O Controlo Interno como
Linha de Defesa da
Solvabilidade Financeira
Francisco Rocha• Diretor do Departamento de
Auditoria do Banco de Portugal
7 de outubro de 2014
Seminar Seminar name
SUMÁRIO
Controlo Interno e Solvabilidade Financeira
O Sistema de Controlo Interno no Setor Bancário em Portugal é um
imperativo regulado pelo Aviso nº 5/2008:
“As instituições […] devem dispor de um Sistema de Controlo Interno
que obedeça aos princípios e requisitos mínimos definidos neste Aviso”
(Art. 1.º Âmbito e destinatários)
O Sistema de Controlo Interno é uma importante “Linha de Defesa”
da Solvabilidade Financeira segundo o Aviso nº 5/2008:
“ … é reconhecida a importância da existência de um Sistema de Controlo
Interno adequado e eficaz para garantir:
• O efetivo cumprimento das obrigações legais e dos deveres a que as
instituições se encontram sujeitas
• Uma apropriada gestão dos riscos inerentes às atividades desenvolvidas,
assegurando a sua estabilidade e sobrevivência e, assim,
• A estabilidade do próprio sistema financeiro” (Preâmbulo)
2 • 7 de outubro de 2014
XIII Conferência sobre Auditoria, Risco e Governance
TÓPICOS
Tópicos da Apresentação:
I.
II.
Aviso nº 5/2008:
1.
Preâmbulo
2.
Definição, Objetivos, Princípios e Responsabilidades Gerais (Cap. I)
3.
Ambiente de Controlo (Cap. II)
4.
Gestão de Risco (Cap. III)
5.
Informação e Comunicação (Cap. IV) e Monitorização (Cap. V)
6.
Grupos Financeiros (Cap. VI) e Reporte (Cap. VII)
7.
Revisão do Aviso 5/2008: Objetivos
O Sistema de Controlo Interno como Linha de Defesa da
Solidez das Instituições Financeiras
3 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
Aviso do BdP nº 5/2008 / Preâmbulo / Objetivos
Promover a sistematização dos princípios básicos que devem nortear a implementação de
um Sistema de Controlo Interno (SCI), seguindo os conceitos, reconhecidos e aceites a nível
internacional, incluindo:
• "Internal Control - Integrated Framework" (COSO/IC) publicado pelo Committee of
Sponsoring Organizations of the Treadway Commission (COSO),
• Recomendações emitidas pelo Comité de Supervisão Bancária de Basileia através do
"Framework for Internal Control Systems in Banking Organizations" e
• As orientações em matéria de "Internal Governance" divulgadas pelo Comité das
Autoridades Europeias de Supervisão Bancária / Autoridade Europeia de Supervisão
(CEBS / EBA).
COSO
4 • 7 de outubro 2014
BASILEIA
CEBS / EBA
AVISO Nº 5/2008
XIII Conferência sobre Auditoria, Risco e Governance
Aviso do BdP nº 5/2008 / Preâmbulo / Abordagem
Principais alterações introduzidas na abordagem ao Sistema de Controlo Interno face ao Aviso nº
3/2006:
• Adotou uma abordagem mais prescritiva, através da enumeração dos requisitos mínimos que o
Sistema de Controlo Interno de cada instituição deve respeitar e das responsabilidades do órgão
de administração neste domínio.
• Possibilitou uma harmonização dos relatórios de controlo interno exigidos pelo Banco de Portugal
e pela CMVM, permitindo às instituições a elaboração de um relatório único.
• Simplificou e orientou o Relatório de Controlo Interno para a avaliação do perfil de risco das
instituições.
• Estabeleceu um conteúdo focalizado nas deficiências (entendidas como as insuficiências
existentes ou as oportunidades de melhorias que permitam fortalecer o sistema de controlo
interno), e eliminou a necessidade de descrição dos procedimentos de controlo interno nos
relatórios (mantendo a exigência que os mesmos sejam internamente documentados).
5 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
COSO /IC, 1992: O Referencial Histórico para o Controlo Interno
OBJETIVO PRIMORDIAL DO COSO/IC: COMBATER O RELATÓRIO FINANCEIRO FRAUDULENTO !
COSO/IC define Controlo Interno como
um processo, efetuado pela
Administração de Topo (Board), Gestores
e outro pessoal, desenhado para
proporcionar garantia razoável
relativamente à prossecução dos
seguintes Objetivos:
• Eficácia e Eficiência (Performance
Operacional) [inc. Salvaguarda dos Ativos]
• Fiabilidade do Reporte [Financeiro] […]
• Conformidade com as leis e regulamentos
aplicáveis […]
As cinco Componentes do Sistema de
COSO/IC define princípios para as
cinco Componentes essenciais de um Controlo Interno são relevantes para a
Organização / Estrutura a todos os níveis
Sistema de Controlo Interno Eficaz:
•
•
•
•
Ambiente de Controlo
Avaliação do Risco
Atividades de Controlo
Informação e Comunicação
• Atividades de Monitorização
6 • 7 de outubro 2014
e dimensões:
•
•
•
•
Entidade como um todo
Sucursais / Subsidiárias
Divisões / Departamentos
Unidades Operacionais
• Funções
XIII Conferência sobre Auditoria, Risco e Governance
Aviso do BdP nº 5/2008 / Cap. I Disposições Gerais (1/3)
OBJETIVOS
Art. 2.º Definição e objetivos do controlo interno
Sistema de controlo interno: conjunto das estratégias,
sistemas, processos, políticas e procedimentos
definidos pelo órgão de administração e ações
empreendidas por este órgão e pelos restantes
colaboradores da instituição, com vista a garantir:
• Um desempenho eficiente e rentável da atividade, no médio e longo prazos (objetivos de
Performance / Desempenho Estratégico e Operacional)
• A existência de informação financeira e de gestão, completa, pertinente, fiável e tempestiva
(objetivos de Informação e Reporte)
• O respeito pelas disposições legais e regulamentares aplicáveis e normas, regras internas e
códigos de conduta (objetivos de “Compliance“ / Conformidade)
7 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
Aviso do BdP nº 5/2008 / Cap. I Disposições Gerais (2/3)
Art. 3.º Princípios gerais / Componentes essenciais
artigo anterior, o sistema de controlo interno deve ter
por base:
a) Adequado ambiente de controlo que estabeleça a
disciplina e estrutura dos restantes elementos do
sistema de controlo interno;
COMPONENTES
1 - Para atingir, de forma eficaz, os objetivos definidos no
b) Sólido sistema de gestão de riscos, destinado a identificar, avaliar, acompanhar e controlar todos os
riscos que possam influenciar a estratégia e os objetivos definidos pela instituição;
c) Eficiente sistema de informação e comunicação, instituído para garantir a captação, tratamento e
troca de dados relevantes, abrangentes e consistentes, num prazo e de uma forma que permitam o
desempenho eficaz e tempestivo da gestão e controlo da atividade e dos riscos da instituição;
d) Efetivo processo de monitorização, executado com vista a assegurar a adequação e a eficácia do
próprio sistema de controlo interno ao longo do tempo, que garanta a identificação tempestiva de
eventuais deficiências.
8 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
Aviso do BdP nº 5/2008 / Cap. I Disposições Gerais (3/3)
Art. 4.º Responsabilidades gerais do órgão de
administração
1 - O órgão de administração é responsável pela
implementação e manutenção de um sistema de
controlo interno adequado e eficaz, que, respeitando
os princípios definidos no artigo 3.º, garanta o
cumprimento dos objetivos estabelecidos no artigo 2.º
2 - Para efeitos do número anterior, o órgão de administração deve:
a) Detalhar os objetivos e princípios subjacentes ao sistema de controlo interno, incorporando-os na
estratégia e políticas da instituição, e assegurar o seu cumprimento pelos colaboradores da instituição;
b) Garantir a existência de recursos materiais e humanos suficientes e adequados para a execução das
funções e tarefas inerentes ao sistema de controlo interno;
3 - O exercício das competências descritas no número anterior deve ser adequadamente
documentado.
9 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
CAPÍTULO II / Ambiente de controlo
CAPÍTULO II / Ambiente de controlo:
• Art. 5.º Definição e objetivos do ambiente de controlo:
convicções, preferências e juízos de valor do órgão de
administração e o padrão de valores éticos seguidos pela
instituição.
• Art. 6.º Estrutura organizacional: definição coerente, clara
e objetiva das competências e responsabilidades de cada
unidade ou função, das linhas de reporte e de autoridade;
adequada segregação de funções potencialmente
conflituantes ou, se inexequível, procedimentos
alternativos de controlo, de modo a evitar ou a reduzir ao
mínimo o risco da ocorrência de conflitos de interesses.
• Art. 7.º Cultura organizacional: Respeito pelas regras de conduta enunciadas no RGICSF; gestão
alicerçada em elevados padrões de ética, integridade e profissionalismo; códigos de conduta
aplicáveis a todos os colaboradores; todos os colaboradores têm consciência de que devem
contribuir para o controlo interno e compreender o seu papel no sistema implementado.
• Art. 8.º Planeamento estratégico: estratégia, sustentável a longo prazo, para a atividade, perfil
de risco e controlo interno; objetivos precisos, claros e razoáveis para a atividade global e para
cada área de negócio e principais produtos, atividades, sistemas e processos; política de risco da
instituição e acompanhamento dos níveis de rentabilidade tendo em conta os riscos envolvidos.
• Art. 9.º Responsabilidades do órgão de administração relativamente ao ambiente de controlo:
• a) a f): planear, promover e controlar (…) estratégia, estrutura, cultura, ética e conduta,
políticas e procedimentos;
• g) “Assegurar que quaisquer áreas de potenciais conflitos de interesses são identificadas
antecipadamente, minimizadas e sujeitas a uma monitorização cuidadosa e independente;”
• h) Agir face às deficiências, incumprimentos e desvios.
10 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
CAPÍTULO III / Sistema de gestão de riscos
CAPÍTULO III / Sistema de gestão de riscos
COSO / ERM / 2004
Art. 10.º Definição e objetivos do sistema de gestão de riscos
Art. 11.º Princípios aplicáveis aos sistemas de gestão de riscos (crédito,
mercado, taxa de juro, taxa de câmbio, liquidez, "compliance",
operacional, sistemas de informação, estratégia, reputação e outros
materialmente relevantes)
Art. 12.º Processo de identificação de riscos
Art. 13.º Processo de avaliação de riscos
Art. 14.º Processo de acompanhamento de riscos
Art. 15.º Processo de controlo de riscos (inc. perfis de risco e graus de
tolerância por funções e atividades de controlo)
Art. 16.º Função de Gestão de Riscos (independente)
Art. 17.º Função de “Compliance“ (independente): que assegure que as pessoas que desempenhem as funções de
"compliance" não têm ligação direta às áreas funcionais objeto de avaliação, no sentido de evitar conflitos de interesses;
Art. 18.º Responsabilidades do órgão de administração relativamente ao sistema de gestão de riscos
11 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
CAP. IV / Sistema de informação e comunicação
CAP: V /Monitorização do Sistema de Controlo Interno
CAPÍTULO IV / Sistema de informação e
comunicação
Art. 19.º Definição e objetivos dos processos de
informação e comunicação
Art. 20.º Responsabilidades do órgão de
administração relativamente aos processos de
comunicação e informação
CAPÍTULO V / Monitorização do sistema de controlo interno
Art. 21.º Processo de monitorização
Art. 22.º Função de auditoria interna (independente): a) … examinar e avaliar a adequação e a
eficácia das diversas componentes do Sistema de Controlo Interno da instituição e do
Sistema de Controlo Interno como um todo;
Art. 23.º Responsabilidades do órgão de administração relativamente ao processo de
monitorização.
12 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
CAPÍTULO VI / SCI dos grupos financeiros
CAPÍTULO VII / Relatórios e pareceres
CAPÍTULO VI Sistema de controlo interno dos grupos
financeiros
Artigo 24.º Requisitos mínimos do sistema de controlo
interno dos grupos financeiros. Inclui:
• Opiniões dos Órgãos de Administração e Fiscalização
• Deficiências detetadas e tratadas pelas funções de
controlo
• Eventos relevantes ocorridos com as funções de
controlo
CAPÍTULO VII Relatórios e pareceres
Artigo 25.º Relatório individual
Artigo 26.º Relatório de controlo interno do grupo financeiro
13 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
Revisão do Aviso n.º 5/2008
Principais objetivos:
- Em resultado da transposição da CRD IV e das Orientações da EBA sobre a governação
interna das instituições (EBA GL 44), atualização e introdução de maiores detalhes sobre
as responsabilidades dos diferentes intervenientes no sistema de controlo interno,
nomeadamente:
• funções de controlo
• órgão de administração
• comités especializados.
- Introdução de maior detalhe sobre os requisitos aplicáveis ao órgão de fiscalização,
nomeadamente quanto à articulação da sua ação fiscalizadora com as funções e os
trabalhos realizados pelo ROC e/ou auditor externo.
- Revisão da estrutura do reporte anual pelas instituições ao Banco de Portugal para:
• uma maior harmonização da informação reportada
• adaptação à evolução das metodologias de supervisão (incluindo pela transição para a
União Bancária).
14 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
TÓPICOS
Tópicos da Apresentação:
I.
II.
Aviso nº 5/2008:
1.
Preâmbulo
2.
Definição, Objetivos, Princípios e Responsabilidades Gerais (Cap. I)
3.
Ambiente de Controlo (Cap. II)
4.
Gestão de Risco (Cap. III)
5.
Informação e Comunicação (Cap. IV) e Monitorização (Cap. V)
6.
Grupos Financeiros (Cap. VI) e Reporte (Cap. VII)
7.
Revisão do Aviso 5/2008: Objetivos
O Sistema de Controlo Interno como Linha de Defesa da
Solidez das Instituições Financeiras
15 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
Sistema de Controlo Interno e Solvabilidade
Financeira
“Um sistema eficaz de controlo interno constitui um componente crítica da
gestão do banco e uma base para a atividade sólida e segura das organizações
bancárias.
Um sistema robusto de controlos internos pode ajudar a assegurar (i) que as
finalidades e objetivos da organização bancária serão alcançados e (ii) que o
banco irá alcançar objetivos de solvabilidade de longo prazo e manter um
processo de reporte financeiro e de gestão fiável.
Um tal sistema assegura também que o banco cumpre as leis e regulamentos
aplicáveis, bem como políticas, planos e regras internas, e reduz o risco de
perdas inesperadas ou danos na sua reputação.”
(Comité de Basileia, Framework for Internal Control Systems in Banking Organizations, 1998)
16 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
Sistema de Controlo Interno e o Modelo “3 Lines of
Defense”
O Modelo das Linhas de Defesa constitui hoje o referencial internacional recomendado para os estabelecer os Sistemas de
Gestão de Risco e de Controlo Interno e respetivas Funções-Chave [IIA, Comité de Basileia e EBA]:
SISTEMAS DE GESTÃO DE RISCO E DE CONTROLO INTERNO
17 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
Sistema de Gestão de Risco e Controlo Interno e Linhas de
Defesa da Solvabilidade Financeira
O Sistema de Gestão de Risco e Controlo Interno é uma componente crítica da responsabilidade do Órgão de
Administração que constitui a 1ª LINHA DE DEFESA (LD1) da Proteção da Solvabilidade Financeira:
SISTEMA DE GESTÃO DE RISCO E CONTROLO INTERNO DE SUPORTE AO
BALANÇO, RELATO FINANCEIRO E SOLVABILIDADE FINANCEIRA
18 • 7 de outubro 2014
LD 4
GOVERNANCE
LD 3
LD 2
XIII Conferência sobre Auditoria, Risco e Governance
Limitações dos Sistemas de Controlo Interno
•
Objetivos pouco claros, irrealistas, inconsistentes ou contraditórios
•
Complexidade e dinâmica dos processos de negócio
•
Julgamento humano deficiente ou enviesado nos processos de decisão
•
Urgência ou prioridade dos resultados face aos processos
•
Deficiências / inflexibilidade / desatualização dos sistemas
•
Complexidade, aplicabilidade e regimes de exceção
•
Custo / benefício
•
Recursos limitados
•
Informação limitada
•
Desconhecimento, incompreensão, facilitismo, negligência, tentação
•
Sistema de compensação desalinhado em relação ao risco e controlo
•
Erros e falhas humanas
•
Conflitos de Interesse
•
Dolo / Conluio / Confluência ilegítima de interesses
•
“Management override”: A gestão pode tornear ou passar por cima do sistema
•
O SISTEMA DE CONTROLO INTERNO NÃO ASSEGURA O CONTROLO DOS RISCOS NO BOARD
19 • 7 de outubro 2014
O Controlo
Interno
proporciona
apenas uma
confiança
razoável e
nunca uma
confiança
absoluta
XIII Conferência sobre Auditoria, Risco e Governance
Alguns Desafios colocados aos Sistemas de Controlo Interno e
Externo
• Clarificar e delimitar a natureza, estatuto, poderes, responsabilidades e instrumentos de intervenção dos membros
Executivos e Não-Executivos do Órgão de Administração.
• Clarificar que o Sistema de Controlo Interno inclui o Controlo da Gestão Executiva e a relação entre gestão executiva e
gestão não executiva.
• Clarificar e delimitar, na legislação e e/ou regulamentação, a natureza e a linha divisória entre as funções de Gestão e de
Controlo Interno na Administração das Instituições.
• Reforçar a monitorização interna das funções-chave de Controlo Interno e Externo (Controlo do Risco, Compliance,
Auditoria Interna e Externa) e reforço da Supervisão nesta matéria.
• Melhorar e reforçar as linhas de reporte das Funções de Controlo Interno (i) entre si, (ii) aos órgãos sociais, (iii) aos
acionistas e (iv) aos Supervisores.
• Reforçar a independência dos titulares das funções de controlo (incluindo nas vertentes de nomeação, remuneração,
destituição ou renúncia).
• Criar, reforçar e proteger as linhas de comunicação de factos, situações e incidentes que possam indiciar falhas graves,
irregularidades ou fraudes (whistleblowing).
• Reforçar o controlo preventivo (prévio e corrente) dos requisitos de competência, independência e idoneidade para o
exercício de funções de controlo.
• Colocar a gestão de conflitos de interesses na agenda da mudança nos Sistemas de Controlo Interno e Externo.
20 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
Reflexão Final
OBRIGADO!
21 • 7 de outubro 2014
XIII Conferência sobre Auditoria, Risco e Governance
22 •