Os frameworks de controle interno são um elemento fundamental dos sistemas de gestão de riscos em geral, e principalmente dos sistemas de gestão de riscos não financeiros. As instituições financeiras enfrentam riscos não financeiros em quase todas as áreas de atividade, desde crimes financeiros, conduta, privacidade de dados e operações até fraude, resiliência e tributação.
Para fazer frente ao crescente escrutínio regulatório ao longo dos últimos anos, as organizações investiram fortemente nas suas funções da 2ª Linha de Defesa e criaram várias funções internas para mitigar os riscos. Em grande medida, a evolução dos tipos de risco tem sido gerida por diferentes funções. Como parte dos seus arranjos particulares de gestão de riscos, estas funções operacionais diferentes e, na sua maioria independentes, criaram os seus próprios sistemas de controle operacional.
Devido a este desenvolvimento histórico, frequentemente as instituições financeiras enfrentam hoje o desafio de não terem um framework de controle interno harmonizado, a nível institucional, que ligue os sistemas de controle individuais subjacentes. Isto conduz, consequentemente, a uma falta de comparabilidade entre os diferentes sistemas de controle e dificulta a orientação eficaz e eficiente do risco em toda a instituição.
Quando as instituições tentam enfrentar o desafio de construir um framework de controle a nível institucional, muitas delas começam por analisar primeiro os seus processos e controles já existentes, ou seja, aplicam uma abordagem ascendente (bottom-up). Isto significa recolher extensivamente dados de processos e controles e agregá-los num único documento, que pode então ser utilizado para construir um sistema de controle abrangente.
Embora esta abordagem tenha a vantagem de fazer com que a 2ª LDD consiga alavancar a sua experiência e conhecimento através de um alinhamento estreito durante o processo de recolhimento de dados, existem sérias desvantagens. O recolhimento de dados é um processo lento e pode levar à sobrecarga de informação quando não realizado de forma focada e concisa. Além disso, as opiniões divergentes sobre os controles nas diferentes funções e as inconsistências durante a agregação dificultam a obtenção de uma visão geral abrangente e fácil de utilizar do ambiente de controle.
Um método mais eficiente para construir um framework de controle interno a nível de toda a instituição é aplicar uma metodologia descendente (top-down) que aproveite a compreensão dos padrões de mercado e uma visão detalhada do modelo empresarial e operacional subjacente da instituição. Essa abordagem é uma forma muito mais rápida de se obter uma visão holística do risco, bem como de garantir a comparabilidade entre os tipos de risco e os correspondentes requisitos de controle, conduzindo a um framework abrangente de gestão de riscos de forma mais eficiente.
5 Passos para Construir um Framework de Controle Interno
As principais atividades na construção de um framework de controle interno utilizando uma metodologia top-down podem ser agrupadas em 5 etapas:
Etapa 1: Determinar a criticidade dos riscos
O ponto de partida deve ser uma taxonomia de risco holística, criando uma visão abrangente sobre categorias de risco relevantes, tipos de risco e definições de risco correspondentes. “Riscos relevantes” são aqueles inerentes ao modelo de negócio e operacional da instituição.
Contudo, a organização deve adotar uma abordagem baseada em risco ao criarem um sistema de controle interno top-down e focar nos riscos que representam a maior parte da exposição ao risco subjacente, permitindo distinguir entre riscos “críticos” e “menos críticos” (mas ainda relevantes). Por exemplo, os riscos críticos podem ser aqueles com classificações de risco inerente médio-alto e alto (considerando a gravidade e a probabilidade de materialização do risco). Focar nos riscos críticos não significa deixar de lado os riscos não críticos, mas permite que as organizações priorizem a mitigação dos tipos de riscos que têm maior potencial de violação regulatória, perdas financeiras e danos à reputação.
Etapa 2: Mapear os principais riscos dentro dos processos centrais da organização, de "ponta a ponta"
Os riscos não devem ser avaliados isoladamente, mas sim no contexto dos processos em que potencialmente se materializam. Portanto, um mapeamento dos riscos críticos (e controles correspondentes) para os principais processos de uma instituição é fundamental, tanto para compreender completamente a exposição ao risco quanto para projetar medidas eficazes de mitigação.
O desafio que muitas organizações enfrentam é que os processos centrais (também chamados de processos relevantes) existentes são muitas vezes heterogêneos, pois foram concebidos de forma "departamentalizada", a partir de uma perspectiva específica de cada área envolvida no processo, sem uma visão abrangente "ponta a ponta". No entanto, uma perspectiva “ponta a ponta” dos processos centrais da instituição (por exemplo: vendas, crédito, mercados de capitais, transações de pagamento, finanças estruturadas, serviços de atendimento ao cliente, etc.) é essencial para compreender onde o risco pode se materializar e como os controles devem ser projetados para fornecer uma mitigação impactante.
Etapa 3: Definir objetivos de controle, controles-chave e repositório de controle
Após os riscos críticos terem sido determinados e mapeados nos processos centrais, os principais controles precisam ser definidos. Como ponto de partida para a definição das atividades de controle, devem ser determinados os objetivos de controle. Os objetivos de controle definem as características ou circunstâncias exigidas de um processo (por exemplo, precisão, integridade, diligência, segregação de funções, documentação) sujeito a revisão pelas atividades de controle.
Uma vez determinados os objetivos de controle, aqui também existe a tentação de se utilizar a abordagem bottom-up mais comum, que incluiria o recolhimento de controles existentes, envolvendo entrevistas demoradas com funções da 1.ª e da 2.ª LDD. Isto pode levar à criação de um catálogo de controle inicial, mas muitas vezes há variabilidade no que diz respeito ao âmbito e granularidade ou controles entre tipos de risco.
Em vez disso, o ideal é continuar com uma abordagem top-down, definindo controles com base numa análise dos seus modelos de negócio e operacionais, juntamente com requisitos regulamentares e padrões de mercado. Como resultado do passo 3, o repositório de controle de chaves deve incluir uma breve descrição do controle, juntamente com referências às unidades responsáveis da 1ª/2ª LDD, aos processos relevantes (na lógica “ponta a ponta” previamente estabelecida) e aplicações de TI subjacentes ou documentações de controle.
Etapa 4: Avaliar os controles
Na etapa 4, os controles precisam ser testados em relação aos seguintes critérios:
• Teste de implementação: o controle é executado nos processos relevantes em que os riscos podem materializar-se.
• Teste de design: quando operado corretamente, o controle é projetado adequadamente para atender aos objetivos de controle e prevenir os riscos relacionados.
• Teste de eficácia : com base no teste de uma amostra de controle adequada, o controle é operado consistentemente da maneira projetada e está devidamente documentado.
O exercício de avaliação deve ser realizado por ou em estreita colaboração com as funções responsáveis da 2.ª LDD. Com base no resultado da avaliação, os controles devem ser classificados com base numa escala de classificação predefinida ou em fatores de controle qualitativos com um resumo da lógica subjacente. Por exemplo:
• O controle é satisfatório.
• O controle precisa de melhorias.
• O controle é deficiente.
As deficiências de controle devem ser resolvidas e as ações corretivas apropriadas devem ser acordadas, incluindo prazos para implementação das ações.
Etapa 5: Elaborar do relatório de avaliação de controles
Como etapa final, deverá ser produzido um relatório periódico de avaliação de controles, que deve resumir os principais resultados das etapas anteriores e permitir que as principais partes interessadas tomem decisões informadas sobre a gestão de riscos. O relatório deve abranger pelo menos:
• Um resumo da situação de risco atual (aproveitando informações utilizadas para determinar a criticidade do risco individual), estreitamente ligado aos resultados da avaliação de risco;
• Descrições dos principais indicadores de risco, incluindo a sua evolução histórica e potenciais limitações (por exemplo, número de clientes de alto risco de KYC ou KYC pendente);
• Os resultados das avaliações da adequação e eficácia dos controles, com base em revisões regulares da 2ª LDD;
• Medidas corretivas necessárias, incluindo atribuição de responsabilidades individuais, prazos acordados e atualizações de status.
Conclusão
A implementação de um sistema de controle interno em toda a instituição usando uma abordagem top-down oferece diversas vantagens que podem melhorar significativamente a eficiência e a eficácia do ambiente de gerenciamento e controle de riscos, pois permite uma implementação focada, unificada e estratégica que se alinha com os objetivos da organização.
No entanto, embora este método tenha as suas vantagens, é importante considerar que o sucesso de qualquer sistema de controle interno – seja top-down ou bottom-up – também depende da forma como ele é adaptado às necessidades e circunstâncias específicas de cada organização.