de fraude ao fornecer avaliações independentes sobre a qualidade e a eficácia do sistema de controle interno. Dada a natureza importante desta função, a auditoria interna deve ser preenchida por um quadro de trabalhadores competentes, com formação apropriada e que possuam um compreensão clara das suas tarefas e responsabilidades. • A monitorização da eficácia dos controles internos deve ser efectuada por trabalhadores de áreas ou sectores diferentes, incluindo a própria função negocial, auditoria interna e controle financeiro, etc.. • As deficiências do controle interno, quer sejam identificadas pelos canais negociais, de auditoria interna ou de outros trabalhadores de controle, devem ser comunicados em devido tempo à respectiva chefia imediata, com os assuntos mais graves a serem comunicados à direcção e conselho de administração. • A direcção e/ou respectivas chefias devem corrigir as deficiências identificadas de modo oportuno. É igualmente importante que o conselho de administração e a direcção recebam periodicamente relatórios que descrevam todos os assuntos de controle e criem um sistema que ajude a verificar as fraquezas do controle interno. 8 5. CRIAÇÃO DE ALGUMAS COMISSÕES ESPECIALIZADAS A AMCM acredita na necessidade do banco criar uma ou mais comissões especializadas ou de estruturas com funções similares, incluindo: • Comissão de Auditoria. É importante que a comissão de auditoria reporte directamente ao conselho de administração. Isso permite um funcionamento apropriado da gestão empresarial ao fornecer à administração informação não tendenciosa. A comissão fornece supervisão aos auditores internos e externos do banco, aprova as suas nomeações e demissões, revê e aprova os parâmetros e a frequência da auditoria, e assegura que a direcção e chefias tome acções correctivas atempadas e apropriadas sobre as deficiências do controle, a não conformidade com as políticas, leis e regulamentos, bem como de outros problemas identificados pelos auditores. • Comissão de Gestão de Activos e Passivos. A função mais fundamental desta comissão é o de supervisionar o risco de mercado do banco e de um modo particular assegurar que o banco tenha a liquidez suficiente para solver os seus compromissos. Os membros da comissão devem representar tanto o lado dos activos bem como o dos passivos do balanço. Incluem, tipicamente, o directorgeral, o director financeiro, o tesoureiro, o director de crédito, e o director responsável pelos depósitos. Outros membros, da linha do negócio, também devem ser altamente encorajados. • Comissão de Gestão de Risco. Fornece a supervisão das actividades da direcção na gestão do crédito, do mercado, da liquidez, operacional, legal e de outros riscos do banco. Os membros da comissão devem pertencer às chefias dos principais ramos de negócio do banco. Representantes de algumas unidades orgânicas especiais, como por exemplo, administração de crédito, auditoria, são extremamente importantes. • Comissão de Compensação. A comissão fornece a supervisão das remunerações do pessoal da direcção e das chefias bem como de outros trabalhadores chaves e asseguram uma compensação consistente com a cultura, estratégia, visão e ambiente de controle do banco. O conselho de administração deve aprovar as políticas salariais e pacotes relevantes baseadas nas recomendações da comissão. • Comissão de Nomeação. Fornece uma avaliação importante sobre a eficácia do conselho e dirige o processo de renovação e substituição dos membro do conselho de administração. A comissão deve assegurar de que apenas os indivíduos mais competentes sejam nomeados para o conselho e outros lugares chaves de chefia. É responsável pelas recomendações ao conselho no que se refere às novas nomeações de directores e chefias superiores. O conselho deve aprovar as nomeações com base nas recomendações da comissão. 9