O documento fornece um resumo das percepções da SUSEP sobre a auditoria interna da primeira fase do desenvolvimento do Banco de Dados de Perdas Operacionais realizada pelas instituições supervisionadas. Em três frases:
A SUSEP analisou 48 relatórios de auditoria interna da Fase I e os categorizou em A (Ótimo), B (Bom) ou C (Insuficiente). A reguladora também identificou itens que deveriam constar nos relatórios de acordo com a regulamentação e planeja fiscalizações in loco para verificar evid
NBC TR 2410 - Revisão de Informações Intermediárias Executada pelo Auditor
Auditoria Fase I do BDPO - Vitor Pêgo Hottum
1. Percepções do Regulador
sobre a Auditoria Interna da
1ª Fase do Banco de Dados
de Perdas Operacionais
Workshop
09 DE MAIO DE 2017
Vitor Pêgo Hottum
SUSEP/DISOL/CGMOP/CORIS
2. A auditoria interna das atividades relacionadas ao desenvolvimento e
preenchimento do BDPO é prevista na Circular Susep nº 517/2015
Título I, Capítulo IV, Seção II, Subseção III1 (Do Processo de Validação do
BDPO)
Além das auditorias anuais após o início do preenchimento do BDPO são
previstas auditorias internas das Fases I e II de desenvolvimento:
Art. 78. A auditoria interna da supervisionada deverá estabelecer programa de auditoria para avaliar as
atividades relacionadas ao desenvolvimento e preenchimento do BDPO...
§ 1.º As avaliações da auditoria interna deverão ocorrer, ao menos, nas seguintes ocasiões:
I - ao término de cada fase de desenvolvimento do BDPO descritas nos incisos I e II do art. 74;
II - anualmente, ao término de cada exercício fiscal, depois de decorridos ao menos 6 (seis) meses do início
de preenchimento do BDPO.
§ 2.º A supervisionada terá prazo de 4 (quatro) meses, contados a partir da conclusão de cada etapa de
desenvolvimento do BDPO, para protocolar expediente na Susep encaminhando os relatórios das
auditorias internas abrangidas pelo inciso I do § 1o deste artigo à CGSOA.
Exigência de Auditoria Interna do BDPO
21 Uma falha no normativo repetiu a numeração da subseção II nesta que deveria ser a subseção III
3. Cronograma dos Relatórios de Auditoria - Fases I e II
3
DOM SEG TER QUA QUI SEX SAB
01 02 03 04
05 06 07 08 09 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30
06 FASE I - Padrão 2014
2016Junho
DOM SEG TER QUA QUI SEX SAB
01 02 03
04 05 06 07 08 09 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
28 FASE I - Padrão 2015
Dezembro 2016
DOM SEG TER QUA QUI SEX SAB
01 02
03 04 05 06 07 08 09
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
28 FASE I - Padrão 2016
06 FASE II - Padrão 2014
2017Dezembro
DOM SEG TER QUA QUI SEX SAB
01 02
03 04 05 06 07 08 09
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
28 FASE II - Padrão 2015
Junho 2018
DOM SEG TER QUA QUI SEX SAB
01
02 03 04 05 06 07 08
09 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31
28 FASE I - Padrão 2017
Dezembro 2018
DOM SEG TER QUA QUI SEX SAB
01
02 03 04 05 06 07 08
09 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30
28 FASE II - Padrão 2016
Junho 2019
1ºenvioBDPO–Padrão2014:21/08/2018
AuditoriaAnual1ºAno–Padrão2014:30/04/2019
4. Supervisionadas Constituindo o BDPO (2017)
4
61
50%
60,
50%
Seguros
Não
constituindo
o BDPO
Constituindo
o BDPO
23
100%
Previdência
Não
constituindo
o BDPO
Constituindo
o BDPO
6
35%
11,
65%
Capitalização
Não
constituindo
o BDPO
Constituindo
o BDPO
7
44%9,
56%
Resseguradora Local
Não
constituindo
o BDPO
Constituindo
o BDPO
1 Prêmios e provisões ultrapassaram R$ 200 milhões em 2 exercícios subsequentes (7 voluntárias)
2 Diversos relatórios abrangem mais de uma supervisionada (grupo)
80
supervisionadas
constituindo o
BDPO
1
em 2017
48
Relatórios de
Auditoria da
FASE I
2
5. FASEII
A abrangência mínima dessa auditoria é descrita no art. 78, incisos I a IX:
Capacidade dos procedimentos adotados para a identificação e captura das perdas
operacionais para abranger todas as exposições relevantes ao risco operacional associado às
atividades da supervisionada;
Adequação dos procedimentos de classificação das perdas operacionais;
Abrangência, consistência, integridade e confiabilidade dos dados do BDPO;
Adequação da infraestrutura tecnológica e do funcionamento dos sistemas de
armazenamento físico que compõem o BDPO, bem como a adequação de sua segurança
lógica;
Integridade, abrangência e consistência da documentação pertinente ao BDPO
Recomendações a respeito de eventuais deficiências
Manifestação dos responsáveis pelas áreas onde tiverem sido verificadas deficiências e
indicação das medidas efetivamente adotadas para saná-las
Cronograma de saneamento das deficiências identificadas
Qualquer outro aspecto relevante detectado
Abrangência da Auditoria Interna do BDPO
5
6. Categorização dos Relatórios de Auditoria pela Susep
6
Definição do escopo:
descrição dos itens auditados
e o que ficou de fora
(limitações da auditoria)
Identificação de falhas/
melhorias: apontamento de
falhas ou itens que merecem
aprimoramento e recomendações
sobre os mesmos
Responsável pelas falhas/ melhorias e
cronograma de ajuste: identificação do
responsável por corrigir as falhas ou
implementar as melhorias apontadas e
descrição do cronograma para esses ajustes
Conclusão: avaliação sobre a
qualidade da implementação
(Fase I) do BDPO
Expectativa de conteúdo:
Completude do escopo: o
escopo abrange a totalidade,
ou quase que a totalidade,
dos dispositivos legais
7. Categorização dos Relatórios de Auditoria pela Susep
7
Indicação Escopo Completude Apontamentos Respon. / Cronogr. Conclusão
A X X X X X
B X X X
B X X X
B X X X
B X X X
Com uma pitada de subjetividade e um pouco de bom senso foram definidas
três categorias de relatórios: A (Ótimo), B (Bom) e C (Insuficiente):
C X
C X X
Lista não exaustiva
8. Categorização dos Relatórios de Auditoria pela Susep
8
Somente os 48 relatórios relativos
ao cronograma padrão 2014
(protocolados até 6/6/2016)
11
23%
22
46%
15
31%
9. Plano de Ação Susep
9
• Fiscalização in loco conforme cronograma
da equipe de fiscalização: CGMOP/CORIS
encaminha à CGFIP itens a serem
verificados
• Fiscalização in loco conforme cronograma da
equipe de fiscalização
• Solicitação de ajustes junto a supervisionada
• Maior rigor na análise do relatório da FASE II
Realizado: 2fiscalizações in loco, sendo uma de relatório categoria B e uma categoria C
10. Com base na abrangência da auditoria definida no Art. 78 foram
identificados 19 itens na regulamentação que deveriam constar do relatório
de auditoria da FASE I do BDPO
Esses serão os itens verificados pela equipe de fiscalização in loco da Susep
... e que serão cobrados das supervisionadas com relatórios de categoria “C” pela
fiscalização à distância, assim que implementado o plano de ação previsto
Auditoria da FASE I do BDPO - Completude do Escopo
10
Art. 78 - A auditoria interna da
supervisionada deverá estabelecer
programa de auditoria para avaliar
as atividades relacionadas ao
desenvolvimento e preenchimento
do BDPO...
I
II
III
IV
V
VI
VII
VIII
IX
Circular 517/2015
1
2
7
19
SUSEP:
Obter evidências
em relação às
afirmações da
auditoria interna e
apontar itens
que não foram
mencionados no
relatório, ou
cuja menção foi
insuficiente
11. Auditoria da FASE I do BDPO - Completude do Escopo
11
1
Art. 74 - ...
I - Controles de Captura e
Classificação – compreendem
o desenvolvimento de
controles de identificação,
captura e classificação das
perdas operacionais materiais,
dos eventos de recuperação e
das atualizações a elas
associadas; e
Verificar se os controles de identificação,
captura e classificação de perdas
operacionais do BDPO abrangem todas
as perdas operacionais “materiais”.
12. Auditoria da FASE I do BDPO - Completude do Escopo
12
CASE “B” CASE “C”
Auditoria: As possíveis perdas em cada
operação foram elencadas pelos responsáveis
pelos macroprocessos e foram definidos
mecanismos para sua identificação e captura,
além de se ter criado e disponibilizado modelo
padrão para o seu reporte. O Departamento de
Modelagem e Gestão de Riscos Corporativos
elaborou documento atribuindo às diversas
áreas operacionais a responsabilidade pela
identificação e captura das perdas.
Susep: Apesar do conforto obtido a partir
dessas afirmações, sugerimos o levantamento
de evidências quanto ao citado pela auditoria
interna, por exemplo: a identificação dos
responsáveis pelos macroprocessos, as
possíveis perdas identificadas por esses
responsáveis, a documentação dos mecanismos
para a identificação e captura das perdas, o
documento que atribui às áreas operacionais a
responsabilidade pela identificação e captura
das perdas.
Auditoria: N/D.
Susep: Não há menção no relatório
encaminhado quanto aos critérios e
procedimentos adotados para considerar uma
perda como “material”, tão pouco a auditoria
atesta que os controles realmente abrangem
todas as perdas consideradas materiais.
Sugerimos que sejam solicitadas evidências
nesse sentido.
13. Auditoria da FASE I do BDPO - Completude do Escopo
13
2
Art. 74 - ...
§ 1.º A execução das etapas
descritas deverá ser
documentada pela
supervisionada, bem como os
procedimentos e definições
nelas estabelecidos.
Verificar se a execução da FASE I de
desenvolvimento do BDPO foi
adequadamente documentada, o
mesmo ocorrendo em relação aos
procedimentos e definições
estabelecidos pela supervisionada
nesta etapa de desenvolvimento do
BDPO.
14. Auditoria da FASE I do BDPO - Completude do Escopo
14
CASE “B” CASE “C”
Auditoria: O projeto de implementação da
FASE I foi devidamente documentado,
considerando os padrões estabelecidos na
legislação pertinente.
Susep: Apesar do conforto obtido a partir dessa
afirmação, sugerimos o levantamento de
evidências da documentação citada.
Auditoria: N/D.
Susep: O relatório de auditoria não apresentou
qualquer indício da existência dessa
documentação. Sugerimos que seja verificada a
existência da mesma e se a auditoria avaliou
sua adequação.
15. Auditoria da FASE I do BDPO - Completude do Escopo
15
Art. 74 - ...
§ 2.º Os controles e sistemas
desenvolvidos para o
atendimento aos incisos I e II
do caput deverão ser
compatíveis com a natureza
das operações da
supervisionada e a
complexidade dos produtos e
serviços oferecidos por ela,
além de proporcionais à
dimensão de sua exposição
ao risco operacional.
Verificar se os controles e sistemas
desenvolvidos para a FASE I de
desenvolvimento do BDPO são
compatíveis com a natureza das
operações da supervisionada e a
complexidade dos produtos e serviços
por ela oferecidos, além de
proporcionais à sua exposição ao
risco operacional.
3
16. Auditoria da FASE I do BDPO - Completude do Escopo
16
CASE “B” CASE “C”
Auditoria: Demonstrou de forma detalhada que
os controles e sistemas desenvolvidos
contemplaram a totalidade das operações
exigidas pela Circular, explicitando uma
significativa quantidade de macroprocessos para
os quais teriam sido implementados os controles
adequados de identificação e captura das
perdas.
Susep: Aparentemente a empresa cumpriu com
suas obrigações, restando-nos sugerir à
supervisão in loco o levantamento de evidências
quanto aos controles desenvolvidos para os
macroprocessos citados.
Auditoria: Apenas afirmou serem “suficientes”
os controles existentes em relação à etapa I de
desenvolvimento do BDPO, sem detalhar os
procedimentos aplicados para se chegar a essa
conclusão.
Susep: Sugerimos o levantamento de
evidências para comprovar a afirmação da
auditoria.
17. Auditoria da FASE I do BDPO - Completude do Escopo
17
Art. 75 - Os Controles de Captura e
Classificação deverão ser implementados ao
menos para as seguintes atividades:
§ 1.º Para operações de seguros e resseg.:
I – subscr. de riscos e emissão de apólices
II – regulação de sinistros.
§ 2.º Para operações de previdência:
I – subscr. de planos / emissão de certificados
II – concessão de benefícios.
§ 3.º Para operações de capitalização:
I – subscrição de títulos de capitalização
II – sorteios, resgate de prêmios e títulos
§ 4.º Para todas as operações:
I – tesouraria / investimentos
II – acompanham. de processos judiciais...
Verificar se os controles de
captura e classificação
foram implementados para
as atividades mandatórias
constantes do Art. 75
4
18. Auditoria da FASE I do BDPO - Completude do Escopo
18
CASE “B” CASE “C”
Auditoria: Identificou os macroprocessos
existentes na supervisionada, confirmando que
foram implementados controles de captura e
classificação de perdas para as atividades à eles
relacionadas.
Susep: Verificar se, além dos macroprocessos
citados no relatório, a supervisionada possui
outros processos relacionados a alguma das
atividades citadas no Art. 75 que deveriam ter
sido alvo de análise por parte da auditoria.
Auditoria: Confirmou que foram implementados
controles de captura e classificação de perdas
para os processos de Subscrição/Emissão de
apólices, Sinistros, Tesouraria/Investimentos e
Jurídico.
Susep: Verificar se, além dos macroprocessos
citados no relatório, a supervisionada possui
outros processos relacionados a alguma das
atividades citadas no Art. 75 que deveriam ter
sido alvo de análise por parte da auditoria.
19. Auditoria da FASE I do BDPO - Completude do Escopo
19
Verificar se foi cumprido o prazo de
execução da FASE I de
desenvolvimento do BDPO
5
Art. 76. O prazo para o
desenvolvimento do BDPO é de
36 (trinta e seis) meses,
contado a partir de 6 de agosto
de 2014, obedecendo ao
seguinte cronograma de
execução:
I – 18 (dezoito) meses para o
desenvolvimento dos Controles
de Captura e Classificação; e
II – 18 (dezoito) meses para o
Projeto e Implementação do
Banco de Dados.
20. Auditoria da FASE I do BDPO - Completude do Escopo
20
CASE “B” CASE “C”
Auditoria: A auditoria interna afirma que a
supervisionada cumpriu o prazo para
desenvolvimento da etapa I do BDPO.
Susep: Sugerimos buscar comprovação
documental do cumprimento desse prazo
(06/02/2016).
Auditoria: Não houve referência ao atendimento
do prazo para desenvolvimento da etapa I do
BDPO.
Susep: Verificar se o prazo (06/02/2016) foi
atendido por meio de evidência documental.
21. Auditoria da FASE I do BDPO - Completude do Escopo
21
Comprovar se a FASE I de
desenvolvimento do BDPO possui
evidência documental de aprovação
interna, inclusive por diretor:
a) dos trabalhos realizados;
b) da execução de auditoria interna
relativa à avaliação da adequação
dos procedimentos definidos e
sistemas gerados.
6
Art. 76 ...
§ 3.º Ao término de cada etapa
estabelecida no art. 74, a
supervisionada deverá dispor
de documentação que
comprove a aprovação interna,
inclusive por diretor da
empresa, dos trabalhos
realizados, bem como a
execução de auditoria interna
relativa à avaliação da
adequação dos procedimentos
definidos e sistemas gerados.
22. Auditoria da FASE I do BDPO - Completude do Escopo
22
CASE “B” CASE “C”
Auditoria: O relatório traz a informação de que
a FASE I foi aprovada pelo Diretor de Riscos,
Compliance e Atuária e validada pela Auditoria
Interna. Além disso, o Diretor citado assina o
relatório em conjunto com o Diretor de Auditoria
e Prevenção à Fraude.
Susep: Não vemos necessidade de
aprofundamento in loco desse tema.
Auditoria: N/D.
Susep: Buscar evidências da aprovação interna,
inclusive por diretor da empresa, em relação à
conclusão da etapa I de desenvolvimento do
BDPO e verificar se a auditoria teve acesso à
essa documentação.
23. Auditoria da FASE I do BDPO - Completude do Escopo
23
Buscar junto a supervisionada quais
os procedimentos/critérios adotados
pela auditoria interna para avaliar a
adequação dos itens I, II, V e IX do
artigo 78
7
I - capacidade dos procedimentos
adotados para a identificação e captura
das perdas operacionais para abranger
todas as exposições relevantes ao risco
operacional associado às atividades da
supervisionada;
II - adequação dos procedimentos de
classificação das perdas operacionais;
III - abrangência, consistência,
integridade e confiabilidade dos dados
do BDPO;
IV - adequação da infraestrutura
tecnológica e do funcionamento dos
sistemas de armazenamento físico que
compõem o BDPO, bem como a
adequação de sua segurança lógica;
V - integridade, abrangência e
consistência da documentação
pertinente ao BDPO;
IX - Qualquer outro aspecto relevante
detectado.
FASEII
IncisosVI,VIIe VIII
tratadosemitens
específicosa seguir
24. Auditoria da FASE I do BDPO - Completude do Escopo
24
CASE “B” CASE “C”
Auditoria: O relatório descreve os
procedimentos/critérios adotados pela auditoria
interna para avaliar a adequação dos itens I, II,
V e IX do Art. 78.
Susep: A análise à distância não traz evidências
de descumprimento das obrigações da
supervisionada relacionados aos itens
normativos mencionados. Sugerimos o
levantamento de evidências que comprovem as
afirmações da auditoria como, por exemplo:
comprovação documental do mapeamento dos
processos relativos ao inciso I, comprovação
documental dos procedimentos a serem
observados na classificação das perdas (inciso
II) e da realização dos workshops e
treinamentos com os gestores, comprovação da
existência de formulários padrão para reporte
das perdas, comprovação documental dos
critérios disponibilizados para as áreas e que
deverão ser observados na classificação e
reporte das perdas identificadas.
Auditoria: O relatório apenas indica uma
avaliação única para toda a FASE I de
desenvolvimento, sem detalhar as avaliações
individuais que levaram a essa pontuação.
Numa escala de 1 a 4, indo do mais positivo
para o menos favorável, a auditoria classificou o
desenvolvimento dessa fase com a nota mais
positiva = 1.
Susep: Buscar junto a supervisionada quais os
procedimentos/critérios adotados pela auditoria
interna para avaliar a adequação dos itens I, II,
V e IX do Art. 78. Além disso, averiguar se
houve atribuição de notas individuais a cada
quesito e assegurar que a nota unificada
apresentada está compatível com essas
avaliações individuais.
25. Auditoria da FASE I do BDPO - Completude do Escopo
25
Verificar se o relatório de auditoria
interna inclui menção a respeito de
eventuais deficiências na execução
da FASE I de desenvolvimento do
BDPO e de recomendações para o
seu saneamento.
8
Art. 78. A auditoria interna ...
deverá estabelecer programa
de auditoria...
Compreendendo... os seguintes
aspectos:
:
VI - recomendações a respeito
de eventuais deficiências;
:
26. Auditoria da FASE I do BDPO - Completude do Escopo
26
CASE “B” CASE “C”
Auditoria: O relatório não explicita deficiências,
mas também não esclarece se elas existem.
Susep: Apesar de não haver menção no
relatório quanto a qualquer deficiência detectada
na etapa I de desenvolvimento do BDPO e se
houve recomendações para seu saneamento - e
quais foram - conforme previsão do inciso VI do
Art. 78, sugerimos que essa ausência de
deficiências seja confirmada in loco junto à
auditoria interna. Se aplicável, obter
comprovação documental da inexistência de
deficiências.
Auditoria: O relatório não explicita deficiências,
mas também não esclarece se elas existem.
Susep: Apesar de não haver menção no
relatório quanto a qualquer deficiência detectada
na etapa I de desenvolvimento do BDPO e se
houve recomendações para seu saneamento - e
quais foram - conforme previsão do inciso VI do
Art. 78, sugerimos que essa ausência de
deficiências seja confirmada in loco junto à
auditoria interna. Se aplicável, obter
comprovação documental da inexistência de
deficiências.
27. Auditoria da FASE I do BDPO - Completude do Escopo
27
No caso de se ter identificado
deficiências na execução da FASE I
de desenvolvimento do BDPO,
obter evidências da manifestação
dos responsáveis pelas áreas onde
tais deficiências foram detectadas e
das medidas adotadas para saná-
las.
9
Art. 78. A auditoria interna ...
deverá estabelecer programa
de auditoria...
Compreendendo... os seguintes
aspectos:
:
VII - manifestação dos
responsáveis pelas áreas onde
tiverem sido verificadas
deficiências e indicação das
medidas efetivamente adotadas
para saná-las;
:
28. Auditoria da FASE I do BDPO - Completude do Escopo
28
CASE “B” CASE “C”
Auditoria: N/D.
Susep: Caso tenham sido identificadas
deficiências na etapa I de desenvolvimento do
BDPO obter evidências da manifestação dos
responsáveis pelas áreas onde tais deficiências
foram detectadas e das medidas adotadas para
saná-las.
Auditoria: N/D.
Susep: Caso tenham sido identificadas
deficiências na etapa I de desenvolvimento do
BDPO obter evidências da manifestação dos
responsáveis pelas áreas onde tais deficiências
foram detectadas e das medidas adotadas para
saná-las.
29. Auditoria da FASE I do BDPO - Completude do Escopo
29
No caso de se ter identificado
deficiências na execução da FASE I
de desenvolvimento do BDPO,
obter evidências do cronograma de
saneamento dessas deficiências.
1
0
Art. 78. A auditoria interna ...
deverá estabelecer programa
de auditoria...
Compreendendo... os seguintes
aspectos:
:
VIII – cronograma de
saneamento das deficiências
identificadas; e
:
30. Auditoria da FASE I do BDPO - Completude do Escopo
30
CASE “B” CASE “C”
Auditoria: N/D.
Susep: Ainda no caso de terem sido apontadas
deficiências, obter evidências do cronograma de
saneamento dessas deficiências, como exigido
pelo inciso VIII do artigo 78.
Auditoria: N/D.
Susep: Ainda no caso de terem sido apontadas
deficiências, obter evidências do cronograma de
saneamento dessas deficiências, como exigido
pelo inciso VIII do artigo 78.
31. Auditoria da FASE I do BDPO - Completude do Escopo
31
Obter evidências que comprovem
que as conclusões, recomendações
e manifestações relativas aos
incisos I a IX do Art. 78 (excetuados
os incisos III e IV que se referem à
FASE II) foram entregues à
auditoria externa, ao comitê de
auditoria e ao conselho de
administração ou, na inexistência
deste, à diretoria.
1
1
Art. 78. A auditoria interna ...
deverá estabelecer programa
de auditoria...
Compreendendo... os seguintes
aspectos:
:
§ 4.º As conclusões,
recomendações e
manifestações a que se referem
os incisos I a IX do caput
deverão ser entregues à
auditoria externa; ao comitê de
auditoria e ao conselho de
administração, quando
existentes; e à diretoria da
supervisionada, na falta do
conselho de administração.
32. Auditoria da FASE I do BDPO - Completude do Escopo
32
CASE “B” CASE “C”
Auditoria: N/D.
Susep: Considerando que o relatório
encaminhado não discorre sobre esse tema,
sugerimos o levantamento de evidências de
cumprimento do disposto no §4.º do Art. 78 do
normativo.
Auditoria: O relatório apenas menciona que o
mesmo se destina ao uso restrito da alta
administração, não apresentando evidências de
seu efetivo encaminhamento para a alta
administração.
Susep: O relatório foi assinado somente por
representante da auditoria interna (terceirizada)
e pelo Contador da supervisionada. Esse uso
restrito parece impedir o envio do mesmo aos
auditores externos e ao comitê de auditoria,
motivo pelo qual julgamos importante verificar o
atendimento ao §4.º do Art. 78 do normativo.
33. Auditoria da FASE I do BDPO - Completude do Escopo
33
Buscar evidências que comprovem
ter sido consideradas as
orientações do documento “Padrões
para o Reporte de Perdas
Operacionais no BDPO”, bem como
as instruções constantes do Anexo
VII da Circular 517/2015 (que
descreve o formato dos campos que
compõem o BDPO e valores aceitos
para cada campo) na execução da
FASE I de desenvolvimento do
BDPO.
1
2
Art. 79. O preenchimento do
BDPO deverá considerar as
orientações constantes da
versão mais recente do
documento “Padrões para o
Reporte de Perdas
Operacionais no BDPO”,
disponibilizado no sítio da
Susep, bem como o disposto
no Anexo VII, tanto com relação
às informações a serem
disponibilizadas, quanto em
relação a sua formatação e
possíveis valores de
preenchimento.
34. Auditoria da FASE I do BDPO - Completude do Escopo
34
CASE “B” CASE “C”
Auditoria: No relatório encaminhado a auditoria
interna confirma que a implementação do BDPO
da supervisionada teve por base as orientações
emanadas no documento “Padrões para o
Reporte de Perdas Operacionais no BDPO”. É
também explicitada a posição da companhia
quanto a itens facultativos do BDPO, como a
adoção de threshold e o uso de “perdas
descendentes”.
Susep: Apesar de aparentemente ter atendido
ao requisito em questão, um equívoco parece ter
sido cometido no relatório quanto a este tópico,
pois é dito que o tipo de evento “perda raiz” não
será adotado, apesar de esse ser um tipo de
evento mandatório. Acreditamos que a
referência correta seria a não adoção de “quase
perdas”, motivo pelo qual sugerimos a
confirmação desse entendimento in loco junto à
auditoria interna, ou via comprovação
documental.
Auditoria: Não há referência quanto ao
atendimento deste requisito em relação as
atividades da fase I de desenvolvimento do
BDPO.
Susep: Sugerimos verificar se este requisito foi
avaliado pelos auditores e se a supervisionada
atendeu ao disposto no art. 79.
35. Auditoria da FASE I do BDPO - Completude do Escopo
35
Buscar evidências que comprovem
a adoção de critérios consistentes
para o registro no BDPO de perdas
associadas a mais de uma Função
de Negócio.
1
3
Art. 81. A supervisionada
deverá estabelecer critérios
consistentes para o registro no
BDPO de perdas associadas a
mais de uma Função de
Negócio.
36. Auditoria da FASE I do BDPO - Completude do Escopo
36
CASE “B” CASE “C”
Auditoria: N/D.
Susep: Como o relatório de auditoria não cita os
critérios adotados para o registro no BDPO de
perdas associadas a mais de uma Função de
Negócio, ou atesta sua adequação, sugerimos
que se solicite evidências da existência destes.
Auditoria: N/D.
Susep: Como o relatório de auditoria não cita os
critérios adotados para o registro no BDPO de
perdas associadas a mais de uma Função de
Negócio, ou atesta sua adequação, sugerimos
que se solicite evidências da existência destes.
37. Auditoria da FASE I do BDPO - Completude do Escopo
37
Buscar evidências da adoção de
critérios consistentes para fins de
agrupamento de perdas
operacionais relacionadas a um
mesmo evento de risco operacional,
ou evidências que comprovem que
o agrupamento de perdas não será
utilizado.
1
4
Art. 82. Perdas operacionais
relacionadas a um mesmo
evento de risco operacional
deverão, preferencialmente, ser
agrupadas.
§ 1.º Caberá à supervisionada a
definição de critérios
consistentes e passíveis de
verificação para fins de
aplicação do agrupamento
disposto no caput.
§ 2.º O agrupamento poderá ser
limitado às perdas verificadas
dentro de um período de tempo
estabelecido pela
supervisionada.
38. Auditoria da FASE I do BDPO - Completude do Escopo
38
CASE “B” CASE “C”
Auditoria: N/D.
Susep: Como os auditores não se pronunciaram
a esse respeito, sugerimos a obtenção de
evidências sobre a existência de critérios
consistentes para fins de agrupamento de
perdas oriundas de um mesmo evento de perda
operacional e se os mesmos foram avaliados
pela auditoria, ou a comprovação de que a
supervisionada não utilizará o artifício de
agrupar perdas.
Auditoria: N/D.
Susep: Como os auditores não se pronunciaram
a esse respeito, sugerimos a obtenção de
evidências sobre a existência de critérios
consistentes para fins de agrupamento de
perdas oriundas de um mesmo evento de perda
operacional e se os mesmos foram avaliados
pela auditoria, ou a comprovação de que a
supervisionada não utilizará o artifício de
agrupar perdas.
39. Auditoria da FASE I do BDPO - Completude do Escopo
39
O descarte de perdas inferiores a R$ 5 mil
é optativo, devendo essa opção ser
documentada. Deve-se comprovar
mediante documentação que as perdas
descartadas são inferiores a esse patamar
e que não existem outras perdas que
compartilhem a mesma origem e cujos
valores somados ultrapassem esse limite.
Apesar de a etapa I do BDPO não incluir a
captura das perdas, ela engloba a definição
dos controles e procedimentos que
garantam a sua correta captura e
classificação. Portanto, a empresa já deve
ter exercido sua opção quanto ao descarte
de perdas de baixo valor e, caso tenha
decidido por esse descarte, deverá ter
definido os procedimentos para garantir a
correta implementação do mesmo. Assim
sendo deve-se buscar evidências sobre
esse tema e de sua efetiva análise pela
auditoria interna.
1
5
§ 1.º A opção referenciada no caput, se
adotada, deverá estar documentada
pela supervisionada e valer para todas
as perdas que atendam à condição
especificada.
§ 2.º ...
§ 3.º A aplicação do disposto no caput
deverá ser comprovada mediante
documentação que ateste, com base
nas informações disponíveis na data
do descarte da perda, ser o seu valor
bruto inferior a R$ 5.000,00 (cinco mil
reais) e que não existem outras perdas
que compartilhem a mesma origem e
cujos valores brutos somados
ultrapassem esse patamar.
40. Auditoria da FASE I do BDPO - Completude do Escopo
40
CASE “B” CASE “C”
Auditoria: No relatório a auditoria afirma que a
supervisionada não adotará o uso de threshold
para o descarte de perdas de pequeno valor.
Susep: Sugerimos que seja solicitada evidência
documental sobre essa decisão.
Auditoria: N/D.
Susep: Obter evidências sobre esse tema e de
sua efetiva análise pela auditoria interna, haja
vista nada ter sido mencionado no relatório.
41. Auditoria da FASE I do BDPO - Completude do Escopo
41
O uso de eventos de “quase
perda” e “perda descendente” é
opcional, devendo ser
estabelecidos critérios
consistentes para sua aplicação.
Verificar se a auditoria confirmou
o uso, ou não, desses tipos de
evento e, caso positivo, quais
foram as análises efetuadas
para atestar a consistência dos
critérios adotados para sua
aplicação. Especificamente com
relação a não utilização do
evento de ”perda descendente”,
tal decisão gera a necessidade
de definição de critérios para
tratar esses eventos como
perdas independentes ou
agrupadas.
1
6 Art. 85. O registro de eventos de Quase
Perda no BDPO e o correspondente uso
das codificações 2 e 4 no campo “Tipo do
Evento” será opcional, cabendo à
supervisionada determinar critérios
consistentes para sua aplicação.
Art. 86. O registro de eventos de Perda
Descendente no BDPO e o correspondente
uso das codificações 3 e 4 no campo “Tipo
do Evento” será opcional, cabendo à
supervisionada determinar critérios
consistentes para sua aplicação.
Parágrafo único. A supervisionada que
optar por não registrar perdas operacionais
considerando o conceito de Perdas
Descendentes, deverá registrar esses
eventos como Perdas Raízes
independentes, ou agrupadas entre si,
seguindo critérios consistentes por ela
definidos e devidamente documentados.
42. Auditoria da FASE I do BDPO - Completude do Escopo
42
CASE “B” CASE “C”
Auditoria: Como citado no item 12 anterior, o
relatório esclarece que a supervisionada não
adotará o uso de eventos do tipo “Perda
Descendente” e parece ter se equivocado ao
informar que também não adotará evento do tipo
“Quase Perda” (citando ao invés desse termo o
tipo de perda obrigatório: “Perda Raiz”).
Susep: Sugerimos levantar evidências
documentais dessas decisões e confirmar o
entendimento da supervisão à distância quanto
ao aparente equívoco constante do relatório da
auditoria interna.
Auditoria: N/D.
Susep: Levantar evidências documentais
quanto ao uso dos eventos “quase perda” e
“perda descendente” e, se for o caso,
documentação sobre os critérios para sua
aplicação incluindo, no caso da não utilização do
evento de “perda descendente”, descrição do
tratamento a ser dado a esses eventos (perdas
independentes ou agrupadas).
43. Auditoria da FASE I do BDPO - Completude do Escopo
43
A metodologia de categorização
das perdas operacionais deve
ser formalmente documentada e
atender requisitos estabelecidos
no Art. 87. Além disso, o
documento “Padrões para o
Reporte de Perdas Operacionais
no BDPO” sugere uma estrutura
de classificação padrão.
Apurar se a supervisionada
adotou a estrutura de
categorização de perdas
operacionais padrão sugerida
ou, caso contrário, se sua
estrutura foi avaliada pela
auditoria quanto ao atendimento
dos requisitos constantes do
artigo 87.
1
7
Auditoria
Interna
Art. 87. A supervisionada deverá
documentar a metodologia utilizada
para fins de classificação das perdas
operacionais nas categorias
constantes do campo “Categoria” do
BDPO.
Parágrafo único. A metodologia
citada no caput deverá ser:
I - aplicável à totalidade das perdas
operacionais identificadas na etapa
Controles de Captura e Classificação
descrita no art. 74;
II - suficiente para que não haja a
possibilidade de uma mesma perda
ser classificada em mais de uma
categoria;
III - alvo da análise disposta no inciso
II do art. 78.
44. Auditoria da FASE I do BDPO - Completude do Escopo
44
CASE “B” CASE “C”
Auditoria: N/D.
Susep: Não foi possível concluir pela supervisão
à distância se a supervisionada adotou a
Estrutura de Categorização de Perdas
Operacionais padrão sugerida pela Susep ou,
caso contrário, se sua estrutura foi avaliada pela
auditoria quanto ao atendimento dos requisitos
constantes do artigo 87. Note que o inciso III
do artigo 87 explicita que a citada análise
seja alvo do relatório de auditoria interna.
Sugerimos o levantamento documental dos
critérios de Categorização e, caso os mesmos
divirjam do padrão sugerido pela SUSEP,
sugerimos que a supervisão in loco levante
evidências de que a auditoria interna verificou o
atendimento dos requisitos constantes do art.
87.
Auditoria: N/D.
Susep: Não foi possível concluir pela
supervisão à distância se a supervisionada
adotou a Estrutura de Categorização de Perdas
Operacionais padrão sugerida pela Susep ou,
caso contrário, se sua estrutura foi avaliada pela
auditoria quanto ao atendimento dos requisitos
constantes do artigo 87. Note que o inciso III
do artigo 87 explicita que a citada análise
seja alvo do relatório de auditoria interna.
Sugerimos o levantamento documental dos
critérios de Categorização e, caso os mesmos
divirjam do padrão sugerido pela SUSEP,
sugerimos que a supervisão in loco levante
evidências de que a auditoria interna verificou o
atendimento dos requisitos constantes do art.
87.
45. Auditoria da FASE I do BDPO - Completude do Escopo
45
18
Obter evidências que comprovem a
documentação dos critérios utilizados
para associação das funções de negócio
do organograma da supervisionada com
aquelas definidas no campo “Função de
Negócio” do BDPO.Auditoria
Interna
Art. 88. A supervisionada
deverá documentar os critérios
utilizados para fins de
associação das funções de
negócio existentes em seu
organograma com aquelas
definidas no campo “Função de
Negócio” do BDPO.
Parágrafo único. Os critérios
citados no caput deverão
integrar a análise disposta no
inciso II do art. 78.
46. Auditoria da FASE I do BDPO - Completude do Escopo
46
CASE “B” CASE “C”
Auditoria: N/D.
Susep: Obter evidências da existência de
documentação dos critérios utilizados para
associação das funções de negócio do
organograma da supervisionada com aquelas
definidas no campo “Função de Negócio” do
BDPO e verificar se a auditoria avaliou sua
consistência. Note que o parágrafo único do
artigo 88 determina que os critérios em
questão sejam abordados no relatório de
auditoria interna.
Auditoria: N/D.
Susep: Obter evidências da existência de
documentação dos critérios utilizados para
associação das funções de negócio do
organograma da supervisionada com aquelas
definidas no campo “Função de Negócio” do
BDPO e verificar se a auditoria avaliou sua
consistência. Note que o parágrafo único do
artigo 88 determina que os critérios em
questão sejam abordados no relatório de
auditoria interna.
47. Auditoria da FASE I do BDPO - Completude do Escopo
47
19
Obter evidências que comprovem
a documentação dos critérios
utilizados para associação das
perdas operacionais às causas
constantes do campo “Causa da
Perda” do BDPO, bem como, em
relação ao atendimento dos
requisitos constantes do Art. 89.Auditoria
Interna
Art. 89. A supervisionada deverá
documentar os critérios utilizados
para fins de associação das perdas
operacionais às causas constantes do
campo “Causa da Perda” do BDPO.
Parágrafo único. Os critérios citados
no caput deverão ser:
I - aplicáveis à totalidade das perdas
operacionais identificadas na etapa
Controles de Captura e Classificação
descrita no art. 74;
II - suficiente para que não haja a
possibilidade de uma mesma perda
ser associada a mais de uma causa;
III - alvo da análise disposta no inciso
II do art. 78.
48. Auditoria da FASE I do BDPO - Completude do Escopo
48
CASE “B” CASE “C”
Auditoria: N/D.
Susep: Obter evidências da existência de
documentação dos critérios utilizados para
associação das perdas operacionais às causas
constantes do campo “Causa da Perda” do
BDPO e verificar se a auditoria avaliou sua
consistência e o atendimento aos requisitos
constantes do Art. 89. Note que o inciso III do
Art. 89 determina que os critérios em questão
sejam abordados no relatório de auditoria
interna.
Auditoria: N/D.
Susep: Obter evidências da existência de
documentação dos critérios utilizados para
associação das perdas operacionais às causas
constantes do campo “Causa da Perda” do
BDPO e verificar se a auditoria avaliou sua
consistência e o atendimento aos requisitos
constantes do Art. 89. Note que o inciso III do
Art. 89 determina que os critérios em
questão sejam abordados no relatório de
auditoria interna.
49. Percepções do Regulador
sobre a Auditoria Interna da
1ª Fase do Banco de Dados
de Perdas Operacionais
Workshop
09 DE MAIO DE 2017
Vitor Pêgo Hottum
SUSEP/DISOL/CGMOP/CORIS