Este documento discute a gestão do risco operacional e o papel da auditoria no setor financeiro. Aborda conceitos como gestão de risco, controlo interno, compliance e governação de TI, analisando como estas áreas se relacionam e contribuem para a redução do risco operacional. Defende que auditorias independentes são essenciais para garantir controlos efetivos sobre o risco e mantê-lo num nível aceitável. Apresenta também técnicas como Seis Sigma que podem ajudar na gestão do risco.
2. Índice
Prefácio............................................................................................................. 15
Capítulo 1 QUESTÕES DE INVESTIGAÇÃO,
OBJETIVOS E METODOLOGIA.............................................. 17
Capítulo 2 GESTÃO DO RISCO................................................................. 21
2.1. A relevância da Gestão do Risco......................................... 21
2.2. Histórico do Risco............................................................... 21
2.3. Conceitos e Definições do Risco......................................... 24
2.4. Cultura do Risco e categorias de Risco............................... 26
2.5. Taxonomia do Risco............................................................ 27
2.6. A utilização de Standards e Boas Práticas como suporte
à fiabilidade das avaliações do risco.................................... 33
Capítulo 3 CONTROLO INTERNO........................................................... 45
3.1. A relevância do controlo interno........................................ 45
3.2. Definições............................................................................ 45
3.3 Desenvolvimento do controlo interno como consequência
dos vários escândalos financeiros........................................ 46
3.4. Relação entre controlo e risco............................................. 48
3.5. Modelos de Controlo Interno............................................. 49
3.6. O Acordo de Basileia II e o impacto na gestão do risco
no setor financeiro............................................................... 54
3.7. Maturidade.......................................................................... 61
3.8. Relação entre Controlo Interno e Compliance..................... 62
3.9. Relação entre Controlo Interno e Auditoria Interna.......... 63
Capítulo 4 COMPLIANCE........................................................................... 67
4.1. A relevância do Compliance.................................................. 67
4.2. Introdução........................................................................... 67
4.3. O Compliance como função integrada no GRC................... 69
4.4. Compliance e Controlo Interno............................................ 70
4.5. Processos COBIT®
e Objetivos de Controlo....................... 71
4.6. A melhoria contínua no processo de Compliance................. 72
4.7. A regulação em Portugal, passado e futuro......................... 74
3. 4 | A Gestão do Risco Operacional e as TIC
Capítulo 5 AUDITORIA INTERNA............................................................ 79
5.1. Histórico e Conceitos.......................................................... 79
5.2. A relevância dos relatórios de Auditoria............................. 82
5.3. A Auditoria no setor financeiro e a racionalização de recursos.. 83
5.4. O Processo de Auditoria...................................................... 83
5.5. Armazenamento de registos de auditoria........................... 94
5.6. Relação da auditoria com o controlo interno..................... 94
5.7. Evidência na auditoria......................................................... 95
5.8. Avaliação dos controlos pela Auditoria............................... 98
5.9. Custos da auditoria...........................................................101
5.10. A auditoria e a governação............................................. 102
Capítulo 6 GOVERNAÇÃO DE TI............................................................105
6.1. Conceitos...........................................................................105
6.2. Governação de TI baseada na Metodologia COBIT®
...... 106
6.3. CobiT®
...............................................................................110
6.4. A relevância do COBIT na governação de TI................... 112
6.5. Componentes Chave do COBIT....................................... 112
6.6. O controlo no contexto do COBIT................................... 115
6.7. Orientações de Gestão...................................................... 121
6.8. A relevância da avaliação de maturidade
nas decisões da Gestão...................................................... 133
6.9. COBIT®
Quickstart.............................................................134
6.10. A “Big Picture”................................................................135
Capítulo 7 SEIS SIGMA COMO ESTRATÉGIA
DE REDUÇÃO DO RISCO..................................................... 141
7.1. Definição...........................................................................141
7.2. Seis Sigma e o DMAIC..................................................... 144
7.3. A utilização da metodologia Seis Sigma na Governação..... 155
Capítulo 8 CONCLUSÃO..........................................................................159
8.1. Trabalho Futuro.................................................................160
ANEXOS..........................................................................................................161
GLOSSÁRIO...................................................................................................173
REFERÊNCIAS BIBLIOGRÁFICAS..............................................................177
4. Índice | 5
Índice de Figuras
Figura 2.1. Redução no tempo, do nível de risco com aumento do controlo,
até se atingir o nível de tolerância ao risco estabelecido pela
Organização.................................................................................. 25
Figura 2.2. Perdas por item de risco operacional (Results of the 2004 Loss
Data Collection Exercise for Operational Risk, Basel Committee on
Banking Supervision)...................................................................... 30
Figura 2.3. Perdas por item de risco operacional (Results from the 2008
Loss Data Collection Exercise for Operational Risk, Basel Committee
on Banking Supervision).................................................................. 31
Figura 2.4. Evolução de perdas entre 2004 e 2008 por linha de negócio do
setor financeiro (Bank for International Settlements, 2009)........... 32
Figura 2.5. Relação da norma ISO 31000 com outros standards ao longo do
ciclo PDCA da Gestão do Risco.................................................. 34
Figura 2.6. Framework de Gestão do Risco (Adaptado da ISO 31000, 2009)......35
Figura 2.7. Relação entre Princípios e Processos na ISO 31000
(Adaptado da ISO 31000, 2009).................................................. 36
Figura 2.8. Fases da Gestão do Risco............................................................. 36
Figura 2.9. Tratamento do risco (Enterprise Risk: Identify, Govern and Manage
IT Risk, The Risk IT Framework Exposure Draft, 2009).................. 39
Figura 2.10. Estrutura dos capítulos da ISO 27002........................................ 42
Figura 2.11. Triângulo da Segurança da Informação....................................... 43
Figura 3.1. Modelo COSO (Enterprise Risk Management
– Integrated Framework, 2004)....................................................... 50
Figura 3.2. COSO ERM (Enterprise Risk Management
– Integrated Framework, 2004)....................................................... 50
Figura 3.3. Basileia I vs Basileia II (O Acordo de Basileia II e o impacto na gestão
do risco da banca e no financiamento de empresas, 2006).................. 55
Figura 3.4. Os 3 pilares do Acordo de Basileia II.......................................... 57
Figura 3.5. Níveis de confiança nos controlos............................................... 61
Figura 4.1. Posicionamento do GRC na Organização (Building Bridges:
IT as an Enabler of GRC Convergence, 2009)................................. 70
Figura 4.2. Aplicação do Ciclo de Deming à atividade de Compliance
(A Road Map for Regulatory Compliance, 2009)............................. 74
Figura 5.1. Fases da Auditoria........................................................................ 84
Figura 5.2. Fases da recolha e verificação da informação.............................. 89
Figura 6.1. Relação do CobiT com outros standards
(CobiT Foundation Course, 2009)................................................ 108
5. 6 | A Gestão do Risco Operacional e as TIC
Figura 6.2. O papel dos diversos standards no processo de melhoria
contínua (CobiT Foundation Course, 2009)................................. 108
Figura 6.3. Governação de TI....................................................................... 109
Figura 6.4. Domínios do CobiT (CobiT Foundation Course, 2009)............... 111
Figura 6.5. Associação entre Critérios de Informação, Processos e Recursos
(CobiT Foundation Course, 2009)................................................ 114
Figura 6.6. Cubo do CobiT (CobiT 4.1 Framework, Control Objectives,
Management Guidelines, Maturity Models, 2007)......................... 115
Figura 6.7. Mapeamento dos processos CobiT com os critérios de
informação e com os recursos de TI (baseado no CobiT 4.1
Framework, Control Objectives, Management Guidelines, Maturity
Models, 2007)............................................................................. 116
Figura 6.8. Relação entre processos e controlos no CobiT.......................... 117
Figura 6.9. Interfaces e/ou dependências com outros processos.................. 123
Figura 6.10. Inter-relação entre os componentes do CobiT
(CobiT Foundation Course, 2009)................................................ 126
Figura 6.11. As três dimensões de maturidade do CobiT
(CobiT 4.1, Framework, Control Objetives, Management Guidelines
Maturity Models, 2007)............................................................... 127
Figura 6.12. Avaliação dos níveis de maturidade de uma Organização
para os 34 processos CobiT.......................................................132
Figura 6.13. Avaliação dos níveis médios de maturidade
de uma Organização por domínio do CobiT............................. 133
Figura 6.14. “Big Picture”............................................................................... 136
Figura 6.15. Avaliação de maturidade do processo CobiT MA.04................ 139
Figura 7.1. Inputs e Outputs num processo (Apontamentos de Gestão da
Qualidade, Mestrado Segurança em Sistemas de Informação, 2009)..... 142
Figura 7.2. Comparação de 1 σ com 6 σ (Werkema, 2004).......................... 142
Figura 7.3. Nível de redução de defeitos com o aumento do valor do σ
(Apontamentos de Gestão da Qualidade, Mestrado Segurança em
Sistemas de Informação, 2009)...................................................... 143
Figura 7.4. Exemplos de desempenho na escala Seis Sigma
(Werkema, 2004)......................................................................... 143
Figura 7.5. Correspondência entre o método DMAIC e o método PDCA
(Werkema, 2004)......................................................................... 148
Figura 7.6. Resumo da metodologia DMAIC.............................................. 149
Figura 7.7. Principal simbologia utilizada no desenho de fluxogramas....... 150
Figura 7.8. Diagrama Causa e Efeito............................................................151
6. Índice | 7
Figura 7.9. Diagrama de Afinidades (Apontamentos de Gestão da Qualidade,
Mestrado Segurança em Sistemas de Informação, 2009).................. 152
Figura 7.10. Diagrama de Relações (Apontamentos de Gestão da Qualidade,
Mestrado Segurança em Sistemas de Informação, 2009).................. 153
Figura 7.11. Matriz de Prioridades (Apontamentos de Gestão da Qualidade,
Mestrado Segurança em Sistemas de Informação, 2009).................. 155
Figura 9.1. Modelo “Plan-Do-Check-Act..................................................... 162
Figura 9.2. Objetivos de controlo e número de atividades de controlo do
domínio Planeamento e Organização........................................ 163
Figura 9.3. Objetivos de controlo e número de atividades de controlo do
domínio Aquisição e Implementação........................................ 166
Figura 9.4. Objetivos de controlo e número de atividades de controlo do
domínio Entrega e Suporte........................................................ 168
Figura 9.5. Objetivos de controlo e número de atividades de controlo do
domínio Monitorização e Avaliação.......................................... 171
7. Resumo
Este trabalho evidencia o contributo da Auditoria para a gestão eficaz do
Risco Operacional no contexto das Instituições Financeiras.
A demonstração é suportada por uma análise estruturada das áreas do
conhecimento mais relevantes para a compreensão do tema. Essas áreas
são o Risco Operacional, o Controlo Interno, o Compliance, a Auditoria e a
Governação, sempre na perspetiva dos Sistemas de Informação.
Constatou-se que existe inúmera informação sobre cada um dos temas
específicos que dão suporte à dissertação, mas não se encontram trabalhos
publicados que os abordem a todos em simultâneo e na perspetiva que é
dada neste trabalho.
Para todos os temas abordados no trabalho, houve a preocupação de
compilar a informação mais atualizada, em geral dispersa por diversas fon-
tes, sistematizá-la, sujeitá-la a uma análise crítica, e finalmente adaptar os
resultados ao âmbito do trabalho, para que represente uma mais-valia para
o setor.
O trabalho está construído de forma a que exista um fio condutor, co-
meçando pela raiz da questão que se situa no Risco Operacional, e vai
evoluindo progressivamente para os outros temas indicados anteriormente,
introduzindo-os em função da sua contribuição para a demonstração que
se quer defender.
No final do trabalho evidencia-se a importância das auditorias e verifi-
cações independentes na garantia dum efetivo controlo sobre o risco ope-
racional, ajudando-o a manter-se num nível aceitável para a Organização
e apresentam-se algumas técnicas pouco exploradas entre nós, que podem
ajudar na gestão do risco.
Palavras-chave: Risco, Controlo, Compliance, Governação, Auditoria
8. Abstract
The purpose of this work is to show the contribution of the Audit func-
tion towards the effective management of Operational Risk in the context
of the Financial Institutions.
The demonstration is supported by a structured analysis of the most
relevant areas of knowledge for the comprehension of the theme. These
areas are the Operational Risk, the Internal Control, Compliance, Audit
and Governance, always from an Information Systems perspective.
It has been verified that there are countless amounts of information
about each one of the specific themes that support this dissertation, but
that there is an absence of published works that approach all of them toge-
ther and using the systemized approach used in this work.
Regarding all the themes that are the focus in this work, there was the
preoccupation of compiling the most updated information, generally dis-
persed over several sources, systemize it, subject it to a critical analysis, and
finally adapt the results to the scope of this work, so that it may represent
an added value for the sector.
The work is built in such a way that an underlying idea is followed in
order to help the reader to understand the subject, starting from the root
located in the Operational Risk, and progressively developing on to the
other themes indicated previously, presenting them considering the know-
ledge progressively acquired by the reading of the dissertation, and of its
contribution to the demonstration that we want to defend.
By the end of the work, the importance of audits and independent ve-
rifications regarding the assurance of an effective control over operational
risk helping to keep it under an acceptable level for the Organization will
be demonstrated, and introducing some little explored techniques among
us and that may help the treatment of risks.
Keywords: Audit, Compliance, Control, Governance, Risk
9. Prefácio
Dizemos na Novabase que queremos ‘pessoas inteiras’ que tragam consigo
a experiência de vida e profissional, os seus problemas, as suas expectativas,
os seus pontos fortes e fracos, os hobbies e tudo o resto que as faz, como
realmente são. Acreditamos que deste modo seremos mais completos
enquanto organização e que é nosso objectivo, criar o espaço certo para
conseguir que as nossas pessoas, não tenham de deixar nenhuma parte de
si, em casa. Este livro fica marcado como mais uma realização de uma aventura
em busca, na partilha, na discussão e na produção de conhecimento.
Muitas das vezes, as empresas são vistas como organizações exclusiva-
mente focadas no lucro mas delas depende muita da inovação que acaba
por se transformar em conhecimento que mais tarde será domínio público
ou propriedade intelectual protegida através de patentes e marcas. E sem
dúvida, que o conhecimento para ser gerado, precisa do rigor e das metodo-
logias próprias dos meios académicos e precisa também do impulso que é
dado pelas empresas como elo de ligação com os mercados.
O trabalho do Hélder Gonçalves traz a marca de tudo isto. A sua
integração profissional numa área de consultoria da Novabase permitiu-lhe
partilhar do resultado de uma análise e de uma discussão de como aplicar
as boas práticas de gestão e controlo das tecnologias de informação e
comunicação a uma organização. Apesar de conhecidas pelo mercado, não
estávamos convencidos de que as formas como eram aplicadas assegurassem
o atingimento dos objectivos pretendidos. Durante estas discussões, quase
em tertúlia, entre pares, intelectualmente estimulantes, muito longe dos
formalismos de uma empresa, se percebeu que nem sempre concordávamos
com as opções e abordagens que estavam a ser praticadas no mercado. Mais,
identificámos um padrão expresso no facto das equipas com responsabi-
lidade na gestão das tecnologias de informação terem dificuldade em se
relacionar e compreender as razões do seu insucesso nas auditorias internas
10. 16 | A Gestão do Risco Operacional e as TIC
ou externas, e especialmente, em gerir a desilusão de um relatório repleto
de não conformidades e oportunidades de melhoria. Diga-se em abono da
verdade que o sector que sempre geriu melhor estes aspectos é precisamente
o financeiro, no qual se foca este livro.
Este livro e o seu autor têm o mérito de nos mostrar um caminho abran-
gente e coerente para todos aqueles que precisam de uma resposta ao desfio
que é montar um sistema de controlo interno.
Sendo hoje um dos nossos valores na Novabase: DAR, já nessa altura,
uma das particularidades desta equipa era, e ainda é, o da partilha profunda
de interesses e do conhecimento individual de cada um, criando um espaço
aberto de inovação. Em diversas ocasiões, esse espaço foi alargado aos clien-
tes, aqueles com quem por empatia e disponibilidade também tinham gosto
por um bom debate de ideias com conhecimento de causa.
A Novabase definiu como pilar da sua estratégia de desenvolvimento
sustentável, a educação. Hoje, com este livro, a Novabase, através do
Hélder Gonçalves, devolve a todos quantos têm interesse neste domínio,
um conhecimento e uma visão de como integrar um leque de conceitos
muitas vezes apenas expressos em acrónimos mais ou menos incompreensí-
veis, de como a atingir objectivos concretos de conformidade com qualquer
um dos referenciais apresentados. Aqui se defende e se explica, como se
desenha uma framework de controlo interno que seja capaz de responder
de forma efectiva a múltiplos requisitos simultaneamente, minimizando os
custos e o esforço de gestão da mudança que a implementação deste tipo de
mecanismos sempre provoca, nos nossos hábitos e que sustenta uma afirma-
ção bastante comum “se sempre fizemos assim, porquê mudar?”.
Este trabalho motiva-nos a todos para continuar a acolher pessoas inteiras,
com imaginação e com vontade para juntar o mundo académico e o mundo
empresarial, para que daqui saiam novas ideias e novas competências.
Vítor Prisca