7 de maio de 2014 SUSEP/DITEC/CGSOA/COARI/DIRIS

1. DITEC/CGSOA/COARI/DIRIS Subcomissão de Riscos Tema para Discussão 1: Papeis e Responsabilidades 7 de maio de 2014 SUSEP/DITEC/CGSOA/COARI/DIRIS

2. Objetivo • Definir papeis e responsabilidades básicos em relação à Estrutura de Gerenciamento de Riscos e estabelecer requisitos específicos para o seu desempenho, de forma a garantir que as sociedades supervisionadas se organizem adequadamente para implementar e manter processos integrados de gestão de riscos que sejam alinhados aos seus objetivos estratégicos. DITEC/CGSOA/COARI/DIRIS

3. Agenda • Terminologia Básica • O Conceito de Linhas de Defesa • Papeis e Responsabilidades • Conselho de Administração • Diretoria • Gerências Operacionais • Função de Controle de Riscos • Auditoria Interna • Auditoria Externa • Documentos de Referência (adicionais) DITEC/CGSOA/COARI/DIRIS

4. Terminologia Básica • Função – capacidade administrativa para assumir tarefas específicas (BaFin) • O ICP 8 estabelece a necessidade de funções responsáveis por atividades específicas relativas ao gerenciamento de riscos, assuntos atuariais, compliance (conformidade) e auditoria interna. Essas funções são denominadas Funções de Controle. • Em geral, uma função não corresponde necessariamente a uma unidade ou departamento • Sistema de Gerenciamento de Riscos – Totalidade de estratégias, políticas, processos e controles para identificar, avaliar, monitorar, gerenciar e reportar riscos. (ICP 8) • Funções também são tratadas no ICP 8, mas, aparentemente, separadas do Sist. de GR • Estrutura (Framework) de Gerenciamento de Riscos – conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização. (ISO 31000) • Fundamentos: Política de GR, objetivos, mandato e comprometimento • Arranjos organizacionais: planos, relacionamentos, responsabilidades, recursos, processos e atividades • Perfil de Risco – Conjunto de Riscos a que a organização encontra-se exposta (baseado em ISO 31000) BACEN DITEC/CGSOA/COARI/DIRIS

5. O Conceito de Linhas de Defesa • Auxilia na definição dos papeis e responsabilidades dentro da Estrutura de GR (IIA) Conselho de Administração / Comitês Diretoria Auditoria Externa Supervisor • Proprietários dos Riscos (resp. primária pelo seu gerenciamento) • Definição de Processos e Controles • Monitoramento • Consultoria • Asseguração INDEPENDÊNCIA DITEC/CGSOA/COARI/DIRIS

6. Papeis e Responsabilidades • Conselho de Administração • Assegurar-se de que a organização possui uma Estrutura de GR adequada (ICP16) através da avaliação de políticas , processos, controles, funções, recursos alocados, etc. – Mediante reportes da Diretoria, da Auditoria Interna e da Função de Controle de Riscos (necessário o estabelecimento de um canal direto de comunição) • Cobrança de adequações caso o Perfil de Risco da organização mude ou sejam identificadas deficiências materiais • Definir o Apetite por Risco1 da organização (OSFI / BaFin) • Acompanhar o Perfil de Risco da organização e seus níveis de exposição, estabelecendo para isso os relatórios que lhe devem ser submetidos e sua periodicidade. • Conhecer o impacto de suas decisões e das ações da Diretoria/Gerência sobre o perfil de Risco da organização • Analisar previamente: • Operações que excedam o Apetite por Risco definido • Operações não previstas nas políticas e procedimentos vigentes ou que sejam objeto de interpretações divergentes • Terceirização da Função de Controle de Riscos, visando à garantia de sua independência e qualificação 1- O termo “Apetite por Risco” será definido no TD2. Por enquanto, ele deve ser entendido como as exposições que a organização deseja ter, bem como o limite admitido para as perdas decorrentes delas. DITEC/CGSOA/COARI/DIRIS

7. Papeis e Responsabilidades • Conselho de Administração (Cont.) • Indicar e destituir o Diretor Responsável pelo GR (CRO), bem como avaliar seu desempenho periodicamente • Aprovar política de recompensas, em especial para a Diretoria • Possuir entendimento básico dos modelos utilizados para quantificação de riscos e definição do Capital Econômico (especialmente no caso de Modelos Internos) Pontos para Discussão: • Na ausência do Conselho de Administração, essas atividades deverão ser desempenhadas pela Diretoria da sociedade, a menos que ela pertença a um Grupo/Conglomerado. Neste caso elas caberão a (em ordem de prioridade): • Conselho de Administração do Grupo Segurador (ainda não definido) • Conselho de Administração do Conglomerado Financeiro • Diretoria da entidade ou da instituição líder do Grupo Segurador (perspectiva de grupo) • O Conselho de Administração deve possuir a prerrogativa de criar um comitê para auxiliá-lo no desempenho dessas funções. Normalmente o “Comitê de Riscos” ou o “Comitê de Auditoria” • Para desempenhar essas funções o Conselho precisa de membros com qualificação específica, portanto, seria interessante que ele definisse um “perfil de conselheiro”, exigindo formação e experiência na área de GR, além de um plano de sucessão. Critérios semelhantes poderiam ser adotados para a indicação do Diretor Responsável pelo GR (CRO) e outras funções chave. DITEC/CGSOA/COARI/DIRIS

8. Papeis e Responsabilidades • Diretoria • Implementar a Estrutura de GR e garantir que ela funciona adequadamente, através de: • Definição da política de GR e suas correlatas em conjunto com as gerências operacionais • Instituição da Função de Controle de Riscos, estabelecendo sua autoridade e independência, garantindo-lhe acesso irrestrito à informação e dotando-a dos recursos necessários para o desempenho de suas tarefas • Avaliação dos processos e controles implementados pelas Gerências Operacionais, bem como da adequação dos recursos alocados a elas – Mediante reportes da Função de Controle de Riscos e Auditoria Interna • Adoção de ações corretivas em caso de mudança no Perfil de Riscos ou identificação de deficiência material • Instauração de uma “Cultura de Riscos” na organização • Desdobrar o Apetite por Risco, definido pelo Conselho de Administração, em exposições-alvo/limites de exposição para cada linha de negócio • Acompanhar o Perfil de Risco da organização e as exposições assumidas pela unidades operacionais, estabelecendo para isso os relatórios que lhe devem ser submetidos e sua periodicidade. • Conhecer o impacto de suas decisões e das ações das Gerências Operacionais sobre o Perfil de Risco da organização • Avaliar periodicamente o desempenho da Função de Controle de Riscos • Elaborar política de recompensas levando em conta os riscos assumidos e o resultado da organização no longo prazo DITEC/CGSOA/COARI/DIRIS

9. Papeis e Responsabilidades • Gerências Operacionais • Desdobrar, para unidade operacional, as exposições-alvo/limites de exposição estabelecidos pela Diretoria para a respectiva unidade de negócio • Implementar processos e controles para o gerenciamento dos riscos sob sua responsabilidade, alocando os recursos humanos e materiais necessários para tal • Acompanhar suas exposições, fornecendo as informações solicitadas pela Diretoria e pela Função de Controle de Riscos na periodicidade definida e sempre que necessário • Reportar novos riscos identificados ou deficiências de controles/processos detectadas à Função de Controle de Riscos, Diretoria ou Conselho de Administração, conforme o caso. DITEC/CGSOA/COARI/DIRIS

10. Papeis e Responsabilidades • Função de Controle de Riscos • Consolidação e atualização do Perfil de Risco • Elaborar relatórios periódicos ou ad-hoc (conforme requerido pela Diretoria e pelo Conselho de Administração) sobre: • Exposições individuais (por unidade operacional) e agregadas (Apetite por Risco da organização) • Adequação dos processos, controles e metodologias utilizados pelas Gerências Operacionais no gerenciamento de riscos • Adequação da Estrutura de Gerenciamento de Riscos da organização, especialmente diante de mudanças no Perfil de Risco ou nos cenários interno e externo • Atividades de Consultoria: • Orientar as Gerências Operacionais no desenvolvimento e aplicação de métodos e no estabelecimento de processos para identificação, avaliação, tratamento e monitoramento de riscos (pode desenvolver metodologias padrão) • Auxiliar a Diretoria no desdobramento do Apetite por Risco em exposições-alvo para cada unidade • Fornecer opinião especializada, sob o aspecto dos riscos, para embasar decisões do Conselho de Administração e da Diretoria • Avaliar o impacto de novas operações, fusões e aquisições sobre o Perfil de Risco da organização • Facilitar o fluxo de comunicações sobre riscos dentro da organização DITEC/CGSOA/COARI/DIRIS

11. Papeis e Responsabilidades • Função de Controle de Riscos (Cont.) Pontos para Discussão: • Função x Unidade • BACEN – Determina a criação de um “Setor Responsável pelo Gerenciamento de Riscos” • Necessidade de indicação de “Diretor Responsável pelo GR” (equivalente ao CRO) – seria o head da Função de Controle de Riscos • Acúmulo de Funções • Pode ser a mesma pessoa apontada como Diretor Administrativo-Financeiro, Diretor Técnico, Diretor Responsável pela Auditoria Interna, etc? • Diretor responsável pelo GR pode ser o Chair do Comitê criado pelo Conselho de Administração para acompanhamento das atividades de Gerenciamento de Riscos? • O diretor pode representar sozinho a função (para uma operação muito simplificada) ou contar com uma estrutura de suporte – Neste caso, o que seria considerado a “Função de Controle de Riscos”? (Diretor + suporte?) • Necessidade de revisão das atividades pela Auditoria Interna / Externa • Possibilidade de terceirização • No caso de Grupos/Conglomerados, a Função de Controle de Riscos deveria poder o prestar serviço a várias entidades. • Diretor Responsável pelo GR, precisará ser o mesmo em todas as empresas atendidas pela Função de Controle de Riscos que ele comanda? DITEC/CGSOA/COARI/DIRIS

12. Papeis e Responsabilidades • Auditoria Interna • Avaliação de processos e controles relativos ao gerenciamento de riscos • Foco nas atividades de maior risco • A Auditoria Interna está instituída na Circular Susep nº 249/2004 • Existe a possibilidade de ser realizada por unidade pertencente a outra empresa do conglomerado ou por empresa terceirizada (desde que não seja a mesma empresa responsável pela auditoria das Demonstrações Financeiras) • Auditoria Externa • A avaliação da adequação dos controles internos pela Auditoria Externa está regulamentada na Circular Susep nº 280/2004 • A avaliação de riscos e as ações adotadas para seu gerenciamento deveriam ser considerados Pontos para Discussão: • Em certos casos, quando a organização não conta com uma Função de Controle de Riscos madura, a Auditoria Interna pode assumir também certas atividades de consultoria em relação ao gerenciamento de Riscos (IIA). • Implica em perda de independência • Deve ser permitido no nosso mercado? Em que circunstâncias? DITEC/CGSOA/COARI/DIRIS

13. Documentos de Referência (adicionais) • Susep • Circular nº 234/2003 – Funções Específicas dos Diretores • ABNT ISO 31000 – Gestão de Riscos – Princípios e Diretrizes • TheInstituteofInternalAuditors (IIA) • TheThreeLinesofDefense in EffectiveRisk Management andControl • The Role ofInternalAuditing in Enterprise-wideRisk Management • Normas Internacionais • OSFI (Canadá) • Supervisory Framework • CorporateGovernanceGuide DITEC/CGSOA/COARI/DIRIS