E. Gerenciamento de Riscos
4. Risco Operacional
O risco operacional é definido como a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Essa definição inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como às sanções legais em razão do descumprimento de dispositivos legais e às indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.
4.2 Princípios Básicos
Em linha com a Resolução nº 3.380 do CMN, o Banco dispõe de estrutura e políticas institucionais para o gerenciamento do risco operacional aprovados pelo Conselho de Administração e os princípios básicos observados na gestão e controle foram estabelecidos em conformidade com a regulamentação vigente e com as melhores práticas de mercado, conforme segue: Envolvimento da Alta Administração na supervisão
global da tomada de riscos por intermédio dos comitês e comissões estabelecidos;
Mapeamento dos processos operacionais e sistêmicos, mapeamento de controles existentes e análise dos riscos inerentes e residuais;
Avaliação do impacto financeiro potencial e da vulnerabilidade do ambiente de controle para os riscos mapeados. A partir dessa avaliação, define-se o nível de risco operacional, de acordo com a matriz de risco padronizada para toda a instituição;
Captura de perdas operacionais e manutenção de base de dados estruturada com informações referentes aos eventos;
Análise, comunicação e implantação de planos de ação para melhoria de processos e controles para mitigação dos riscos incorridos; e
Cálculo de capital alocado para risco operacional a partir de metodologias estruturadas, baseadas nas práticas de mercado e adequadas às exigências regulatórias.
4.3 Áreas Envolvidas
As funções de gerenciamento de risco operacional são desempenhadas por unidades funcionais segregadas, formalmente constituídas, formadas por equipes capacitadas e com atribuições claramente definidas, conforme apresentado a seguir: Área de Controles Internos
Responsável por:
Apoiar na identificação e avaliação dos riscos operacionais e controles existentes nas áreas e processos da Instituição, incluindo os serviços terceirizados relevantes;
Avaliar o desenho e testar a efetividade dos controles de processos de negócios, suporte e de TI;
Avaliar a adequação da arquitetura tecnológica, colocada à disposição pela área de Tecnologia, bem como a integridade das interfaces sistêmicas que afetam os modelos internos de riscos;
Acompanhar o andamento e a implantação dos planos de ação elaborados para mitigar riscos operacionais e para promover melhorias no ambiente de controle;
Colocar à disposição metodologias, modelos e ferramentas que assegurem a identificação e o monitoramento dos riscos relevantes;
Treinar e fomentar a cultura de controles internos aos colaboradores da Instituição;
Dar ciência ao Comitê de Controles dos resultados dos trabalhos de mapeamento, avaliação e testes de controle, bem como de riscos e eventuais deficiências encontradas que sejam relevantes.
Área de Risco Operacional
Responsável pela gestão e manutenção da base de dados de perdas operacionais, acompanhamento dos planos de ação para perdas relevantes, definição de metodologias e ferramentas para estruturação de indicadores de risco operacional, construção de cenários e cálculo de capital alocado para risco operacional;
Responsável pela atualização e revisão periódica das políticas, procedimentos e planos de comunicação relacionados às atividades de gestão e mensuração do risco operacional.
Gestores e Colaboradores
Responsáveis pela gestão e revisão dos riscos operacionais existentes nas suas atividades e processos, pela implementação de controles e definição de indicadores para acompanhamento dos riscos e planos de ação para sua mitigação;
Responsáveis pela comunicação tempestiva das ocorrências relacionadas a risco operacional.
4.4 Sistema de Mensuração e Processo de Comunicação
A avaliação dos riscos operacionais existentes nos processos da organização considera os fatores “impacto” e “vulnerabilidade”, definidos na Régua de Riscos corporativa, que os categoriza em Baixos, Médios, Altos ou Extremos.
Os riscos mapeados e classificados são submetidos à validação dos gestores dos processos, para definição do tratamento adequado: aceitar ou reduzir o risco. Caso o tratamento do risco seja reduzir, os gestores do processo são responsáveis por propor ações de mitigação.
A área de Risco Operacional elabora e divulga à Alta Administração o Relatório Anual de Risco Operacional descrevendo a estrutura de gerenciamento do risco operacional, bem como as ações realizadas no ano corrente e as planejadas para o ano seguinte visando o aprimoramento da gestão do risco operacional no Banco.
4.5 Perdas Operacionais por Categoria de Risco
O gráfico abaixo apresenta a distribuição das perdas operacionais desembolsadas e despesas de provisão nos anos de 2012 ao primeiro semestre de 2014, classificadas por categoria de risco.
53% 28% 12% 7% 0% 42% 20% 17% 18% 2% 52% 11% 19% 15% 3% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 3. Relações Trabalhistas 4. Clientes, Produtos, Práticas de Negócios
2. Fraude Externa 9. Execução e Gerenciamento de
Processos
Outros
Perdas Operacionais por Categoria de Risco
4.6 Gerenciamento de Continuidade de Negócios
O Banco conta com um ambiente de tecnologia de alta disponibilidade e alta capacidade de recuperação, composto pelos seguintes elementos:
Dois datacenters hotsites, construídos pelo conceito de sala cofre pela Aceco, onde a infraestrutura para suportar os sistemas críticos são replicados – um deles no edifício Rochaverá no Morumbi e outro no edifício BFC na Avenida Paulista; Sistema de armazenamento de dados em ambos os datacenters onde as bases de dados críticas são espelhadas de forma
síncrona;
Pool de servidores de aplicação e cluster de servidores de arquivos para os processos e sistemas críticos; Unidades de fitas em ambos os datacenters e armazenamento externo de backup;
Acesso remoto às aplicações críticas;
Ferramenta de acesso aos planos de contingência acessível pela Internet;
A área de Continuidade de Negócios utiliza o sistema RPX (Recovery Planner) para gestão das ocorrências de interrupção, definição dos planos de continuidade e documentação de suporte das evidências dos testes e exercícios realizados.
Para as empresas do segmento de varejo, o plano de continuidade compreende os sites de Terceiros, como processamento de Cartões (EDS) e atendimento ao cliente (Tivit e Contax).
As diretrizes corporativas de Gestão de Continuidade de Negócios contemplam políticas, normas, procedimentos, papeis e responsabilidades visando à implementação de uma Gestão de Continuidade de Negócios e Crises efetiva na Organização, assegurando uma maior resiliência ante situações adversas.
A partir dos conceitos, princípios e diretrizes estabelecidos, o Consolidado fortalece sua estrutura de gerenciamento de riscos e sua governança corporativa, oferece maior segurança aos seus clientes e acionistas diante de imprevistos a eventuais crises e durante a recuperação até o retorno à normalidade.
A área de Segurança da Informação e Continuidade de Negócios é a estrutura responsável por coordenar as atividades de segurança da informação e continuidade de negócios no Consolidado junto às áreas de Negócio e Suporte e é, por princípio, independente no exercício de suas funções.
A aplicação da metodologia de Análise de Impacto nos Negócios (BIA – Business Impact Analysis) possibilita identificar e classificar o impacto dos processos críticos de negócios, quanto à perda financeira, riscos de imagem, reputação e legal, caso sofram algum evento que os impossibilitem a serem executados da maneira habitual. Esta disciplina da continuidade de negócios viabiliza o planejamento estratégico dos planos de contingência do Consolidado Econômico-Financeiro Votorantim e a priorização dos projetos para atender às novas necessidades e/ou a adequação dos planos existentes.
Desde a etapa de avaliação BIA (Business Impact Analysis), onde os processos de negócios do Consolidado Econômico- Financeiro Votorantim são ordenados em função do seu custo de parada, até a etapa de Análise de Criticidade, onde os mesmos são avaliados de acordo com os impactos que a organização venha a sofrer ante uma interrupção, as informações apresentadas agregam importantes indicadores para os gestores e responsáveis pela direção da empresa.
Através da Análise de Impacto aos Negócios (BIA – Business Impact Analysis) são avaliados os processos de negócio críticos, considerando que a paralisação de suas atividades poderão ocasionar perdas financeiras, danos à reputação, descumprimento de leis, regulamentos, contratos e políticas corporativas. A classificação de impacto nos processos de negócios é mensurada através das análises qualitativa, que avalia risco de imagem perante os clientes, mercado e reguladores e/ou quantitativa, que avalia potenciais impactos financeiros decorrentes de indisponibilidades.