|
16.6.2012 |
PT |
Jornal Oficial da União Europeia |
C 173/1 |
RELATÓRIO
sobre a auditoria da gestão de riscos do Banco Central Europeu relativo ao exercício de 2010, acompanhado das respostas do BCE
2012/C 173/01
ÍNDICE
|
|
Ponto |
Página |
|
INTRODUÇÃO … |
1-4 |
3 |
|
ÂMBITO E MÉTODO DA AUDITORIA … |
5-6 |
3 |
|
CONSTATAÇÕES DA AUDITORIA … |
7-91 |
3 |
|
O BCE estabeleceu um quadro de governação adequado e abrangente para a gestão de riscos? … |
7-18 |
3 |
|
Quadro global de gestão de riscos … |
8-14 |
3 |
|
Divulgação do quadro de gestão de riscos do BCEE a terceiros … |
15-18 |
4 |
|
O BCE geriu com eficácia os seus riscos operacionais? … |
19-66 |
5 |
|
Gestão de riscos operacionais … |
20-39 |
5 |
|
Gestão baseada na continuidade das atividades do BCE … |
40-66 |
7 |
|
O BCE geriu com eficácia os seus riscos financeiros? … |
67-91 |
10 |
|
Quadro de gestão de riscos financeiros para investimentos e operações de política … |
69-74 |
10 |
|
Metodologia da gestão de riscos financeiros … |
75-83 |
11 |
|
Aplicação da metodologia da gestão de riscos financeiros … |
84-88 |
12 |
|
Adequação da informação de riscos financeiros … |
89-91 |
12 |
|
CONCLUSÕES E RECOMENDAÇÕES … |
92-100 |
13 |
|
O BCE estabeleceu um quadro de governação adequado e abrangente para a gestão de riscos? … |
92-93 |
13 |
|
O BCE geriu com eficácia os seus riscos operacionais? … |
94-98 |
13 |
|
O BCE geriu com eficácia os seus riscos financeiros? … |
99-100 |
13 |
|
Respostas do Banco Central Europeu … |
15 |
|
ABREVIATURAS
|
BCM |
Análises de Impacto das Atividades |
|
BCP |
Administrador responsável pela gestão de riscos |
|
BIA |
Banco Central Europeu |
|
BIS |
Bancos Centrais Nacionais |
|
BPH |
Banco de Pagamentos Internacionais |
|
CBPP |
Comissão Executiva |
|
CRO |
Comité de Riscos Operacionais |
|
D-CO |
Direção Comunicação |
|
DG-A |
Direção Geral Administração |
|
DG-H |
Direção Geral Recursos Humanos, Orçamento e Organização |
|
DG-IS |
Direção Geral Sistema de Informação |
|
DG-M |
Direção Geral Operações de Mercado |
|
DG-P |
Direção Geral Sistemas de Pagamento |
|
DG-S |
Direção Geral Estatística |
|
EB |
Gestão baseada na continuidade das atividades |
|
ECB |
Gestão dos Fundos Próprios |
|
ESCB |
Normas Globais de Desempenho dos Investimentos |
|
FOS |
Gestão de Riscos Operacionais |
|
GIPS |
Conselho das Normas Internacionais de Contabilidade |
|
IAS |
Normas Internacionais de Relato Financeiro |
|
IASB |
Divisão de Investimento |
|
IFRS |
Manual de Práticas Internas |
|
INV |
Normas Internacionais de Contabilidade |
|
MOS |
Plano de Continuidade das Atividades |
|
NCBs |
Programa de compra de Covered Bonds (obrigações hipotecárias e obrigações sobre o setor público) |
|
OFM |
Programa dos mercados de títulos de dívida |
|
ORC |
Divisão de Gestão de Riscos (da DG H) |
|
ORM |
Sistema Europeu de Bancos Centrais |
|
RMA |
Serviços de Operações Financeiras |
|
SMP |
Sistemas de Operações de Mercado |
|
VaR |
Valor em Risco |
INTRODUÇÃO
|
1. |
O Banco Central Europeu (BCE) e os bancos centrais nacionais de todos os Estados-Membros da União Europeia (UE) constituem o Sistema Europeu de Bancos Centrais (SEBC). O objetivo primordial do SEBC é a manutenção da estabilidade dos preços. O SEBC dá também apoio às políticas económicas gerais da UE, tendo em vista contribuir para a realização dos objetivos da UE (1). Para o efeito, o BCE desempenha as funções definidas nos seus Estatutos (2) e é responsável pela gestão das suas atividades e finanças. |
|
2. |
A auditoria efetuada pelo Tribunal de Contas Europeu (Tribunal) à eficácia operacional do BCE baseia-se no n.o 2 do artigo 27.o do Protocolo relativo aos Estatutos do SEBC e do BCE (3). O domínio de auditoria selecionado para o exercício de 2010 foi o dos procedimentos e sistemas de gestão de riscos estabelecidos pelo BCE e respetiva aplicação. |
|
3. |
Os órgãos de decisão do BCE são o Conselho do BCE e a Comissão Executiva (4). A Comissão Executiva executa a política monetária de acordo com as orientações e decisões estabelecidas pelo Conselho do BCE (5) e detém a responsabilidade geral pela gestão das atividades diárias do BCE e dos seus recursos. A Comissão Executiva é igualmente responsável, em última instância, pela gestão de riscos no BCE. |
|
4. |
A gestão de riscos é efetuada através de dois quadros distintos no BCE. A unidade de gestão de riscos operacionais (GRO (6)/GCA) abrange todos os riscos operacionais (ver nota 22), incluindo a continuidade das atividades. A divisão de Gestão de Riscos (RMA) trata da gestão dos riscos financeiros (ver ponto 70), incluindo as atividades de investimento e as operações de crédito do BCE. |
ÂMBITO E MÉTODO DA AUDITORIA
|
5. |
O objectivo da auditoria do Tribunal relativa ao exercício de 2010 foi avaliar a adequação do quadro de gestão dos riscos operacionais e financeiros do BCE (7). A gestão de riscos no BCE foi avaliada colocando as seguintes questões fundamentais de auditoria:
|
|
6. |
A auditoria da gestão de riscos do BCE (8) incluiu os seguintes elementos:
|
CONSTATAÇÕES DA AUDITORIA
O BCE estabeleceu um quadro de governação adequado e abrangente para a gestão de riscos?
|
7. |
A ambição declarada do BCE é aplicar a melhor prática na sua gestão de riscos: «Desde a primeira hora, o Banco Central Europeu dedicou especial atenção à gestão de riscos. Na sua qualidade de novo membro da comunidade de bancos centrais, tinha a ambição de cumprir as mais elevadas normas de governação através da organização da sua função de gestão de riscos no seio da instituição e da aplicação de instrumentos que utilizam tecnologias de ponta (10)». |
Quadro global de gestão de riscos
|
8. |
«Uma forte cultura do risco a nível das instituições é um dos elementos chave para uma gestão de riscos eficaz. Um dos pré-requisitos para a criação dessa cultura do risco é o estabelecimento de uma função de gestão de riscos exaustiva (que abranja todos os tipos de riscos, linhas de atividade e riscos pertinentes) e independente, sob a responsabilidade direta do administrador responsável pela gestão do risco (ARGR), ou dos quadros de direção, se não tiver sido nomeado um ARGR, seguindo o princípio da proporcionalidade» (11). |
|
9. |
No BCE cada unidade organizativa (12) é responsável pela gestão dos seus próprios riscos e controlos. Existem duas funções/divisões que apoiam as unidades organizativas no processo de gestão de riscos:
|
|
10. |
A título de apoio para a tomada de decisões da Comissão Executiva (CE), foram criados vários comités que tratam de diversos aspetos da gestão de riscos, entre as quais o Comité de Riscos Operacionais, o Comité de Investimento, o Comité de Gestão de Ativos e Passivos e o Comité de Crédito. |
|
11. |
Existe uma estrutura organizativa abrangente com funções e responsabilidades claramente atribuídas. Verifica-se, no entanto, uma vincada demarcação entre a gestão de riscos financeiros e de riscos operacionais no BCE, que aumenta o risco de que a visão das exposições a nível global do Banco não seja abrangente. |
|
12. |
Não foi criado um órgão único independente, como seja um administrador responsável pela gestão de riscos ou um comité geral de gestão de riscos, entre a Comissão Executiva e as duas funções/unidades de gestão de riscos, GRO/GCA e RMA. À data da auditoria, o membro da Comissão Executiva encarregado da gestão de riscos era igualmente responsável por diversas outras áreas, ao passo que um administrador responsável pela gestão de riscos concentraria a sua ação unicamente na gestão de riscos. |
|
13. |
Além disso, a falta de uma função de gestão de riscos hierarquicamente independente aumenta o risco de se conferir prioridade insuficiente a questões relativas à gestão de riscos, por exemplo, a atribuição de recursos humanos às tarefas de gestão de riscos, uma vez que esses assuntos ficam dependentes de decisões da DG-H. |
|
14. |
Uma análise das melhores práticas em organizações internacionais afins demonstrou que o Bank of Canada adotou um quadro de gestão integrada de riscos que inclui um administrador responsável pela gestão de riscos e um grupo de trabalho de gestão de riscos. Ambos se ocupam do estabelecimento de um perfil de risco abrangente para o Banco que inclua riscos comerciais, operacionais e financeiros, como descrito na Caixa 1. O quadro de gestão de riscos do Banco está completamente integrado nos seus processos de planeamento estratégico, orçamental e de avaliação do desempenho no final do exercício. Caixa 1 Um exemplo de gestão integrada de riscos – Bank of Canada O administrador responsável pela gestão de riscos tem as seguintes responsabilidades:
O grupo de trabalho de gestão de riscos tem as seguintes funções:
|
Divulgação do quadro de gestão de riscos do BCE a terceiros
|
15. |
Deverão ser divulgadas informações públicas suficientes que permitam a terceiros avaliar o método de gestão de riscos do BCE. |
|
16. |
O BCE publica um relatório anual que inclui as contas anuais e as notas anexas de divulgação de informações (16). As informações sobre gestão de riscos nas contas anuais são bastante limitadas e as informações sobre os princípios e valores da gestão de riscos do BCE não estão disponíveis publicamente [com exceção do Valor em Risco (17) (VaR) consolidado]. O relatório anual do BCE contém apenas breves informações sobre determinadas questões relativas à gestão de riscos, em vez de divulgar uma síntese do processo de gestão de riscos na organização, os riscos incorridos, bem como a abordagem desses riscos por parte da gestão. |
|
17. |
A utilização das Normas Internacionais de Relato Financeiro (IFRS) (18) é a melhor prática na apresentação das contas de uma entidade. A «Divulgação dos instrumentos financeiros» das IFRS 7 trata da apresentação dos riscos que uma organização enfrenta nas suas contas, não tendo sido, no entanto, aplicada pelo BCE. |
|
18. |
Outras organizações de bancos centrais internacionais ou nacionais, como o Banco de Pagamentos Internacionais (BPI) e o Bank of Canada, divulgam, nas suas demonstrações financeiras anuais, informações sobre a gestão de riscos, embora um deles não aplique IFRS (ver Caixa 2). Caixa 2 Ilustração da aplicação de informações sobre a gestão de riscos
|
O BCE geriu com eficácia os seus riscos operacionais?
|
19. |
A gestão baseada na continuidade das atividades complementa o quadro de gestão de riscos operacionais (GRO) do BCE, formando ambos um importante elemento de governação empresarial (20). |
Gestão de riscos operacionais
|
20. |
Um quadro de gestão de riscos operacionais eficaz inclui estratégias e supervisão claras por parte do conselho de administração e dos quadros de direção, uma forte cultura dos riscos operacionais e cultura do controlo interno (incluindo linhas claras de responsabilidade e separação de funções) e um sistema eficaz de transmissão interna. |
|
21. |
A fim de avaliar a gestão dos riscos operacionais no BCE, o Tribunal analisou o seguinte:
|
Políticas de riscos operacionais
|
22. |
As políticas de GRO devem fornecer uma definição clara do risco operacional a nível global do banco e estabelecer as políticas que determinam a abordagem do banco no que respeita à identificação, avaliação, acompanhamento e controlo/mitigação do risco. |
|
23. |
O quadro de gestão de riscos operacionais do BCE foi aprovado pela Comissão Executiva em outubro de 2007 (21) e está descrito no Manual de Práticas Internas (MPI) publicado na intranet e disponível para todo o pessoal. Delineia a definição de GRO (22), a política de tolerância de risco, as funções e as responsabilidades do BCE, para além de delinear as políticas de avaliação, resposta, elaboração de relatórios e acompanhamento. |
|
24. |
As políticas de GRO estabelecidas fornecem uma definição clara do risco operacional a nível global do Banco e definem as políticas que determinam a abordagem do Banco no que respeita à avaliação, acompanhamento e controlo/mitigação do risco. No entanto, o MPI não fornece pormenores sobre a abordagem de identificação de riscos por parte do Banco. |
Estrutura e responsabilidades organizativas
|
25. |
A gestão das áreas de trabalho deve ser responsável pela implementação das políticas, dos processos e procedimentos de gestão do risco operacional em todas as atividades e todos os processos e sistemas materiais do Banco. O Banco deve ter também um sistema de gestão de riscos operacionais em que sejam atribuídas claras responsabilidades a uma função de gestão de riscos. |
|
26. |
A Comissão Executiva é responsável em última instância pela Gestão de Riscos Operacionais no BCE. O Comité de Riscos Operacionais (CRO) trata de assuntos estratégicos e de médio prazo, bem como de assuntos de curto prazo e ad hoc pertinentes (23). Esse comité é constituído por um membro (Presidente) da Comissão Executiva e sete quadros superiores do Banco (24). Tem poderes decisórios para aceitação dos riscos a nível médio, ao passo que os riscos de alto nível têm de ser sempre aceites pela Comissão Executiva. Realizam-se reuniões de dois em dois meses ou, se necessário, com mais frequência. |
|
27. |
O MPI indica claramente que as áreas de trabalho são responsáveis pela gestão dos seus riscos operacionais (25). Assim sendo, cada área de trabalho deve nomear (pelo menos) um coordenador dos riscos que apoie os gestores das áreas de trabalho em matéria de GRO e atue como o primeiro ponto de contacto em assuntos relacionados com a GRO no âmbito da área de trabalho. Os gestores das áreas de trabalho são igualmente responsáveis por assegurar que o pessoal obtenha e mantenha as competências necessárias para assumir responsabilidade e responsabilização no que se refere à GRO. A função GRO/GCA deve desenvolver e manter o quadro de GRO e coordena a abordagem da GRO por parte das áreas de trabalho. |
|
28. |
À data da auditoria, dos oito membros do pessoal da função GRO/GCA, apenas quatro eram funcionários permanentes. Os outros estavam em regime de destacamento de bancos centrais nacionais ou tinham contratos a prazo com uma duração de três meses a dois anos. Significa isto que existe uma elevada rotação do pessoal que conduz a uma perda de continuidade numa função importante e aumenta o risco de o quadro de GRO não ser implementado de forma adequada no BCE. |
|
29. |
A sensibilização do pessoal para o quadro de GRO foi incluída nos inquéritos ao pessoal em 2009 e 2010. O inquérito de 2009 revelou que aproximadamente 40 % dos inquiridos disseram que não recebiam informações suficientes sobre GRO; 56 % não sabiam quem foi nomeado coordenador dos riscos da sua área de trabalho e 45 % não sabiam onde encontrar informações sobre GRO na intranet. No inquérito de 2010, 40 % continuavam sem saber onde encontrar informações sobre GRO. |
Ligação ao planeamento estratégico e financeiro (ciclo orçamental anual)
|
30. |
A gestão de riscos deve ser incorporada na governação do BCE como parte integrante do planeamento estratégico, comercial e financeiro do Banco. |
|
31. |
Uma parte importante da elaboração do perfil de risco do BCE é a avaliação anual dos riscos operacionais efetuada pelas áreas de trabalho e pela função GRO/GCA. As avaliações relativas a 2009 foram realizadas pelas áreas de trabalho entre junho e agosto de 2009, após o que teve lugar uma reunião de calibragem com os coordenadores dos riscos. O relatório descendente ficou concluído em janeiro de 2010. |
|
32. |
O perfil de risco deve ser um dos contributos para o processo de planeamento estratégico que, por sua vez, influencia o plano financeiro. A auditoria demonstrou, porém, que não existe integração da avaliação anual dos riscos operacionais e do ciclo de planeamento estratégico e financeiro do BCE. Portanto, a GRO corre o perigo de se transformar num exercício isolado e o plano financeiro pode não canalizar adequadamente os recursos para a consecução de objetivos estratégicos (26). |
|
33. |
Um exemplo de boas práticas é o Bank of Canada, onde o perfil de risco do banco é uma parte integrada do ciclo de planeamento estratégico e financeiro global do banco (27). |
Processo de GRO: identificação, avaliação e resposta, elaboração de relatórios, acompanhamento e seguimento dos riscos
|
34. |
Todos os riscos operacionais inerentes a atividades, processos e sistemas devem ser identificados e avaliados. Os riscos devem ser avaliados segundo a política e o nível de tolerância existentes, a fim de se determinar uma resposta adequada com base em cálculos de custo suficientes. Deverão ser regularmente fornecidas aos quadros superiores de gestão e à Comissão Executiva informações pertinentes que apoiem a gestão proativa dos riscos operacionais. |
|
35. |
O quadro da GRO foi principalmente implementado por avaliações descendentes. Segundo a política de risco do BCE, as áreas de trabalho também devem efetuar continuamente avaliações ascendentes de processos dessas áreas, devendo os riscos identificados ser aprovados (28). |
|
36. |
O BCE efetuou avaliações de riscos descendentes em 2008 e 2009. A função GRO/GCA forneceu às áreas de trabalho alguns riscos de alto nível pré-definidos, o que constituiu a base das suas avaliações do risco. No relatório final foi incluído um plano de ação para cada uma das áreas de trabalho. O MPI exige que as áreas de trabalho analisem e definam estratégias de resposta aos riscos e efetuem uma análise da relação custo-benefício de possíveis soluções. |
|
37. |
Todas as áreas de trabalho tinham identificado riscos e respostas em relação ao exercício descendente de 2009. O relatório de avaliação descendente de 2009 continha pontos de ação de acompanhamento para cada área de trabalho. No entanto, não foram documentadas análises da relação custo-benefício nas áreas de trabalho objeto da amostra. |
|
38. |
Para alguns riscos, depois de este ser identificado pela área de trabalho, o procedimento de aceitação pelo CRO/CE foi muito lento. Por exemplo, dois riscos identificados em julho-agosto de 2009 continuavam por aprovar em dezembro de 2010. A lista de pontos de ação abertos analisada nas reuniões do CRO também revela que alguns continuaram abertos durante mais de um ano e outros até dois anos. |
|
39. |
Apenas para três das seis áreas de trabalho objeto da amostra foi possível identificar recursos específicos atribuídos às atividades de GRO no seu programa de trabalho, mas a descrição das atividades de GRO era vaga e não foi possível seguir os pontos de ação desde o exercício descendente da GRO de 2009 até aos programas de trabalho das áreas de trabalho. |
Gestão baseada na continuidade das atividades do BCE
|
40. |
A gestão baseada na continuidade das atividades (GCA) é uma componente importante da gestão de riscos operacionais. Exige planos de contingência e recuperação para os piores cenários, a fim de assegurar a continuidade de atividades e processos essenciais em caso de ocorrência de uma crise. |
|
41. |
O Tribunal analisou o seguinte:
|
Quadro da GCA
|
42. |
A gestão baseada na continuidade das atividades é uma abordagem empresarial global que inclui políticas, normas e procedimentos destinados a assegurar que é possível manter ou recuperar em tempo útil operações especificadas em caso de ocorrência de uma perturbação. O seu objetivo é minimizar as consequências operacionais, financeiras, jurídicas e de imagem e outras consequências materiais decorrentes de uma perturbação (29). |
|
43. |
O objetivo da GCA é assegurar que as disposições e soluções de continuidade das atividades cumprem os objectivos, as obrigações, as atribuições legais e a política de tolerância de risco do BCE (30). |
|
44. |
A auditoria incluiu uma análise dos documentos chave que constituem o quadro da GCA:
|
|
45. |
O BCE elaborou um manual de crises que define funções, responsabilidades e processos em caso de ocorrência de uma crise, bem como os vários contactos da equipa de gestão de crises. Cada área de trabalho é plenamente responsável pelo desenvolvimento do respetivo PCA. No entanto, o modelo de PCA de alto nível não exige um PCA global a nível do BCE, não tendo, por isso, sido preparado nenhum. |
|
46. |
O BCE criou um quadro sólido que fornece orientações sobre as políticas, os processos e as responsabilidades em matéria de GCA na organização. No entanto, a sua abordagem descentralizada gera igualmente o risco de que, na ausência de uma coordenação rigorosa, a GCA possa não ser implementada de forma coerente em toda a organização. |
Identificação de processos essenciais
|
47. |
A análise de impacto das atividades (AIA) é um processo dinâmico de identificação de operações e serviços essenciais, dependências internas e externas fundamentais e níveis de resiliência adequados. Avalia os riscos e o impacto potencial de diversos cenários de perturbação nas operações e na reputação de uma organização (31). |
|
48. |
A mais recente análise completa de impacto das atividades (AIA) foi efetuada em 2006 (32) para identificar os resultados e serviços a apresentar pelo BCE essenciais para a continuidade das principais operações do Banco. Os domínios fundamentais em que incidiu a AIA efetuada foram os seguintes:
|
|
49. |
Uma atualização exaustiva da AIA efetuada em 2007 identificou lacunas em termos de continuidade das atividades e das disposições válidas nessa data. Foi estabelecida uma estratégia de acompanhamento que incluía opções para colmatar as lacunas identificadas ou aceitar os riscos e custos. No entanto, se bem que este documento apresentasse os custos em termos de soluções de TI e infraestruturas logísticas, não era feita uma discriminação demonstrativa do impacto dos diferentes níveis de risco sobre os custos. |
|
50. |
A atualização mais recente da AIA para efeitos de colmatar as lacunas identificadas em 2007 foi concluída em 2010. Desde a crise financeira que não se realiza nenhuma análise global de impacto das atividades. |
Planos de Continuidade das Atividades
|
51. |
Os PCA devem ser concebidos em moldes que permitam identificar as operações essenciais para garantir que o BCE poderá cumprir as suas obrigações legais definidas no protocolo pertinente relativo aos estatutos do BCE (33). Devem ser elaborados PCA em torno de um «dos piores cenários», com a noção de que a resposta pode ser adequadamente redimensionada para corresponder à crise real (34). |
|
52. |
O BCE estabeleceu padrões de referência principais para determinar a importância crítica relativa a diversos riscos e com base nas suas obrigações legais (ver Caixa 3). Caixa 3 Padrões de referência principais para determinar a importância crítica Cumprimento das obrigações legais, incluindo:
Impacto da interrupção num processo identificado no que respeita a:
Fonte: Análise da AIA do BCE 2006. |
|
53. |
Com base na análise destes padrões de referência principais pelo Tribunal e numa avaliação preliminar do nível potencial de operações prosseguidas em cenários estabelecidos (35), os planos desenvolvidos foram concebidos de modo a assegurar o cumprimento das obrigações legais. No entanto, a análise dos PCA por parte do Tribunal identificou uma ausência de planos para tratar de uma grave perda de recursos humanos (36) em caso de ocorrência de uma catástrofe. Embora as áreas de trabalho responsáveis pelos processos definissem o pessoal encarregado da continuidade das atividades e identificassem a substituição do mesmo, nenhuma possuía um plano de segurança em caso de uma indisponibilidade de pessoal em grande escala. |
|
54. |
Segundo o modelo do PCA de alto nível, cada um dos PCA das áreas de trabalho deve abranger:
Uma organização deve ponderar o benefício direto que lhe advém de medidas que melhorem a sua resiliência a perturbações operacionais em relação aos custos dessas medidas (40). |
|
55. |
O modelo global do PCA de alto nível do BCE fornece a estrutura e o conteúdo obrigatórios dos PCA das diferentes áreas de trabalho. Assim sendo, esse modelo inclui apenas a estrutura dos documentos do PCA a fornecer pelas áreas referidas. |
|
56. |
Os PCA são elaborados a nível da área de trabalho, do departamento ou da divisão. O modelo do PCA de alto nível é geralmente respeitado em termos de conteúdo obrigatório, mas há grandes diferenças no que respeita ao grau dos pormenores. Embora a função GRO/GCA desempenhe um papel de coordenação central, a qualidade de cada um dos PCA depende da pessoa responsável a nível da área de trabalho. Não há provas de que os diferentes PCA sejam suficientemente analisados pela função GRO/GCA. |
|
57. |
Das cinco áreas de trabalho (41) selecionadas para uma verificação pormenorizada, quatro apresentaram um PCA consentâneo com os requisitos, três das quais se ocuparam plenamente dos processos essenciais identificados na AIA. |
|
58. |
Na maioria dos casos, não foi documentada qualquer análise da relação custo-benefício nas áreas de trabalho objeto da amostra no que se refere às opções de continuidade das atividades, incluindo a avaliação de diversos níveis de risco. |
Testes
|
59. |
As organizações devem testar os seus planos de continuidade das atividades, avaliar a eficácia dos mesmos e atualizar a sua gestão da continuidade das atividades de forma adequada (42). O BS25999 (43) exige que a organização assegure que as disposições da sua GCA são validadas por exercício e análise e sempre atualizadas. |
|
60. |
Foram analisados os seguintes documentos:
|
|
61. |
A estratégia de testagem incide sobre os PCA e os Planos de Recuperação dos Sistemas de Informação desenvolvidos para analisar processos essenciais segundo a AIA. O quadro de testagem inclui uma clara atribuição de responsabilidades, o estabelecimento do âmbito da testagem, requisitos em matéria de apresentação de relatórios, frequência dos testes, bem como um programa pertinente de testes a médio prazo. A análise foi indicativa de que tinha sido estabelecido um quadro de testagem consentâneo com os requisitos do BS 25999. |
|
62. |
Os testes realizados identificaram o facto de que os exercícios de testagem, embora abrangendo o pessoal fundamental e tendo sido efetuados com regularidade, nem sempre fazem uma simulação das circunstâncias com que o BCE se confrontaria em caso de uma perturbação das atividades de grandes dimensões. Os testes projetados em 2009 e 2010 não cobriram todos os cenários estabelecidos pelo BCE nem foram realizados todos os testes inicialmente previstos. |
Formação e sensibilização
|
63. |
As equipas de gestão de crises e resposta às mesmas devem receber ensinamentos relativos às suas responsabilidades e deveres. Essas equipas devem receber formação anual, pelo menos, devendo os novos membros receber formação quando nelas se integram. Todo o pessoal deve receber formação para poder cumprir as suas responsabilidades individuais em caso de crise. O pessoal deve ser igualmente informado sobre as componentes fundamentais do Plano de Continuidade das Atividades (45). |
|
64. |
A estratégia adotada pelo BCE em matéria de formação especifica que todo o pessoal deve beneficiar de um programa de sensibilização em matéria de GCA (46). Quanto aos testes, a estratégia de formação prevê a criação de um programa de formação que forneça pormenores de execução. |
|
65. |
Em 2010 foram organizados cinco programas de formação de meio dia, dedicados à gestão de crises, que proporcionaram um «primeiro conhecimento» do Manual de Crises adotado pelo BCE. No geral, tanto a apresentação do manual como a sessão de formação obtiveram avaliações positivas dos participantes no curso, mas também foram feitas observações no sentido de que seria altamente apreciada a realização de ensaios de simulação. |
|
66. |
Muito embora a auditoria tenha encontrado provas evidentes da realização de formação de pessoal relevante para a continuidade das atividades, nomeadamente através dos testes dos PCA, não encontrou provas de que fosse ativamente tratada a questão da sensibilização de outros efetivos relativamente ao enquadramento e processos de continuidade das atividades. Vários documentos de referência internos (47) reconhecem que, embora a realização de testes desempenhe um papel fundamental na formação do pessoal, é necessário chegar a todo o pessoal por meio de um programa de sensibilização. Até agora esse tipo de programa não foi desenvolvido, visto a função central de GRO/GCA considerar satisfatória a sensibilização do pessoal para as disposições de continuidade das atividades. Todavia, um inquérito interno (48) salienta que mais de 12 % (20 % em 2009) dos inquiridos não têm conhecimento de disposições de continuidade das atividades para a sua área de trabalho nem sabem onde encontrar informações sobre como responder em caso de ocorrência de uma crise. |
O BCE geriu com eficácia os seus riscos financeiros?
|
67. |
A gestão de riscos financeiros é um processo para lidar com as incertezas resultantes dos mercados financeiros. Implica a avaliação dos riscos financeiros que uma organização enfrenta e o desenvolvimento de estratégias de gestão que sejam coerentes com as prioridades e políticas internas. |
|
68. |
O Tribunal analisou o seguinte:
|
Quadro de gestão de riscos financeiros para investimentos e operações de política
|
69. |
O quadro deve fornecer uma definição de riscos financeiros a nível de toda a organização e estabelecer os princípios que definem o modo como os riscos financeiros vão ser identificados, avaliados, monitorizados e controlados/mitigados (49). O banco tem de ter um sistema de gestão de riscos financeiros com responsabilidades claramente atribuídas. |
|
70. |
O quadro de gestão de riscos financeiros do BCE está concebido de modo a cobrir riscos resultantes de duas operações do BCE: i) de investimento e ii) de crédito. As operações de investimento são relativas às duas carteiras de investimentos, reservas cambiais (50) (60 600 milhões de euros em 31 de dezembro de 2010) e fundos próprios (51) (13 300 milhões de euros em 31 de dezembro de 2010). As operações de crédito dizem respeito a operações de política monetária (52). As atividades de investimento do BCE incluem a gestão das reservas cambiais do BCE (53), a carteira de fundos próprios do BCE, a gestão do fundo de pensões e atividades relacionadas com as duas carteiras detidas para fins de política monetária (54). |
|
71. |
A divisão de Gestão de Riscos (RMA) é responsável pela manutenção do quadro geral de gestão de riscos para operações de investimento e pela monitorização, avaliação e controlos dos riscos resultantes dessas operações. Monitoriza o cumprimento das políticas e dos processos acordados de gestão de riscos de mercado e de crédito. Os casos de incumprimento são comunicados em conformidade com procedimentos escalonados acordados. |
|
72. |
A DG-M é a área de trabalho que conduz operações de investimento no BCE. É igualmente responsável pela manutenção e desenvolvimento futuro da aplicação de gestão de carteiras do Eurosistema (55). A Divisão de Investimento da DG-M é responsável pela preparação de propostas do Comité de Investimento para o referencial tático relativo às carteiras de reservas cambiais e à gestão direta da carteira de fundos próprios do BCE. |
|
73. |
O Handbook of Financial Risk Management (56), o documento fundamental para a gestão de riscos financeiros de atividades de investimento, fornece uma síntese exaustiva de todas as políticas e de todos os processos e procedimentos relevantes, nomeadamente pela referência que faz aos documentos aprovados pelo organismo de decisão do BCE. |
|
74. |
O quadro global e a gestão de riscos financeiros criados pelo BCE para a gestão de operações de investimento e de política proporcionam uma definição dos riscos financeiros a nível global do Banco e estabelecem os princípios segundo os quais os riscos financeiros vão ser identificados, avaliados, monitorizados e controlados/mitigados. |
Metodologia da gestão de riscos financeiros
|
75. |
Devem ser estabelecidas orientações adequadas em matéria de investimento para se proceder a uma determinação suficiente da apetência pelo risco e para se fornecer uma orientação abrangente para as operações de investimento. |
|
76. |
O Handbook of Financial Risk Management do BCE define os seguintes elementos:
|
|
77. |
O processo de investimento das reservas cambiais é conduzido por uma estrutura de três níveis que engloba o referencial estratégico, o referencial tático e as carteiras propriamente ditas. O referencial estratégico reflete as preferências risco-remuneração de longo prazo e é decidido pelo Conselho do BCE. |
|
78. |
O processo de investimento dos fundos próprios assenta numa estrutura de dois níveis, o referencial estratégico e a carteira propriamente dita. O referencial estratégico é decidido pela Comissão Executiva. |
|
79. |
As remunerações são maximizadas tendo em conta as restrições de não ocorrência de perda e de afetação de ativos e implementadas através de uma afetação de ativos estratégica e específica (58). |
|
80. |
São mantidas pela RMA listas de países, emitentes e contrapartes elegíveis. A RMA estabelece igualmente limites para as contrapartes com base na metodologia aprovada pela Comissão Executiva. Para a gestão das reservas cambiais, os limites são afetados aos BCN com base na metodologia aprovada pelo Conselho do BCE. Uma vez por ano é efetuada uma atualização sistemática de todos os limites. Para além disso, são imediatamente tomadas em consideração implicações de alterações da notação de risco na elegibilidade e nos limites. |
|
81. |
A afetação de ativos estratégica leva em consideração os seguintes requisitos políticos de alto nível:
Os horizontes de investimento e risco são fixados em um ano para as reservas cambiais e em cinco anos para os fundos próprios. |
|
82. |
A auditoria do Tribunal incluiu uma análise do seguinte:
|
|
83. |
A análise do quadro de gestão de riscos financeiros é indicativa de que a metodologia da gestão de riscos financeiros determina suficientemente a apetência pelo risco e proporciona uma orientação abrangente para as operações de investimento no BCE. |
Aplicação da metodologia da gestão de riscos financeiros
|
84. |
A metodologia da gestão de riscos financeiros descrita na secção anterior deve ser aplicada na prática de forma eficaz. |
|
85. |
A auditoria do Tribunal incluiu:
|
|
86. |
Para a análise do quadro do Valor em Risco foram considerados os seguintes aspetos:
|
|
87. |
A testagem demonstrou que a metodologia foi adequadamente aplicada. No entanto, o «princípio dos quatro olhos» não tinha sido documentado. Para além disso, a análise dos modelos utilizados para o cálculo dos referenciais estratégicos e táticos, bem como os cálculos do VaR, incluindo a validação dos modelos, demonstrou que, em relação a alguns dos modelos:
|
|
88. |
Uma análise das melhores práticas em organizações internacionais afins demonstrou que, na sequência da crise financeira nos EUA e como parte do reforço das suas capacidades de gestão de riscos financeiros, o Federal Reserve Bank of New York constituiu uma equipa de validação de modelos. As principais atribuições dessa equipa estão descritas na Caixa 4. Caixa 4 Equipa de validação de modelos no Federal Reserve Bank of New York As atribuições fundamentais da equipa são as seguintes:
|
Adequação da informação de riscos financeiros
|
89. |
Deve existir um processo de acompanhamento regular de perfis de risco e exposições significativas a perdas. Deve ser criado um sistema fiável de monitorização e de comunicação de informações. |
|
90. |
O cumprimento das políticas e dos processos acordados de gestão de riscos de mercado e de crédito é monitorizado pela RMA, que é igualmente responsável por comunicar informações de incumprimento em conformidade com procedimentos escalonados acordados. A RMA do BCE informa regularmente sobre risco, remuneração e desempenho tanto das reservas cambiais como das carteiras de fundos próprios do BCE, bem como sobre os referenciais estratégicos e táticos associados. A frequência da comunicação de informações é diária, semanal, mensal, trimestral e anual. |
|
91. |
Os testes e entrevistas realizados pelos auditores confirmaram que a comunicação de informações sobre o desempenho é efetuada com regularidade e as informações distribuídas atempadamente aos órgãos executivos. No entanto foi registado que as normas GIPS (59), consideradas como constituindo a melhor prática, não são totalmente cumpridas para efeitos da comunicação interna de informações do BCE em matéria de desempenho. |
CONCLUSÕES E RECOMENDAÇÕES
O BCE estabeleceu um quadro de governação adequado e abrangente para a gestão de riscos?
|
92. |
O BCE estabeleceu uma estrutura organizativa abrangente com funções e responsabilidades claramente atribuídas. Verifica-se, no entanto, uma vincada demarcação entre a gestão de riscos financeiros e de riscos operacionais no BCE, que aumenta o risco de que a visão das exposições a nível do Banco não seja abrangente. Não foi criado um órgão único independente, como seja um administrador ou comité responsável pela gestão de riscos entre a Comissão Executiva e as duas funções/unidades de gestão de riscos, GRO/GCA e RMA. |
|
93. |
As contas anuais do BCE contêm apenas breves informações sobre determinadas questões relativas à gestão de riscos, em vez de divulgarem uma síntese do processo de gestão de riscos na organização, os riscos incorridos, bem como a abordagem desses riscos por parte da gestão. Recomendações
|
O BCE geriu com eficácia os seus riscos operacionais?
|
94. |
O BCE tem uma clara estrutura organizativa e estabeleceu políticas de gestão de riscos operacionais adequadas que determinam a abordagem do Banco no que respeita à avaliação, acompanhamento e controlo/mitigação de riscos. |
|
95. |
Embora fossem conduzidas avaliações descendentes em 2008 e 2009 e identificados planos de ação para cada área de trabalho, não foram documentadas análises da relação custo-benefício. |
|
96. |
Foi criado um sistema de divulgação de informações, acompanhamento e seguimento, e acordado um calendário para o seguimento das medidas de mitigação de riscos para riscos de nível médio e elevado. No entanto, para alguns riscos, o procedimento de aceitação pelo CRO/CE foi muito lento. Não existe integração de planeamento e ciclos de GRO. As atividades de GRO também não foram claramente demonstradas nos programas de trabalho de algumas áreas de trabalho testadas. |
|
97. |
O BCE elaborou um manual de crises abrangente que define funções, responsabilidades e processos em caso de ocorrência de uma crise, bem como os vários contactos da equipa de gestão de crises. Cada área de trabalho é plenamente responsável pelo desenvolvimento do respetivo PCA. |
|
98. |
O BCE criou um quadro sólido que fornece orientações sobre as políticas, os processos e as responsabilidades em matéria de GCA na organização. No entanto:
Recomendações
|
O BCE geriu com eficácia os seus riscos financeiros?
|
99. |
O quadro global e a gestão de riscos financeiros criados pelo BCE para a gestão de operações de investimento e de política são adequados. A análise do quadro de gestão de riscos financeiros é indicativa de que a metodologia da gestão de riscos financeiros que foi concebida é sólida e adequada para a gestão de operações de investimento e de política no BCE. No entanto, é necessário introduzir melhorias na aplicação prática da metodologia, por exemplo, no domínio dos modelos utilizados para os cálculos de referenciais estratégicos e táticos, bem como para os cálculos do VaR. |
|
100. |
Os relatórios internos da gestão de riscos fornecem informações rigorosas, adequadas e abrangentes da gestão de riscos financeiros aos quadros de direção e à Comissão Executiva do BCE. A comunicação de informações sobre o desempenho é efetuada com regularidade e atempadamente, mas não é atualizada periodicamente de modo a refletir modificações nas normas GIPS. Recomendações
|
O presente relatório foi adotado pela Câmara IV, presidida por Louis GALEA, Membro do Tribunal de Contas, no Luxemburgo, na sua reunião de 27 de março de 2012.
Pelo Tribunal de Contas
Vítor Manuel da SILVA CALDEIRA
Presidente
(1) N.o 1 do artigo 127.o do Tratado sobre o Funcionamento da União Europeia.
(2) Os Estatutos do SEBC e do BCE constituem um protocolo apenso ao Tratado.
(3) O n.o 2 do artigo 27.o do Protocolo relativo aos Estatutos do SEBC e do BCE prevê que «O disposto no artigo 287.o do Tratado sobre o Funcionamento da União Europeia é exclusivamente aplicável à análise da eficácia operacional da gestão do BCE».
(4) N.o 3 do artigo 9.o do Protocolo relativo aos Estatutos do SEBC e do BCE. O Conselho do BCE é constituído pelos seis membros da Comissão Executiva, juntamente com os governadores dos bancos centrais nacionais dos Estados-Membros cuja moeda é o euro. A Comissão Executiva é constituída pelo Presidente, o Vice-Presidente e quatro outros membros.
(5) N.o 1 do artigo 12.o do Protocolo relativo aos Estatutos do SEBC e do BCE.
(6) O âmbito da GRO abrange os riscos relacionados com atividades do BCE, incluindo as relativas a processos e projetos do SEBC/Eurosistema.
(7) Os critérios segundo os quais o Tribunal avaliou o quadro de gestão de riscos operacionais e financeiros do BCE são indicados em itálico no presente documento. Os critérios são os do Tribunal, salvo se forem referenciados de forma diferente.
(8) O âmbito da auditoria excluiu a gestão de riscos a nível do Sistema Europeu de Bancos Centrais (SEBC).
(9) Foram realizadas visitas de informação ao Federal Reserve Bank of New York e ao Bank of Canada, foram enviados questionários ao Federal Reserve Bank of New York, ao Bank of Canada e ao Banco Nacional Suíço.
(10) José Manuel González-Páramo, membro da Comissão Executiva do BCE, Ulrich Bindseil e Evangelos Tabakis, Risk Management for Central Banks and Other Public Investors (Gestão de riscos nos bancos centrais e outros investidores públicos), Cambridge University Press 2009.
(11) «Princípios de alto nível para a gestão de riscos», Comité das Autoridades Europeias de Supervisão Bancária (CAESB), fevereiro de 2010 (itálico do Tribunal de Contas Europeu, texto original em negrito apresentado em caracteres normais).
(12) Secção, divisão, direção ou direção-geral.
(13) Que faz parte da DG-H.
(14) A função GRO/GCA constitui também o secretariado do Comité de Riscos Operacionais (CRO).
(15) A RMA faz parte, em termos administrativos, da DG-H, mas responde diretamente perante o membro da Comissão Executiva responsável pela gestão de riscos financeiros.
(16) O BCE aplica o seu próprio enquadramento de relato contabilístico estabelecido pela Decisão BCE/2006/17 relativa às suas contas anuais, na sua versão alterada.
(17) O Valor em Risco (VaR) é uma medida de risco amplamente utilizada para o risco de prejuízos relativos a uma carteira específica de ativos financeiros. Para uma carteira, probabilidade e horizonte temporal determinados, o VaR é definido como um valor limiar tal que a probabilidade de que os prejuízos (valor de mercado) relativos à carteira ao longo do horizonte temporal indicado excedam este valor, partindo do princípio de que se trata de mercados normais e não há comercialização na carteira, é o nível de probabilidade indicado (conforme: Value at Risk: The New Benchmark for Managing Financial Risk (3.a edição), Philippe Jorion, McGraw-Hill Professional, 2006).
(18) Normas Internacionais de Relato Financeiro são normas baseadas em princípios, interpretações e o quadro adotados pelo Conselho das Normas Internacionais de Contabilidade (IASB), igualmente conhecidas pela sua antiga designação de Normas Internacionais de Contabilidade (NIC). Em fevereiro de 2001, a Comissão Europeia propôs um Regulamento que exigia que todas as empresas da UE cotadas num mercado regulamentado, incluindo bancos e companhias de seguros, passassem a elaborar as suas contas consolidadas de acordo com as NIC até 2005, o mais tardar. Aos Estados-Membros da UE foi dada a opção de alargar esta exigência a empresas não cotadas e a contas de empresas individualmente consideradas. Foi estabelecido um mecanismo de aprovação da UE, tanto a nível político como técnico, para supervisionar a integração das NIC na UE.
(19) Até 31 de dezembro de 2010, o Bank of Canada apresentava o seu relato segundo os princípios contabilísticos geralmente aceites no Canadá, embora divulgasse informações sobre a gestão de riscos comparáveis às das IFRS. A partir de 1 de janeiro de 2011, apresenta o seu relato nos termos das IFRS.
(20) «Manual de Práticas Internas», capítulo 26.
(21) Em 2008 a Comissão Executiva decidiu alinhar o quadro da GRO do BCE pelo quadro adotado a nível do SEBC.
(22) O risco operacional é definido como «o risco de um impacto financeiro, nas empresas e/ou a nível de imagem negativo, resultante de processos de governação interna e operacionais inadequados ou do fracasso desses mesmos processos, ou de pessoas, sistemas ou acontecimentos externos».
(23) Está mandatado para estimular e supervisionar o desenvolvimento, a implementação e a manutenção da gestão de riscos operacionais no BCE.
(24) Os membros são quadros superiores das Direções-Gerais de Operações de Mercado, Sistemas de Informação, Administração, Recursos Humanos, Orçamento e Organização, duas áreas de trabalho fulcrais numa base rotativa anual e o Consultor do Diretor-Geral dos Recursos Humanos, Orçamento e Organização.
(25) A área de trabalho (proprietária do risco) responsável pelo risco horizontal (um risco que tenha impacto em várias áreas de trabalho) deve recomendar e/ou implementar medidas adequadas de tratamento do risco que sejam aplicáveis em todo o BCE.
(26) Baseado na conclusão retirada do artigo «ERM at the Federal Reserve Bank of Richmond», 2007, Jack Dorminey e Richard Mohn.
(27) Fonte: Sítio Internet do Bank of Canada «Medium-term plan 2010-12» (Plano a médio prazo 2010-2012) (www.bankofcanada.ca em 13 de julho de 2011).
(28) Para projetos tais como TI, existem procedimentos específicos como os delineados no documento Organização de Projetos e Procedimentos de Controlo. Os riscos dos projetos são comunicados em separado por intermédio do Comité Diretor de Projetos/Comité Diretor de Projetos de Novas Instalações. A gestão de riscos relacionada com projetos específicos foi excluída do âmbito da presente auditoria.
(29) «Princípios de alto nível para a continuidade das atividades», Comité de Basileia de Supervisão Bancária, agosto de 2006, ponto 9.
(30) «Manual de Práticas Internas» (MPI), 5.a edição, BCE, 24 de setembro de 2010.
(31) «Princípios de alto nível para a continuidade das atividades», Comité de Basileia de Supervisão Bancária, agosto de 2006, ponto 10.
(32) «Análises de Impacto das Atividades do BCE», Análise de 2006, Direção-Geral dos Recursos Humanos, Orçamento e Organização, 16 de janeiro de 2007.
(33) O artigo 3.o do Protocolo (n.o 4) relativo aos Estatutos do Sistema Europeu de Bancos Centrais e do Banco Central Europeu define as funções legais cometidas ao BCE.
(34) Business Continuity Guideline: A Practical Approach for Emergency Preparedness, Crisis Management and Disaster Recovery; ASIS international; 2005; ponto 11.3.
(35) Com base em seis cenários de catástrofe, a AIA considera o impacto exercido sobre a capacidade operacional de cada área de trabalho.
(36) Tal como exigido pelos princípios de alto nível para a continuidade das atividades, Comité de Basileia de Supervisão Bancária, agosto de 2006, ponto 23.
(37) Ou seja, órgãos de decisão em caso de crise, composição das equipas de continuidade das atividades, relações com outras equipas, localizações das equipas de continuidade das atividades.
(38) Ou seja, os que foram identificados e aprovados como parte da AIA, lista de atribuições que pormenoriza as atividades específicas necessárias para assegurar a continuidade dos processos essenciais supramencionados.
(39) Ou seja, equipamento de TI e de escritório, manuais.
(40) «Princípios de alto nível para a continuidade das atividades», Comité de Basileia de Supervisão Bancária, agosto de 2006, ponto 13.
(41) A DG-IS tem um processo de continuidade das atividades separado. Está sujeita a uma auditoria externa para verificação do cumprimento da ISO 20000, razão pela qual o PCA da DG-IS foi excluído do âmbito da auditoria do Tribunal de 2010.
(42) «Princípios de alto nível para a continuidade das atividades», Comité de Basileia de Supervisão Bancária, agosto de 2006, princípio 6.
(43) British Standard’s Code of Practice for BCM.
(44) «Estratégia de Testagem e de Formação no domínio da Continuidade das Atividades do BCE», Comité de Riscos Operacionais, 4 de março de 2008.
(45) Business Continuity Guideline: A Practical Approach for Emergency Preparedness, Crisis Management and Disaster Recovery; ASIS international; 2005; ponto 12.1.1.
(46) «Estratégia de Testagem e de Formação no domínio da Continuidade das Atividades do BCE», Comité de Riscos Operacionais, 4 de março de 2008.
(47) «Estratégia de Testagem e de Formação no domínio da Continuidade das Atividades», p. 15; «Manual de Práticas Internas», 26.1; «Quadro de Continuidade das Atividades» (intranet do BCE); «documento de Política de Gestão da Continuidade das Atividades».
(48) Relatório do Inquérito para Avaliação da Satisfação do Cliente Interno do BCE, relativo aos exercícios de 2010 e 2009.
(49) Basileia, ERM COSO (Enterprise Risk Management Committee of Sponsoring Organizations – Comissão para a Gestão de Riscos Empresariais de Organizações Patrocinadoras).
(50) Orientação do Banco Central Europeu de 20 de junho de 2008 relativa à gestão dos ativos de reserva do Banco Central Europeu pelos bancos centrais nacionais e à documentação legal para as operações envolvendo os referidos ativos (reformulação) (BCE/2008/5) (2008/596/CE).
(51) «Orientação OFM», julho de 2010, «As Orientações do BCE relativas ao Investimento de Fundos Próprios», setembro de 2010.
(52) Orientação do Banco Central Europeu de 26 de setembro de 2002 relativa aos padrões mínimos de conduta a observar pelo Banco Central Europeu e pelos bancos centrais nacionais ao realizarem operações de política monetária e operações cambiais que envolvam os ativos de reserva do BCE e ao gerirem esses ativos (BCE/2002/6).
(53) Incluindo as reservas em ouro.
(54) Carteira do programa de compra de obrigações hipotecárias e obrigações sobre o setor público («Covered Bonds») (PCCB) e carteira do programa dos mercados de títulos de dívida (PMTD).
(55) Aplicação utilizada para a gestão das reservas cambiais e dos fundos próprios do BCE e para apresentar os indicadores de desempenho.
(56) «Handbook of Financial Risk Management, Policies and procedures», março de 2008.
(57) Análise dos pontos i)-v) periodicamente ou, pelo menos, uma vez por ano pela Comissão Executiva ou pelo Conselho do BCE.
(58) Decidida pelo Conselho do BCE para as Reservas Cambiais e pela Comissão Executiva para os fundos próprios com base nas propostas da RMA.
(59) As GIPS (Global Investment Performance Standards – Normas Globais de Desempenho dos Investimentos) constituem um conjunto de princípios éticos setoriais normalizados, criados e administrados pelo Instituto CFA (Chartered Financial Analyst), que fornecem orientações sobre a forma de calcular e comunicar resultados de investimentos. São normas voluntárias baseadas nos princípios fundamentais da divulgação integral e representação fiável de resultados do desempenho dos investimentos.
RESPOSTAS DO BANCO CENTRAL EUROPEU
O Banco Central Europeu (BCE) acolhe favoravelmente o relatório do Tribunal de Contas Europeu (TCE) relativo ao exercício de 2010 e exprime o seu reconhecimento pelas observações e recomendações em matéria de melhorias. O BCE constata ainda que o TCE considera que i) o BCE dispõe de uma estrutura organizativa clara e estabeleceu políticas de gestão dos riscos operacionais adequadas e que ii) o quadro global de gestão dos riscos financeiros criado pelo BCE para a gestão das operações de investimento e de política monetária é igualmente adequado.
O BCE toma nota das observações e recomendações de melhoria propostas pelo TCE e apresenta em seguida os seus comentários em relação a alguns parágrafos específicos e às sete recomendações.
Parágrafos 9 a 13 e 92
No que se refere à descrição do TCE do quadro global do BCE para a gestão de riscos, é de assinalar que:
O quadro de gestão dos riscos operacionais, incluindo a medição e o acompanhamento dos riscos operacionais ao nível do BCE, é da competência da função de gestão de riscos operacionais e de continuidade das atividades (função GRO/GCA), que faz parte da Direção-Geral de Recursos Humanos, Orçamento e Organização. O quadro de gestão dos riscos financeiros aplicável às operações de mercado, bem como a medição e o acompanhamento das exposições a riscos decorrentes dessas operações, são da responsabilidade do Gabinete de Gestão do Risco. Este tipo de estrutura organizativa é frequente em bancos centrais e organizações afins. Por conseguinte, a existência de uma função e de um gabinete especializados não deve ser interpretada como uma demarcação entre a gestão de riscos financeiros e de riscos operacionais, mas antes como uma escolha organizativa que visa assegurar uma afetação eficiente de funções, no âmbito da responsabilidade colegial da Comissão Executiva pela gestão global dos riscos no BCE.
Em termos de desenvolvimentos recentes, após a auditoria realizada pelo TCE, o BCE comunica o seguinte:
|
— |
no domínio dos riscos operacionais, o Comité de Riscos Operacionais, que é responsável pelo apoio e supervisão do desenvolvimento, implementação e manutenção da gestão dos riscos operacionais, é agora presidido pelo Vice-Presidente do BCE; |
|
— |
no domínio dos riscos financeiros, em julho de 2011, o BCE procedeu a uma reorganização da anterior Divisão de Gestão de Riscos, transformando-a num gabinete independente, o Gabinete de Gestão de Riscos, que reporta à Comissão Executiva através de um membro distinto do responsável pela Direção-Geral de Operações de Mercado. Esta alteração resultou i) do papel mais significativo desempenhado pela gestão dos riscos financeiros, ao nível dos bancos centrais em geral e do BCE em particular, e ii) da orientação fornecida pelo Conselho do BCE a todos os bancos centrais do Eurosistema no que se refere à separação das vias hierárquicas de reporte aos membros dos respetivos conselhos de administração responsáveis pelas funções de operações de mercado e de gestão dos riscos financeiros. |
Ver também a resposta à Recomendação 1.
Parágrafos 16, 17 e 93
A informação relativa à gestão dos riscos é divulgada em vários capítulos do Relatório Anual do BCE, incluindo nas contas anuais, as quais são elaboradas de acordo com as políticas contabilísticas tomadas pelo Conselho do BCE como adequadas à atividade de banca central. Estas políticas são aplicadas de forma coerente por todos os bancos centrais do Eurosistema nas operações do Eurosistema e são internacionalmente consideradas como normas de relato financeiro apropriadas aos bancos centrais.
Os requisitos legais do BCE no tocante à prestação de informação financeira encontram-se definidos na Decisão BCE/2010/21 relativa às contas anuais do BCE. Sempre que esta seja omissa em relação a determinado tratamento contabilístico e não tenha sido tomada decisão em contrário pelo Conselho do BCE, são aplicados princípios de valorização compatíveis com as Normas Internacionais de Relato Financeiro (International Financial Reporting Standards – IFRS), conforme adotadas pela União Europeia. Além disso, nos termos da Decisão BCE/2010/21, o BCE prepara as suas contas anuais com base na apreciação do Conselho do BCE quanto ao nível apropriado de instrumentos de informação e não está obrigado a cumprir os requisitos de divulgação definidos nas IFRS 7.
Ver também a resposta à Recomendação 2.
Parágrafo 24
O BCE realça que a comunicação da gestão dos riscos operacionais através da sua Intranet proporciona aos coordenadores dos riscos e aos gestores das áreas de trabalho toda a informação relevante, inclusivamente sobre a classificação dos eventos e das causas subjacentes. É disponibilizada informação adicional às áreas de trabalho sobre como identificarem riscos, sempre que é lançada a atualização anual da avaliação dos riscos operacionais ao nível da instituição.
Parágrafo 28
O número de efetivos na função GRO/GCA aumentou recentemente para cinco. Na ótica do BCE, a atual composição do pessoal desta área permite tirar benefícios da participação de funcionários destacados dos bancos centrais e não aumenta o risco de uma implementação inadequada do quadro de gestão dos riscos operacionais.
Parágrafos 29 e 66
Com vista a uma maior sensibilização para o quadro de gestão dos riscos operacionais e para os procedimentos de continuidade das atividades, o BCE irá melhorar a apresentação da informação pertinente nas comunicações relativas ao tema através da Intranet e solicitará aos chefes das equipas dedicadas aos riscos que realizem apresentações regulares aos membros das respetivas áreas de trabalho.
Parágrafos 37, 58 e 95
Embora a política de gestão dos riscos operacionais defenda a realização de uma análise da relação custo-benefício no âmbito da definição inicial das estratégias de resposta a possíveis riscos, com vista a assegurar que tais estratégias sejam eficientes em termos de custos, essa análise torna-se essencial na decisão sobre medidas de resposta a riscos concretos. Por exemplo, é exigida uma análise da relação custo-benefício sempre que é iniciado um projeto no BCE.
Parágrafos 50 e 98 a)
A prática do BCE consiste em atualizar a sua análise do impacto operacional sempre que necessário, e não apenas em intervalos regulares, a fim de assegurar uma resposta atempada a requisitos adicionais em termos de continuidade das atividades, tais como alterações organizativas ou de sistema, e novos processos ou aplicações. Com efeito, desde que os resultados de uma análise completa do impacto operacional foram fornecidos à Comissão Executiva em 2007, procedeu-se, em várias ocasiões, à integração de requisitos adicionais no quadro para a continuidade das atividades.
Parágrafos 53 e 98 b)
O BCE considera que os planos previstos em caso de pandemia são suficientes para dar resposta a uma grave perda de recursos humanos. Além disso, na eventualidade extremamente improvável de uma total indisponibilidade de pessoal, o BCE definiu procedimentos de emergência para assegurar a continuidade dos processos essenciais.
Parágrafos 62 e 98 c) e d)
A atual crise financeira, que tem exigido que funções centrais do BCE estejam operacionais quase todos os fins de semana, limitou inevitavelmente o alcance e a frequência dos testes de continuidade das atividades em termos globais. Nessa medida, se bem que a equipa de gestão dos riscos conduza regularmente testes com base em cenários muito concretos, foi adotada uma abordagem mais prudente no que respeita ao teste dos planos de continuidade operacional global do BCE e de recuperação dos sistemas de tecnologias de informação, a fim de limitar o risco de perturbação das atividades em curso.
Ver também a resposta à Recomendação 5.
Parágrafos 91 e 100
O BCE não adotou todas as normas GIPS (Global Investment Performance Standards) em virtude de estas não serem totalmente aplicáveis à sua atividade como banco central.
Ver também a resposta à Recomendação 7.
Recomendação 1
O BCE acolhe favoravelmente e considera sempre recomendações no sentido de proceder a novas melhorias da gestão dos riscos e de aplicar as mais avançadas práticas de banca central. A atual estrutura organizativa do BCE no que concerne a gestão dos riscos proporciona um quadro eficiente para a afetação de funções, ao abrigo da responsabilidade colegial da Comissão Executiva pela gestão global dos riscos ao nível da instituição.
Recomendação 2
O BCE já cumpre as relevantes exigências legais em termos de relato financeiro, tal como definidas na Decisão BCE/2010/21. O BCE manteve e continuará a manter sob análise os desenvolvimentos ao nível das IFRS, sobretudo no que respeita à adequação destas às suas necessidades de prestação de informação financeira.
Recomendação 3
O BCE aceita a recomendação. Não obstante as várias áreas de trabalho do BCE terem sempre incorporado as ações concretas e os custos relacionados com a implementação de medidas de mitigação de riscos nos seus programas de trabalho e propostas de orçamento anuais, o BCE alterou recentemente o calendário dos processos relevantes ao nível da instituição, com vista a alinhar a atualização anual da avaliação dos riscos operacionais com os ciclos de planeamento estratégico e financeiro.
Recomendação 4
O BCE aceita a recomendação.
Recomendação 5
O BCE aceita a recomendação. O BCE está totalmente empenhado em continuar a melhorar os seus planos de continuidade das atividades e envidará esforços para assegurar a realização em tempo útil dos programas de teste de todos os processos e resultados a apresentar pertinentes. Simultaneamente, porém, ponderará a urgência da condução dos testes previstos face ao requisito de minimizar os riscos na execução das suas funções, em particular no presente momento crítico para a superação da atual crise financeira.
Recomendação 6
O BCE aceita a recomendação e permanece empenhado em continuar a analisar, testar e documentar na íntegra os modelos utilizados para a afetação de ativos e para o cálculo dos riscos, no sentido da consecução dos mais elevados padrões possíveis.
Recomendação 7
O BCE tem mantido e continuará a manter sob análise a evolução das normas GIPS, sobretudo no que respeita à adequação destas às suas necessidades de comunicação de informações a nível interno sobre o desempenho do investimento.