ARSEG - Formação Gestão de Risco v2022.12.12

Sistemas de Controlo
Interno e Gestão de
Riscos
ARSEG –Agência Angolana de Regulação e
Supervisão de Seguros
Formação
—
Dezembro de 2022
Índice
Principais elementos
Enquadramento 01 do Sistema de 02
Controlo Interno
Sistema de Gestão Desafios

de Riscos 03 Regulamentares 04
© 2022 KPMG Angola – Audit, Tax, Advisory, S.A., sociedade anónima angolana e membro da rede global KPMG, composta por firmas membro independentes associadas com a KPMG International Limited, uma sociedade inglesa de responsabilidade limitada por
garantia. Todos os direitos reservados.
2
01
Enquadramento
© 2022©KPMG
2022 KPMG
AngolaAngola – Audit, Tax, Advisory, S.A., sociedade anónima angolana e membro
da rede da redeKPMG,
global KPMG, composta pormembro
firmas membro independentes associadas com aInternational Limited, uma sociedade inglesa
KPMG
garantia.
– Audit,
TodosInternational
Tax, Advisory,
os direitos Limited,
S.A., sociedade anónima angolana e membro global composta por firmas
uma sociedade inglesa de responsabilidade limitada por garantia. Todos os direitos reservados.
reservados.
independentes associadas com a KPMG de responsabilidade
Document limitadaConfidential
Classification: KPMG por
3
1. Enquadramento
Principais objectivos da acção de formação
Compreender o
papel das diversas
Entender a Conseguir identificar Entender a área da Organização,
relevância de adoptar as principais Framework de incluindo as funções
uma abordagem de componentes de um gestão do Sistema de de controlo, no
Controlo Interno Sistema de Controlo Controlo Interno Modelo de Governo
Interno do Sistema de
Controlo Interno
4
1. Enquadramento
Principal enquadramento regulamentar
Principal Regulamentação aplicável
Lei que regula o sector segurador de Angola,

ARSEG tendo em atenção as funções de Governo no
Título III, Cap. I – Sistema de Governação das
Lei nº18/2022 de 7 de julho Empresas de Seguros e de Resseguros com
(aplicável a seguradoras, entidades Sede em Angola.
gestoras de fundos de pensões)
Estabelece os princípios orientadores da

atividade do Sistema Financeiro e regula o
Seguradoras e processo de estabelecimento, o exercício
Sociedades Gestoras da actividade e a supervisão das
de Fundos de Comissão do Mercado de instituições financeiras, o processo de
intervenção correctiva e de resolução,
Pensões Capitais bem como os regimes sancionatórios, de
Lei nº14/2021, de 19 de maio resolução e de liquidação das referidas
instituições. Define, igualmente, as
Instituições Auxiliares do Sistema
Financeiro, incluindo a sua autorização e
registo junto do organismo de supervisão
competente. Em particular, o Cap. V foca-
se nas Instituições Financeiras não
Bancárias.
5
1. Enquadramento
Principal enquadramento regulamentar
Aumento exponencial de Regulamentação
Existe um ambiente regulatório cada vez mais complexo e exigente que se tem acentuado nos últimos anos. Trata-se
de uma realidade transversal aos diversos sectores de actividade. O número e complexidade da regulamentação
produzida pelos Reguladores/ Supervisores é cada vez maior, assim como as sanções associadas ao seu não
cumprimento. As organizações devem dar particular importância à transformação da sua função de Compliance de
forma a dar resposta a esta realidade.
Sobreposição de Regulamentação
Adicionalmente, em muitas áreas, existe jurisdição sobreposta e/ou paralela tornando ainda mais desafiante a garantia
de conformidade e cumprimento de todo o quadro regulatório aplicável, que pode ir desde a protecção dos investidores e
do consumidor ao meio ambiente, ao emprego e ao direito do trabalho.
Expectativas do Regulador e do Cliente/Consumidor
Simultaneamente, é importante lembrar que os princípios de uma adequada Gestão de Risco, Governance e Conduta
estão cada vez mais enraizados nas expectativas dos reguladores e dos consumidores em todo o mundo, pelo que
as sucessivas alterações e mudanças no quadro regulamentar devem conduzir a um fortalecimento da cultura de
Gestão de Risco e Compliance como parte da estratégia de negócio e não o contrário.
6
1. Enquadramento
Sistema de gestão de riscos
Sistema de Gestão de Riscos
As empresas de seguros e resseguros devem dispor de um Sistema de Gestão de Riscos eficaz que compreenda estratégias,
processos e procedimentos de prestação de informação que permitam, a todo o tempo, identificar, mensurar, monitorizar, gerir e
comunicar os riscos, de forma individual e agregada, a que estão ou podem vir a estar expostas e as respectivas interdependências.
O Sistema de Gestão de Riscos deve estar integrado na estrutura organizacional e no processo de tomada de decisão,
considerando as pessoas que dirigem efectivamente a empresa de seguros ou de resseguros ou nela são responsáveis por funções-
chave, e abrange, pelo menos, as seguintes áreas:
1 Subscrição e provisionamento; 4 Gestão do risco de concentração e de liquidez;
2 Gestão activo – passivo; 5 Gestão do risco operacional;
3 Investimentos, em particular instrumentos financeiros 6 Resseguro e outras técnicas de mitigação de risco.

derivados e compromissos análogos;
7
1. Enquadramento
Função de gestão de riscos
A empresa de seguros deve estabelecer na sua estrutura organizacional uma função de gestão de
riscos (FGR) adequada à dimensão, natureza e complexidade das respectivas operações. Esta
deve ser exercida por pessoal competente e qualificado, com uma clara compreensão do seu papel
e responsabilidades.
A FGR deve desempenhar as suas competências objectivamente e de forma independente

relativamente às actividades operacionais da empresa de seguros, podendo, no entanto, ser
utilizada numa tipologia estrutural que não verifique completamente o requisito de independência,
desde que sejam implementados procedimentos adicionais de controlo que garantam uma segurança
equivalente.
A FGR deve concretizar as políticas internas definidas pelos directores de topo e aprovadas pelo
Órgão de Administração, através do planeamento dos riscos a que a empresa de seguros está
exposta, e deve propor planos de mitigação ou transferência de riscos para fazer face às diferentes
situações.
8
1. Enquadramento
Sistema de governação
Os Órgãos de Administração e Fiscalização têm a responsabilidade de garantir o cumprimento das disposições legais,
regulamentares e administrativas aplicáveis à actividade das empresas de seguros e resseguros.
Responsabilidades das empresas de seguros e resseguros
 Possuir um Sistema de Governação eficaz, que garanta uma gestão sã e prudente das
suas actividades;
 Rever periodicamente o Sistema de Governação;
 Definir e implementar políticas internas devidamente documentadas relativas,
nomeadamente à gestão de riscos, ao controlo interno, à auditoria interna, à
remuneração e, os casos aplicáveis, à subcontratação;
 Utilizar sistemas, recursos e procedimentos adequados e proporcionados que lhes
permitam adoptar as medias necessárias para assegurar a continuidade e a regularidade
do exercício das suas actividades, incluindo o desenvolvimento de planos de contingência.
Requisitos do Sistema de Governação
 Assentar numa estrutura organizacional adequada e transparente, com

responsabilidades devidamente definidas e segregadas e um sistema eficaz de
transmissão de informação;
 Ser proporcional à natureza, dimensão e complexidade das actividades da empresa
de seguros ou de resseguros.
9
1. Enquadramento
Integrated assurance –o que é?
Linguagem
Três linhas de
comum e
defesa/
metodologia
governance
partilhada
Visão e
estratégia de
integrated
assurance
partilhadas
Coordenação de
Gestão de
esforços e
mudança
relatórios
10
1. Enquadramento
Gestão de reporte simplificada, transparente e focada
Planeamento e Monitorização
sequenciamento conjunta de riscos e
conjunto de actividades controlos
Testes de Controlo Avaliação dos

Coordenados diferentes tipos de
risco
Number Two
Integrated assurance
11
1. Enquadramento
Stakeholders Objectivos Benefícios
Órgãos de Reporte claro com a estratégia,

risco, performance e controlos Conhecimento
Gestão
melhorado
Financeira Diminuição do custo de

e Operações negócio sem aumentar o risco Maior
confiança nos
stakeholders
Melhor supervisão de Integrated
Risco actividades de gestão de assurance
risco transversal e assurance
Custo
reduzido
Compliance integrado a mais
Compliance
baixo custo
Gestão de
Custos reduzidos e maior risco
Auditoria melhorada
valor acrescentado
Interna
12
02
Principais elementos
do sistema de
controlo interno
© 2022©KPMG
2022 KPMG
KPMG
garantia.
– Audit,
TodosInternational
Tax, Advisory,
reservados.
13
2. Principais elementos do SCI
Enquadramento –Importância de uma abordagem de CI
Existem estudos que indicam que metade das fraudes ocorridas nas Organizações decorrem de falhas no Sistema de
Controlo Interno.
Fonte: “2018 Global Study On Occupational Fraud And Abuse” (Association of Certified Fraud Examiners)
14
Definição, objectivos e principais conceitos
O sistema de controlo interno define-se como o conjunto das estratégias, sistemas, processos, políticas e procedimentos
definidos pelo órgão de administração, bem como das acções empreendidas por este órgão e pelos restantes colaboradores
da instituição, com vista a assegurar:
A eficácia e a eficiência das

operações
A fiabilidade e a integridade da informação

Controlo reportada interna ou externamente,
nomeadamente a do relato financeiro e a de
Interno demonstrações financeiras
A compliance com as leis, regulamentos e

políticas internas de gestão
15
Sistema de Controlo Interno
 Demonstrar ao regulador e ao mercado que a

organização está a identificar e gerir os riscos
adequadamente;
 Salvaguardar a reputação da instituição perante
os seus stakeholders.
Regulamentação  Desenvolver uma forte cultura de risco na

e Mercado organização;
Benefícios
Financeiros  Reduzir a exposição ao risco e o montante das
perdas;
 Reforçar o processo de gestão de riscos;
 Melhorar a eficiência operativa eliminando erros.
Organização
 Permite reduzir custos operacionais através da
implementação das acções de mitigação/
controlos.
16
Um dos principais desafios das Instituições Financeiras é conseguir incorporar a Gestão de Risco/ Controlo Interno nos
seus processos não comprometendo, simultaneamente, a eficiência e eficácia dos seus processos.
A legislação tem
Acrescentar
reforçado o
valor
posicionamento
Gestão de Risco
das Instituições
integrada
no eixo da Gestão
Gestão de Risco
de Risco
Melhoria nos
controlos
Transformação
dos
Melhoria nos processos Pressões ao nível da
processos concorrência e do
Compliance mercado têm reforçado o
posicionamento das
empresas no eixo do
Desempenho Desempenho
17
O sistema de controlo interno traduz-se num conjunto de estratégias, políticas, processos, sistemas e procedimentos que
têm como objetivo garantir a sustentabilidade da instituição no médio e longo prazo e o exercício prudente da sua
actividade.
Internal Control Framework – Princípios Gerais

A Estrutura de Controlo Interno deve abranger toda a organização, incluindo as responsabilidades e tarefas das funções de direcção / gestão, assim
como as actividades de todas as linhas de negócio e unidades internas, as actividades de outsourcing e canais de distribuição.
Efectividade e eficiência Confiança na

nas operações 1 4 Informação Reportada
 O Governance Interno inclui todos os standards e princípios
relacionados à definição dos objectivos e à estratégia de uma
Conduta conhecedora Procedimentos Entidade, incluindo, entre outros, a configuração do negócio, a
dos negócios 2 Aspectos 5 contabilisticos sólidos definição de uma estrutura organizacional clara, linhas de
Gerais responsabilidade bem definidas, transparentes e coerentes, o
estabelecimento de linhas e mecanismos de reporte ou a definição
Adequada identificação, Cumprimento com
mensuração e mitigação
3 6 regulamentos e e implementação da Estrutura de Controlo Interno.
de risco requisitos
18
Modelo de governo –Papel da gestão e funções de controlo
• Avaliar e contribuir para a melhoria da
• Definir e rever objectivos globais e
eficácia dos processos de gestão de
específicos, incluindo perfil de risco;
risco, controlo e governação;
• Aprovar políticas e procedimentos de
• Ter um plano de Auditoria baseado no
gestão de risco;
risco e que considere as diversas
• Acompanhar o nível de risco a que a componentes do Controlo Interno;
Instituição e encontra exposta e
• Reportar as principais deficiências
acompanhar a atempada
detetadas, assim como sobre o estado
implementação de medidas de
de resolução.
mitigação.
• Acompanhamento contínuo da • Acompanhamento e a avaliação da

adequação e eficácia do sistema de adequação e da eficácia das medidas e
gestão de riscos, assim como das procedimentos adotados na gestão do
medidas corretivas implementadas; Risco de Compliance;
• Reportar sobre os principais riscos a • Acompanhamento e avaliação de
que a Instituição se encontra exposta procedimentos no âmbito do PBCFT;
e implementação de medidas de • Reportar indícios/ eventos de violação de
mitigação; obrigações legais, de regras de conduta
• Promoção de uma cultura de e de relacionamento com clientes ou de
mitigação de riscos. outros ilícitos.
19
Ges tão de Risco
Auditoria Interna Compliance
• Monitorização de KRIs
• Avaliação de risco • Monitorização de KRI’s
• Relatórios de Auditoria
• Avaliação de risco de
Interna
compliance
Temas Acções de
Identificados Melhoria
Áreas de Negócio Auditor Externo
• KRIs
• Relatório do A.E.
• Métricas de negócio
20
Os “Guidelines on Internal Governance" (EBA-GL-2017-11) promovem a adopção do Modelo das 3 Linhas de Defesa (3LoD)
para estruturar o Sistema de Controlo Interno e de Gestão de Risco das Entidades.
Auditoria  A Auditoria Interna avalia de forma independente tendo como objectivo providenciar a garantia
Independente 3ª LINHA (reasunable assurance) da efectividade dos controlos e avaliar o Sistema de Gestão de Risco e
Controlo Interno da Instituição.
Funções de
Supervisão
 Formada tipicamente pela função de Gestão de Risco e função de Compliance;
 Estas áreas efectuam a identificação, a mensuração e a monitorização dos riscos
2ª LINHA
3ª Linha Unidades de enquanto estabelecem políticas de gestão e procedimentos de controlo. Estas áreas são
Negócio também responsáveis pela revisão independente da acção da 1ª Linha de Defesa.
2ª Linha
 Consiste nas linhas de negócio da Entidade (risk -taking areas) e nas suas funções de suporte.
1ª LINHA
São responsáveis por desenvolver e manter controlos efectivos no âmbito das transações
realizadas e/ou processadas. São também responsáveis por identificar, gerir e mitigar os
1ª Linha riscos originados bem como funcionar num adequado ambiente de controlo.
21
03
Sistema de Gestão
de Riscos
© 2022©KPMG
2022 KPMG
KPMG
garantia.
– Audit,
TodosInternational
Tax, Advisory,
reservados.
22
3. Sistema de Gestão de Riscos
Framework de gestão de risco
Framework de Risco
Uma efectiva gestão de risco requer uma

abordagem global das Instituições que inclua:
 Estratégia de gestão de risco, com base Modelo de Governo

na definição interna das diversas tipologias de Gestão de Risco
de risco, categorias de risco e tolerâncias;
 Definição da estrutura organizacional de
apoio ao processo de gestão de risco; Estratégia de
Risco
 Implementação de metodologias de
identificação, avaliação e mitigação de
riscos; Processo de
Gestão de Risco
 Definição e implementação de
mecanismos de monitorização de riscos,
nomeadamente indicadores-chave de Ferramentas de
risco (KRI’s); Gestão de Risco
 Definição da estrutura dos sistemas de
informação de suporte à gestão.
23
Framework – Estratégia de gestão de risco
Na definição de uma metodologia de Apetite ao risco é necessário clarificar alguns conceitos e a articulação das várias
medidas de risco:
CAPACIDADE DE RISCO
O montante máximo de risco que o sociedade é capaz de aceitar para
cumprir com os seus objectivos (pe. Rácio de solvabilidade);
APETITE AO RISCO
Montante global de risco que a sociedade está disposto a aceitar para
cumprir com os seus objectivos estratégicos e de negócio.
TOLERÂNCIA TOLERÂNCIA AO RISCO

LIMITES
O montante máximo aplicável a cada categoria de risco relacionada com
a dimensão do risco que a sociedade está disposta a aceitar para cumprir os
seus objectivos dentro dos limites de apetite ao risco definidos.
LIMITES E INDICADORES DE
RISCO
Limites de risco claramente definidos para as unidades operacionais,
consistentes com as politicas de investimentos, estratégia de liquidez,
rentabilidade, …
24
Na definição de uma metodologia de Apetite ao risco é necessário clarificar alguns conceitos e a articulação das várias
medidas de risco:
Alocação de apetite ao risco
1.  O montante de risco que a entidade está disposta a aceitar, considerando a

Apetite ao sua capacidade, cultura e estratégia - Qualitativo ou quantitativo;
Risco  Demonstração da aversão ou agressividade face ao risco;
Nível Estratégico
 Definição do nível máximo de risco aplicável a cada classe/

2.
subclasse de risco;
Tolerância ao
 Operacionaliza o apetite ao risco;
Risco
 A agregação de tolerância deve estar alinhada com o apetite;
Nível Táctico
 Medidas de medição concretas a nível de cada um

3. dos riscos (mais detalhado);
Limites e Indicadores de Risco  Bandas de variação para os riscos (Min/Max)
articulado com tolerância/ apetite;
Nível Operacional  Limites prácticos à actividade
25
A articulação do Apetite ao Risco com a estratégia poderá levar a ajustamentos do apetite ao risco e da estratégia de risco
e/ou de negócio.
Articulação e alinhamento de
 Nível de rating Objectivos
1. Apetite ao pressupostos (risco e estratégia)
 Margem de Solvência
Estratégicos
Declaração de apetite
 ROE / ROA risco

ao Risco
 % de crescimento do
negócio em
2. Tolerância  Rácio de determinada linha de
2. Tolerância perdas de
Risco negócio;
outros riscos Risco
Operacional  % de rentabilidade
Operacional dos activos
 % de crescimento de
Resultados.
3. Indicadores 3. Indicadores  …
Políticas e
processos
de Risco de Risco
 Taxa Rotação
 % Falhas por
processo
 Montante Fraude
 …
26
Framework – Identificação e avaliação de risco
Aceitar o Risco Identificar o Risco
Processo
Quantitativo
Mitigar o Risco Avaliar o Risco
Processo de
Gestão
de Risco
Transferir o
Quantificar o Risco
Risco
Processo
Qualitativo
Definir
Monitorizar o Risco Tolerâncias e
Limites
27
Framework – Identificação
? e avaliação de risco
 A metodologia da gestão de grandes riscos foca-se na
identificação, avaliação, quantificação, reporte e monitorização
dos riscos, nomeadamente risco atuariais, mercado, crédito e
operacional e outros;
Grandes  Neste contexto, a gestão de risco é todo um processo de:
Riscos  Cultura de Risco e Estrutura Organizacional;
 Desenvolvimento de políticas e procedimentos de mitigação; Estas duas abordagens
 Definição de tolerâncias e de análise e monitorização de complementam-se
indicadores. permitindo à Sociedade
ter uma visão integrada
dos riscos a que se
encontra exposta.
 Na óptica da análise dos riscos granulares é analisado o conjunto
de atividades de controlo desenhados para o cumprimento das
políticas e procedimentos definidos na Sociedade;
Riscos
Granulares  Esta metodologia representa a implementação de actividades de
controlo para os riscos de não cumprimento das políticas e
procedimentos definidos, nomeadamente ao nível das
Operações, Compliance e reporting financeiro.
28
Processo de gestão de risco –Grandes riscos
Identificação e Avaliação de Grandes Riscos (Top-down)
01 02 03
Identificar as principais Identificar cenários (extremos mas A autoavaliação de Riscos é

categorias de risco a que a plausíveis) identificados para cada efetuada considerando, para cada
instituição se encontra exposta categoria de risco e os controlos/ risco/ cenário identificado, os
ações de mitigação implementados critérios definidos para a avaliação
de risco Top-Down
05 04
O exercício é efectuado A classificação de cada risco resulta da
considerando o Risco conjugação das duas dimensões da matriz de
Inerente e o Risco avaliação de Riscos Granulares: frequência
Residual (probabilidade de ocorrência) e severidade
(impacto financeiro no caso de ocorrência
29
Exemplos de Tipologia de Riscos
Riscos
Evolução da actividade económica – PIB, Taxa de Desemprego, Política fiscal /
macroeconómico
/ mercado orçamental, Crises económicas, taxas de juro, entre outros.
Riscos Evolução dos prémios de seguro, sustentabilidade dos resultados técnicos de

Riscos do
Mercado Específicos exploração, custos com sinistros, alterações fiscais, fraudes, subprovisionamento,
Segurador Ramo Não Vida catástrofes e fenómenos naturais, entre outros.
Riscos Evolução dos prémios de seguro, resgates, alterações fiscais, fraudes,

específicos subprovisionamento, dados biométricos (mortalidade, invalidez), sustentabilidade
Ramo Vida dos resultados técnicos de exploração, entre outros.
A categorização dos grandes riscos pode depois ser ajustada de acordo com as necessidades e eventuais requisitos
regulamentares contendo as diversas categorias de risco aplicáveis e respectiva desagregação se necessário.
Deverá ser uniforme na organização para permitir uma gestão integrada dos mesmos. Exemplo: Mercado, Cambial,
Taxa de Juro, Crédito, Liquidez, Operacional,…
30
Possibilidade de um evento ocorrer e com um impacto adverso no alcance dos
Risco objetivos da organização. O risco é medido pela probabilidade de ocorrência e
pelo impacto.
Risco É o risco para uma organização, considerando a inexistência de qualquer

Inerente acção pela gestão para alterar a probabilidade e o impacto desse risco.
Risco É o risco remanescente para uma organização após terem sido desenvolvidas
Residual acções pela gestão para alterar a probabilidade e o impacto desse risco.
Apetite ao É o nível de risco que uma organização está disposta a aceitar na prossecução
Risco dos seus objetivos.
31
Processo de gestão de risco –Grandes riscos Ilustrativo
Catastrófico
Controlos detectivos (actuam sobre impacto) Risco Risco Inerente
Alto
Risco Risco Risco Residual

Impacto do Risco
Moderado
Zona de riscos
não tolerados
Zona de riscos
Menor
Risco tolerados
Insignificant
e
Remoto Improváve Possível Provável Muito

l Provável
Probabilidade de ocorrência do risco
Controlos preventivos (afectam probabilidade)
32
Impacto do risco
Ilustrativo
Nível Descrição Critério - % Fundos Próprios (FP) = xxx Akz
• Financeiro – cerca de xx% FP;

1 Insignificante • Reputação – Reduzida ou nenhuma atenção dos media/público em geral/clientes;
• Execução operacional – Atraso até 1 dia na execução de operações.

2 Menor • Reputação – Reduzida ou nenhuma atenção dos media/público em geral/clientes;
• Execução operacional – Atraso de 1 a 2 dias na execução de operações.

3 Moderado • Reputação – Existe atenção dos media/público em geral/clientes;
• Execução operacional – Atraso até 2 a 3 dias na execução de operações.

4 Alto • Reputação – Grande atenção por parte dos media/público em geral/clientes;
• Execução operacional – Atraso de 3 a 5 dias na execução de operações.
• Financeiro – acima de xx% FP;

5 Catastrófico • Reputação – Atenção a nível de meios de comunicação com cobertura nacional;
• Execução operacional – Atraso superior a 5 dias na execução de operações.

Nível Descrição Critério
1 Remoto Acontece uma vez a cada 10 anos.
2 Improvável Acontece uma vez a cada 5 anos.
3 Possível Acontece uma vez a cada 2 anos.
4 Provável Acontece uma vez por ano.
5 Muito Provável Acontece uma vez a cada 6 meses.

33
Exemplos
Categoria de
Operacional / Desastres naturais ou outros eventos
Rico
Cenário Incêndio nas instalações da Companhia tendo destruído o Data Center.
Causas Efeito
- Procedimentos de deteção e - Destruição de informação não
prevenção de incêndios recuperável ou parcialmente
inexistentes ou desadequados; recuperável;
- Inexistência de Centro - Perda de negócio;
Alternativo definido - Impacto Reputacional
34
Exemplos
Principais passos :
1º Passo: Definição dos controlos e acções de mitigação implementadas actualmente na Organização,

associadas ao Risco em causa.
Questões Respostas
Que controlos/acções mitigadoras a Organização tem
implementado de forma a fazer face a este risco?
Legenda:
(P) Controlo Preventivo
(D) Controlo Detectivo
35
Exemplos
Principais passos :
2º Passo: Classificação na Matriz do Risco Residual (impacto e frequência do risco na Organização).
Questões Respostas
O Risco já ocorreu na Organização ?

Frequência
Quantas vezes ocorreu nos últimos anos ?
Questões Respostas
Que tipo de perda resultou para a Organização ?

Impacto
Qual o valor associado a essa perda ? Que medida foi
utilizada ?
36
Exemplos
Controlos implementados
1.000.000 Akz
500.000 Akz
200.000 Akz
50.000Akz
Legenda:
Menos que Pelo m enos Pelo m enos Pelo m enos Pelo m enos
um a vez a um a vez a um a vez a um a vez a um a vez por
Risco Inerente
cada 25 anos cada 25 anos, cada 15 anos, cada 5 anos, ano
m as m enos m as m enos m as m enos Risco Residual
que um a vez que um a vez de 1 vez por
a cada 15 a cada 5 anos ano (P) Controlo Preventivo
anos (D) Controlo Detectivo
37
Processo de gestão de risco –Riscos Granulares
Avaliação de Riscos Granulares (Bottom-up)
01 02 03
Identificar e ganhar consciência Identificar e categorizar os controlos A autoavaliação de Riscos

sobre riscos associados a cada existentes (categoria, natureza, considerando os critérios de
Processo que possam impactar frequência, grau de automação, … ) avaliação de risco Bottom-up. O
no atingir dos objectivos do exercício é orientado de risco
mesmo residual
05 04
Identificar melhorias nos controlos A classificação de cada risco resulta da

existentes e/ ou implementação de conjugação das duas dimensões da matriz de
novos controlos, visando reduzir as avaliação de Riscos Granulares: frequência
maiores exposições associadas a (probabilidade de ocorrência) e severidade
cada subprocesso (impacto financeiro) no caso de ocorrência
38
Processo de gestão de risco –Riscos Granulares Descrição do Processo
Objectivos do Descrição das Descrição do Descrição
processo Actividades risco do controlo
• Dono do processo • Descrição da • Descrição do risco • Descrição do controlo

actividade operacional que pode colocar em • Categoria de controlo
• Unidades de acordo com o fluxo causa a • Tipo de controlo
organizacionais do processo concretização dos • Grau de
intervenientes • Input necessário para a objectivos (de automatização
realização da
negócio) da • Frequência
• Objectivos do processo actividade
• Output principal
actividade e • Controlo chave
• Descrição dos resultante da consequentemente do • Responsável pelo
Sistemas de realização da processo Controlo
informação actividade • Tipo de risco • Descrição da
• Unidade • Probabilidade de evidência do controlo
• Descrição dos Organizacional ocorrência e o • Normativo suporte à
Indicadores chave do Responsável pela impacto execução do controlo
processo (KPI) actividade • Grau de exposição
• Sistemas de
• Descrição dos informação aplicados
Indicadores chave do na actividade
risco (KRI)
39
Objectivos de Controlo Interno
Identificação dos
Identificação de quais Identificação das
objectivos de controlo
os controlos que características que
associados aos riscos
existem para permitir os controlos devem
identificados. Um
atingir os objectivos de ter para cumprirem
objectivo de controlo é a
controlo de forma a com os objectivos de
razão ou propósito para o
mitigar e reduzir o forma mais
qual um ou mais
impacto dos riscos adequada.
controlos devem ser
associados a cada
implementados.
actividade.
40
Processo de gestão de risco –Riscos Granulares CATEGORIAS DE CONTROLO (1/2)
Reconciliação Segregação de Relatório de Métricas de Controlo

funções Excepção Desempenho Aplicacional
Assegurar que os
dados registados Assegurar a Identificar de Efectuar a medição Implementar um
num sistema/ separação entre forma, tanto quanto de padrões de conjunto de regras
documento são funções de possível, tendência (e de negócio ao nível
consistentes e/ ou execução e de automática, de causas possíveis) das aplicações de
coincidentes com controlo que visam transacções ou que justificam suporte, que
os dados minimizar a movimentos que eventuais desvios inibam que os
registados noutro possibilidade de configuram face aos objectivos dados possam ser
sistema ou indivíduos em situações que com base na objecto de uma
documento, posição de deverão ser análise de captura ou
perpetrar e ocultar processamento
assegurando que objecto de um indicadores
determinado erro de inadequados.
as eventuais controlo mais quantitativos de
forma isolada, ou
diferenças são rigoroso ou de performance.
permitem a
identificadas e posterior
detecção atempada
justificadas. de erros. investigação.
41
Processo de gestão de risco –Riscos Granulares CATEGORIAS DE CONTROLO (2/2)
Interfaces Acesso Físico Acesso Revisão Autorização

Aplicacionais a Sistemas pela Chefia
Restringir o acesso Assegurar que as
Garantir o físico às Restringir o acesso Garantir que as transacções que
entendimento da instalações da às aplicações de funções/ carecem de
informação gerida, organização a suporte ao negócio actividades são autorização só são
por via da colaboradores/ em conformidade desempenhadas processadas em
implementação dos entidades com os perfis de de acordo com as conformidade com
mecanismos
devidamente competência normas e o respectivo teor e
adequados de
credenciadas. aprovados para os procedimentos segundo os termos
validação da
integridade da diferentes instituídos, por via e normas de
informação nos utilizadores. da supervisão e delegação de
processos de revisão pela competências em
interface e de Gestão das vigor.
transferência de evidências formais.
dados entre
aplicações .
42
Natureza:
Quando previne ou restringe o acesso não autorizado em tempo oportuno.

Preventivos
Exemplos:
• Existência de segregação de funções;
• Automatismo que bloqueia uma transacção que ultrapasse os limites definidos.
Quando detecta e reporta em tempo oportuno, a ocorrência de erros, omissões ou

Detectivo acessos não autorizados.
Exemplos:
• Relatórios de Exceção ou de erros;
• Reconciliação de contas.
43
Frequência
Um controlo pode ter uma periodicidade definida (diária, mensal, anual, etc).
Periódicos
Exemplos:
• Diariamente, o Diretor procede à análise das operações realizadas no dia
anterior, efetuando uma extracção das operações carregadas em sistema e
verificando o correto cumprimento dos níveis de autorização e segregação de
funções definidos.
Quando é despoletado por um acontecimento específico (por evento).

Por Evento
Exemplos:
• Quaisquer adaptações necessárias às minutas aprovadas são efectuadas e
conferidas pelo Núcleo de Apoio Jurídico.
44
Grau de Automatização
Automático Controlo efectuado totalmente de forma automática.

Exemplos:
• Existe um conjunto de campos de preenchimento obrigatório e de validação
desses campos que reduzem o risco de introdução incorreta ou incompleta de
dados.
Controlo que assenta num processo automático, mas em que existe uma
Semi-Automático componente chave manual a realizar.
Exemplos:
• Diariamente é emitido automaticamente um Relatório de Excepção sobre
transferências para o exterior que por diversos motivos não foram realizadas.
Tratamento das situações por parte do colaborador.
Manual Controlo efetuado totalmente de forma manual.

Exemplos:
• Verificação da conformidade da documentação / informação sobre a operação
de crédito ao consumo, considerando um checklist associado àquele tipo de
crédito.
45
Processo de gestão de risco –Riscos Granulares Ilustrativo
Muito Alto
Controlos detectivos (actuam sobre impacto)
Alto
Risco Risco Residual

Impacto do Risco
Risco
Médio
Zona de riscos
não tolerados
Zona de riscos
Baixo Risco tolerados
Risco
Muito Baixo Risco
Muito Baixa Média Alta Muito Alta

Baixa
Controlos preventivos (afectam probabilidade)
46
Impacto do risco
Ilustrativo
Nível Descrição Critério - % Fundos Próprios (FP) = xxx AKZ

1 Muito Baixo
• Execução operacional – Atraso até 1 hora na execução de operações.

2 Baixo
• Execução operacional – Atraso de 1 a 3 horas na execução de operações.

3 Médio
• Execução operacional – Atraso de 3 a 6 horas na execução de operações.

4 Alto
• Execução operacional – Atraso de 6 horas a 1 dia na execução de operações.
• Financeiro – acima de xx% FP;

5 Muito Alto
• Execução operacional – Atraso superior a 1 dias na execução de operações.

Nível Descrição Critério
1 Muito Baixa < 0,5% das Operações

2 Baixa 0,5% a 1% das operações
3 Media 1% a 5% das operações
4 Alta 5% a 10% das operações
5 Muito Alta > 10% Operações
47
Processo Gestão de Sinistros de Apólices Vida Risco
Recepção e análise da documentação que suporta o sinistro e pedido de pagamento:

Evento | Risco − Assumir um pagamento indevido de uma despesa não coberta pela condições gerais
e especificas da apólice.
Causas Efeito
− Fraude; - Aumento dos custos da seguradora

− Risco operacional de avaliação face ao previsto (possibilidade de
errada do sinistro degradação dos resultados).
Possíveis Controlos
- Segregação de funções entre quem analisa e quem valida o sinistro;
- Segregação entre a área que analisa o sinistro e a área responsável pelo
pagamento.
- Nos casos que a análise interna da Companhia seja inconclusiva, recorre-se a
um médico especialista com o objetivo de recolher uma opinião técnica. O
parecer é elaborado e adicionado ao processo de análise do Sinistro.
48
Processo Anulação de Apólices
Reconciliação de pagamentos de recibos com apólices activas

Evento | Risco
- Anulação de apólices com pagamentos efectivos
Causas Efeito
- Risco reputacional;
− Risco operacional no processo
de reconciliação - Cancelamento de responsabilidades
por parte da Companhia
Possíveis Controlos
- Processo de reconciliação automático entre pagamentos de recibos e apólices;

- Relatórios de excepção com os movimentos não reconciliados
49
Ferramentas de Monitorização e Reporte
Indicadores de Reporte
Risco (KRIs) Reporte Interno Regulamentar
50
Key Risk Encontra-se relacionado com um risco específico e serve de alerta para a eventual alteração da
Indicator (KRI) probabilidade e impacto do evento de risco ocorrer.
Indicadores Indicadores de alerta do risco, que podem indiciar que determinado risco pode
Preditivos acontecer (ex.: Reclamações de cliente, taxa de rotatividade de colaboradores).
Indicadores
de Indicadores de ocorrência do risco – medem o número de vezes que determinado
Frequência risco ocorre (ex.: mensal, semanal, diário, etc.).
Indicadores Indicadores de impacto do risco – medem as perdas associadas à ocorrência do

de Impacto risco (ex: custos coimas / multas).
 Em alternativa a uma abordagem baseada num conjunto alargado e genérico de indicadores, deverá ser
seleccionado um conjunto restrito de KRI’s relevantes.
 É fundamental garantir a sua associação a riscos específicos, a definição de tolerâncias e monitorização.
51
Vantagens dos
KRI
A utilização de Key Risk Indicators (KRI’s) assegura, entre outros:
 O apoio à realização de avaliações de risco;
 A definição e comunicação do perfil de risco da instituição;
 A identificação de sinais de alerta, que poderão originar a definição de
acções preventivas;
 O reporte articulado e agregado dos riscos.
Características
dos KRI
Os Key Risk Indicators (KRI’s) devem ser:
Objectivo do KRI
 Efectivos;
 Quantificáveis; Limite
 Comparáveis; Aceitação definido
 Fáceis de utilizar.
Os KRI devem ser vistos como uma ferramenta de gestão de risco

52
O glossário de Key Risk Indicators é uma listagem com a identificação e fórmula de cálculo dos Key Risk Indicators,
assegurando uma utilização uniforme dos mesmos por toda a organização.
Área
# Indicador Descrição Unidade Fórmula de Cálculo Fontes de Informação Periodicidade Risco Associado Observações
Responsável
Os Key Risk Indicators associados à função de Compliance devem estar identificados e documentados,
contendo por exemplo a seguinte informação:
 Fórmula de cálculo;
 Unidade de medida;
 Frequência de análise e reporte do KRI;
 Fonte de onde é extraída / obtida informação para cálculo do KRI; e
 Owner do KRI (factor importante para assegurar o acompanhamento dos KRI).
53
Indicador Monitorização Unidade
Conformidade com leis e

Montantes das coimas incorridas relacionadas com
regulamentos | Normas legais / AKZ
regulamentares o não cumprimento da legislação
Grau de transparência | Erro no Valor das coimas incorridas pela organização na

reporte aos reguladores AKZ
sequência de erro em reportes regulamentares
Grau de transparência | Atraso no Valor das coimas incorridas pela organização na

reporte aos reguladores AKZ
sequência de atraso em reportes regulamentares
Responsabilidade perante terceiros

% de reclamações pendentes de tratamento (em
| Processos de reclamações de %
clientes que o SLA foi ultrapassado)
Branqueamento de capitais | Valor das coimas incorridas pela organização por

Violação das leis de prevenção de não cumprimento dos procedimentos associados à AKZ
branqueamento de capitais Prevenção do Branqueamento de Capitais
54
% de resolução dos
pedidos/problemas ou rácio de
número de pedidos executados por
número de pedidos solicitados
Tempo médio (dias) para responder
a um pedido
Tempo médio (dias) de análise de

nova legislação
Tempo médio (dias) de preparação

de recomendações
Tempo médio (dias) para responder

ao regulador
55
04
Desafios
Regulamentares
© 2022©KPMG
2022 KPMG
KPMG
garantia.
– Audit,
TodosInternational
Tax, Advisory,
reservados.
56
4. Desafios Regulamentares
Antevisão da pressão regulamentar
Modelo de Governo e Supervisão
Remuneração Liquidez Alguma regulamentação tem emergido neste

contexto, especialmente no que respeita os modelos
de Reporting e a recomendações a considerar em
termos de governance.
Governo Capital
Risco Sistémico e Liquidez

Agenda
Relativamente a questões de liquidez e capital a
Regulamentar
Supervisão Mudança regulamentação tenderá a ser cada vez mais
e
Estrutural exigente e com critérios que assegurem a
Reporting
solvabilidade das Companhias.
Relação Crime Mercado e Consumidores

com o cliente financeiro
Contexto do O incremento no acesso aos serviços financeiros
Mercado continuará a ser potenciado através dos serviços
móveis disponíveis e a respectiva regulamentação
para prestar um serviço eficiente.
57
Respostas do sector segurador
As exigências regulatórias estão a As companhias de seguros irão
obrigar as seguradoras a repensar necessitar de se adaptar a uma
possíveis alterações às suas estratégia centrada no cliente. Esta
estruturas, considerando que no adaptação irá ter impactos ao nível
caso de companhias globais é do ciclo de vida dos produtos tanto
necessária a respectiva adaptação à ao nível do design e inovação como
regulamentação local. no que diz respeito aos canais de
Medidas e Conduta, distribuição.
mudanças Mercados e
estruturais Cultura
Cada vez mais as companhias de As companhias de seguros devem

Gestão de definir e clarificar as competências e
seguros devem estar preparadas Informação e
Risco e responsabilidades que ainda não
para, de forma célere, conseguir Reporte
Governance foram determinadas no âmbito da
reportar a informação exigida,
assegurando que pessoas, gestão de risco, e assegurar
processos e sistemas se encontram medidas ao nível da governação e
bem definidos. respectivos riscos.
58
Medidas e mudanças estruturais
As companhias de seguros devem ter nos seus modelos de negócio uma estrutura que disponha de ferramentas adequadas
para endereçar problemas de carácter regulamentar.
É importante assegurar o cumprimento dos requisitos regulamentares locais ao nível de capital, liquidez, recuperação e
resolução de problemas de governance e de gestão de risco. Assim, recomenda-se que as áreas chave implementem
estruturas bem definidas no que respeita temas de governance e controlo.
É relevante o investimento em sistemas informáticos que tragam eficiência ao nível dos processos e da gestão da informação.
Este investimento pode potenciar a automatização de alguns controlos nas áreas de compliance e auditoria interna tendo em
conta a reavaliação da tolerância ao risco nessas áreas.
O sector financeiro deve ter em atenção o nível de risco a que está exposto, considerando a própria regulamentação que tem
emergido nesse sentido.
59
Informação e Reporte (1/2)
Uma das iniciativas que a regulamentação tem vindo a defender diz respeito à capacidade que o sector financeiro deve ter em
virtude da informação a reportar ao regulador.
As companhias de seguros devem rever e ter em atenção:
A interligação e concordância entre

1 A qualidade e harmonização dos dados e 4 os riscos e a informação financeira.
informação recolhida.
Os métodos utilizados para a recolha e Procedimentos internos ao nível da

2 agregação de dados, tendo em conta as 5 agregação dos dados de risco, o seu
diferentes repartições legais. reporte e as respectivas capacidades da
equipa de IT nesses temas.
A forma como gerem e mantêm os seus dados ao
Disponibilizar reportes internos com a
nível informático, considerando que quanto mais
3 6 informação sobre a gestão de risco aos
os processos estiverem automatizados, menor
directores e à administração e usar essa
serão os custos em processos manuais e menor
informação na tomada de decisões.
será a propensão ao erro.
60
Informação e Reporte (2/2)
Modelos de riscos automaticamente Boa governação dos dados por forma a

reconciliáveis ou conjuntos sobre toda segmentar a responsabilidade sobre os
a informação seguradora mesmos
Uniformizar o repositório de Processos automáticos para

dados, tendo em conta o validar a qualidade dos dados
seu tipo Áreas
relevantes
Capacidade de ter em no reporte da Capacidade de reportar de
tempo real e de forma informação forma contínua os riscos de
independente todos os todo o grupo bancário
riscos a reportar
Assegurar que a estratégia da
Direcção Informática passa pela
Possibilidade de adaptar e perceber
disponibilização da informação de
as várias dimensões dos riscos
forma agregada
desde a informação mais agregada
ate à mais desagregada
61
Obrigado pela vossa atenção
kpmg.com/socialmedia
© 2022 KPMG Advisory - Consultores de Gestão, S.A., sociedade anónima portuguesa e membro da rede global
KPMG, composta por firmas membro independentes associadas com a KPMG International Limited, uma sociedade
inglesa de responsabilidade limitada por garantia. Todos os direitos reservados.

ARSEG - Formação Gestão de Risco v2022.12.12

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ARSEG - Formação Gestão de Risco v2022.12.12

Uploaded by

Copyright:

Available Formats

Sistemas de Controlo

Sistema de Gestão Desafios

Lei que regula o sector segurador de Angola,

Estabelece os princípios orientadores da

Expectativas do Regulador e do Cliente/Consumidor

1 Subscrição e provisionamento; 4 Gestão do risco de concentração e de liquidez;

2 Gestão activo – passivo; 5 Gestão do risco operacional;

3 Investimentos, em particular instrumentos financeiros 6 Resseguro e outras técnicas de mitigação de risco.

A FGR deve desempenhar as suas competências objectivamente e de forma independente

Responsabilidades das empresas de seguros e resseguros

Requisitos do Sistema de Governação

 Assentar numa estrutura organizacional adequada e transparente, com

Testes de Controlo Avaliação dos

Órgãos de Reporte claro com a estratégia,

Financeira Diminuição do custo de

A eficácia e a eficiência das

A fiabilidade e a integridade da informação

A compliance com as leis, regulamentos e

 Demonstrar ao regulador e ao mercado que a

Regulamentação  Desenvolver uma forte cultura de risco na

Internal Control Framework – Princípios Gerais

Efectividade e eficiência Confiança na

• Acompanhamento contínuo da • Acompanhamento e a avaliação da

Áreas de Negócio Auditor Externo

Uma efectiva gestão de risco requer uma

 Estratégia de gestão de risco, com base Modelo de Governo

TOLERÂNCIA TOLERÂNCIA AO RISCO

1.  O montante de risco que a entidade está disposta a aceitar, considerando a

 Definição do nível máximo de risco aplicável a cada classe/

 Medidas de medição concretas a nível de cada um

 ROE / ROA risco

Identificar as principais Identificar cenários (extremos mas A autoavaliação de Riscos é

Riscos Evolução dos prémios de seguro, sustentabilidade dos resultados técnicos de

Riscos Evolução dos prémios de seguro, resgates, alterações fiscais, fraudes,

Risco É o risco para uma organização, considerando a inexistência de qualquer

Controlos detectivos (actuam sobre impacto) Risco Risco Inerente

Risco Risco Risco Residual

Remoto Improváve Possível Provável Muito

Nível Descrição Critério - % Fundos Próprios (FP) = xxx Akz

• Financeiro – cerca de xx% FP;

• Financeiro – cerca de xx% FP;

• Financeiro – cerca de xx% FP;

• Financeiro – cerca de xx% FP;

• Financeiro – acima de xx% FP;

Probabilidade de ocorrência do risco

1 Remoto Acontece uma vez a cada 10 anos.

2 Improvável Acontece uma vez a cada 5 anos.

3 Possível Acontece uma vez a cada 2 anos.

4 Provável Acontece uma vez por ano.

5 Muito Provável Acontece uma vez a cada 6 meses.

1º Passo: Definição dos controlos e acções de mitigação implementadas actualmente na Organização,

2º Passo: Classificação na Matriz do Risco Residual (impacto e frequência do risco na Organização).

O Risco já ocorreu na Organização ?

Que tipo de perda resultou para a Organização ?

Identificar e ganhar consciência Identificar e categorizar os controlos A autoavaliação de Riscos

Identificar melhorias nos controlos A classificação de cada risco resulta da

• Dono do processo • Descrição da • Descrição do risco • Descrição do controlo

Reconciliação Segregação de Relatório de Métricas de Controlo

Interfaces Acesso Físico Acesso Revisão Autorização

Quando previne ou restringe o acesso não autorizado em tempo oportuno.

Quando detecta e reporta em tempo oportuno, a ocorrência de erros, omissões ou

Quando é despoletado por um acontecimento específico (por evento).

Automático Controlo efectuado totalmente de forma automática.

Manual Controlo efetuado totalmente de forma manual.