Risco Operacional

O risco operacional é definido como a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Essa definição inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como às sanções legais em razão do descumprimento de dispositivos legais e às indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

4.2 Princípios Básicos

Em linha com a Resolução nº 3.380 do CMN, o Banco dispõe de estrutura e políticas institucionais para o gerenciamento do risco operacional aprovados pelo Conselho de Administração e os princípios básicos observados na gestão e controle foram estabelecidos em conformidade com a regulamentação vigente e com as melhores práticas de mercado, conforme segue:  Envolvimento da Alta Administração na supervisão

global da tomada de riscos por intermédio dos comitês e comissões estabelecidos;

 Mapeamento dos processos operacionais e sistêmicos, mapeamento de controles existentes e análise dos riscos inerentes e residuais;

 Avaliação do impacto financeiro potencial e da vulnerabilidade do ambiente de controle para os riscos mapeados. A partir dessa avaliação, define-se o nível de risco operacional, de acordo com a matriz de risco padronizada para toda a instituição;

 Captura de perdas operacionais e manutenção de base de dados estruturada com informações referentes aos eventos;

 Análise, comunicação e implantação de planos de ação para melhoria de processos e controles para mitigação dos riscos incorridos; e

 Cálculo de capital alocado para risco operacional a partir de metodologias estruturadas, baseadas nas práticas de mercado e adequadas às exigências regulatórias.

4.3 Áreas Envolvidas

As funções de gerenciamento de risco operacional são desempenhadas por unidades funcionais segregadas, formalmente constituídas, formadas por equipes capacitadas e com atribuições claramente definidas, conforme apresentado a seguir: Área de Controles Internos

Responsável por:

 Apoiar na identificação e avaliação dos riscos operacionais e controles existentes nas áreas e processos da Instituição, incluindo os serviços terceirizados relevantes;

 Avaliar o desenho e testar a efetividade dos controles de processos de negócios, suporte e de TI;

 Avaliar a adequação da arquitetura tecnológica, colocada à disposição pela área de Tecnologia, bem como a integridade das interfaces sistêmicas que afetam os modelos internos de riscos;

 Acompanhar o andamento e a implantação dos planos de ação elaborados para mitigar riscos operacionais e para promover melhorias no ambiente de controle;

 Colocar à disposição metodologias, modelos e ferramentas que assegurem a identificação e o monitoramento dos riscos relevantes;

 Treinar e fomentar a cultura de controles internos aos colaboradores da Instituição;

 Dar ciência ao Comitê de Controles dos resultados dos trabalhos de mapeamento, avaliação e testes de controle, bem como de riscos e eventuais deficiências encontradas que sejam relevantes.

Área de Risco Operacional

 Responsável pela gestão e manutenção da base de dados de perdas operacionais, acompanhamento dos planos de ação para perdas relevantes, definição de metodologias e ferramentas para estruturação de indicadores de risco operacional, construção de cenários e cálculo de capital alocado para risco operacional;

 Responsável pela atualização e revisão periódica das políticas, procedimentos e planos de comunicação relacionados às atividades de gestão e mensuração do risco operacional.

Gestores e Colaboradores

 Responsáveis pela gestão e revisão dos riscos operacionais existentes nas suas atividades e processos, pela implementação de controles e definição de indicadores para acompanhamento dos riscos e planos de ação para sua mitigação;

 Responsáveis pela comunicação tempestiva das ocorrências relacionadas a risco operacional.

4.4 Sistema de Mensuração e Processo de Comunicação

A avaliação dos riscos operacionais existentes nos processos da organização considera os fatores “impacto” e “vulnerabilidade”, definidos na Régua de Riscos corporativa, que os categoriza em Baixos, Médios, Altos ou Extremos.

Os riscos mapeados e classificados são submetidos à validação dos gestores dos processos, para definição do tratamento adequado: aceitar ou reduzir o risco. Caso o tratamento do risco seja reduzir, os gestores do processo são responsáveis por propor ações de mitigação.

A área de Risco Operacional elabora e divulga à Alta Administração o Relatório Anual de Risco Operacional descrevendo a estrutura de gerenciamento do risco operacional, bem como as ações realizadas no ano corrente e as planejadas para o ano seguinte visando o aprimoramento da gestão do risco operacional no Banco.

4.5 Perdas Operacionais por Categoria de Risco

O gráfico abaixo apresenta a distribuição das perdas operacionais desembolsadas e despesas de provisão nos anos de 2012 ao primeiro semestre de 2014, classificadas por categoria de risco.

53% 28% 12% 7% 0% 42% 20% _17% 18% 2% 52% 11% 19% 15% 3% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 3. Relações Trabalhistas 4. Clientes, Produtos, Práticas de Negócios

2. Fraude Externa 9. Execução e Gerenciamento de

Processos

Outros

Perdas Operacionais por Categoria de Risco

4.6 Gerenciamento de Continuidade de Negócios

O Banco conta com um ambiente de tecnologia de alta disponibilidade e alta capacidade de recuperação, composto pelos seguintes elementos:

 Dois datacenters hotsites, construídos pelo conceito de sala cofre pela Aceco, onde a infraestrutura para suportar os sistemas críticos são replicados – um deles no edifício Rochaverá no Morumbi e outro no edifício BFC na Avenida Paulista;  Sistema de armazenamento de dados em ambos os datacenters onde as bases de dados críticas são espelhadas de forma

síncrona;

 Pool de servidores de aplicação e cluster de servidores de arquivos para os processos e sistemas críticos;  Unidades de fitas em ambos os datacenters e armazenamento externo de backup;

 Acesso remoto às aplicações críticas;

 Ferramenta de acesso aos planos de contingência acessível pela Internet;

A área de Continuidade de Negócios utiliza o sistema RPX (Recovery Planner) para gestão das ocorrências de interrupção, definição dos planos de continuidade e documentação de suporte das evidências dos testes e exercícios realizados.

Para as empresas do segmento de varejo, o plano de continuidade compreende os sites de Terceiros, como processamento de Cartões (EDS) e atendimento ao cliente (Tivit e Contax).

As diretrizes corporativas de Gestão de Continuidade de Negócios contemplam políticas, normas, procedimentos, papeis e responsabilidades visando à implementação de uma Gestão de Continuidade de Negócios e Crises efetiva na Organização, assegurando uma maior resiliência ante situações adversas.

A partir dos conceitos, princípios e diretrizes estabelecidos, o Consolidado fortalece sua estrutura de gerenciamento de riscos e sua governança corporativa, oferece maior segurança aos seus clientes e acionistas diante de imprevistos a eventuais crises e durante a recuperação até o retorno à normalidade.

A área de Segurança da Informação e Continuidade de Negócios é a estrutura responsável por coordenar as atividades de segurança da informação e continuidade de negócios no Consolidado junto às áreas de Negócio e Suporte e é, por princípio, independente no exercício de suas funções.

A aplicação da metodologia de Análise de Impacto nos Negócios (BIA – Business Impact Analysis) possibilita identificar e classificar o impacto dos processos críticos de negócios, quanto à perda financeira, riscos de imagem, reputação e legal, caso sofram algum evento que os impossibilitem a serem executados da maneira habitual. Esta disciplina da continuidade de negócios viabiliza o planejamento estratégico dos planos de contingência do Consolidado Econômico-Financeiro Votorantim e a priorização dos projetos para atender às novas necessidades e/ou a adequação dos planos existentes.

Desde a etapa de avaliação BIA (Business Impact Analysis), onde os processos de negócios do Consolidado Econômico- Financeiro Votorantim são ordenados em função do seu custo de parada, até a etapa de Análise de Criticidade, onde os mesmos são avaliados de acordo com os impactos que a organização venha a sofrer ante uma interrupção, as informações apresentadas agregam importantes indicadores para os gestores e responsáveis pela direção da empresa.

Através da Análise de Impacto aos Negócios (BIA – Business Impact Analysis) são avaliados os processos de negócio críticos, considerando que a paralisação de suas atividades poderão ocasionar perdas financeiras, danos à reputação, descumprimento de leis, regulamentos, contratos e políticas corporativas. A classificação de impacto nos processos de negócios é mensurada através das análises qualitativa, que avalia risco de imagem perante os clientes, mercado e reguladores e/ou quantitativa, que avalia potenciais impactos financeiros decorrentes de indisponibilidades.