Risco Operacional

O risco operacional é definido como a possibilidade de perda resultante de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos à instituição.

4.2 Princípios Básicos

Em linha com a Resolução nº 3.380 do CMN, o Banco dispõe de estrutura e políticas institucionais para o gerenciamento do risco operacional aprovados pelo Conselho de Administração e os princípios básicos observados na gestão e controle foram estabelecidos em conformidade com a regulamentação vigente e com as melhores práticas de mercado, conforme segue:  Envolvimento da Alta Administração na supervisão

global da tomada de riscos por intermédio dos comitês e comissões estabelecidos;

 Mapeamento dos processos operacionais e sistêmicos, mapeamento de controles existentes e análise dos riscos inerentes e residuais;

 Avaliação do impacto financeiro potencial e da vulnerabilidade do ambiente de controle para os riscos mapeados através de Control Risk Self Assessment. A partir dessa avaliação, define-se o nível de risco operacional, de acordo com a matriz de risco padronizada para toda a instituição;

 Captura de perdas operacionais e manutenção de base de dados estruturada com informações referentes aos eventos;

 Análise, comunicação e implantação de planos de ação para melhoria de processos e controles para mitigação dos riscos incorridos; e

 Cálculo de capital alocado para risco operacional a partir de metodologias estruturadas, baseadas nas práticas de mercado e adequadas às exigências regulatórias.

4.3 Áreas Envolvidas

As funções de gerenciamento de risco operacional são desempenhadas por unidades funcionais segregadas, formalmente constituídas, formadas por equipes capacitadas e com atribuições claramente definidas, conforme apresentado a seguir: Área de Controles Internos

 Apoiar na identificação e avaliação dos riscos operacionais e controles existentes nas áreas e processos da Instituição, incluindo os serviços terceirizados relevantes;

 Avaliar o desenho e testar a efetividade dos controles de processos de negócios, suporte e de TI;

 Avaliar a adequação da arquitetura tecnológica, colocada à disposição pela área de Tecnologia, bem como a integridade das interfaces sistêmicas que afetam os modelos internos de riscos;

 Acompanhar o andamento e a implantação dos planos de ação elaborados para mitigar riscos operacionais e para promover melhorias no ambiente de controle;

 Colocar à disposição metodologias, modelos e ferramentas que assegurem a identificação e o monitoramento dos riscos relevantes;

 Treinar e fomentar a cultura de controles internos aos colaboradores da Instituição;

 Dar ciência ao Comitê de Controles dos resultados dos trabalhos de mapeamento, avaliação e testes de controle, bem como de riscos e eventuais deficiências encontradas que sejam relevantes.

Área de Risco Operacional

 Responsável pela gestão e manutenção da base de dados de perdas operacionais, acompanhamento dos planos de ação para perdas relevantes e definição de metodologias e ferramentas para estruturação de indicadores de risco operacional;  Responsável pela atualização e revisão periódica das políticas, procedimentos e planos de comunicação relacionados às

atividades de gestão e mensuração do risco operacional. Modelagem de Risco Operacional

 Responsável pela apuração do capital alocado para risco operacional e pela realização de estudos para mensuração do capital econômico para risco operacional;

 Responsável pelo cálculo do valor unitário para provisionamento das contingências cíveis massificadas.

Gestores e Colaboradores

 Responsáveis pela gestão e revisão dos riscos operacionais existentes nas suas atividades e processos, pela implementação de controles e definição de indicadores para acompanhamento dos riscos e planos de ação para sua mitigação;

 Responsáveis pela comunicação tempestiva das ocorrências relacionadas a risco operacional.

4.4 Sistema de Mensuração e Processo de Comunicação

A avaliação dos riscos operacionais existentes nos processos da organização considera os fatores “impacto” e “vulnerabilidade”, definidos na Régua de Riscos corporativa, que os categoriza em Baixos, Médios, Altos ou Extremos.

Os riscos mapeados e classificados são submetidos à validação dos gestores dos processos, para definição do tratamento adequado: aceitar ou reduzir o risco. Caso o tratamento do risco seja reduzir, os gestores do processo são responsáveis por propor ações de mitigação.

A área de Risco Operacional elabora e divulga à Alta Administração o Relatório Anual de Risco Operacional descrevendo a estrutura de gerenciamento do risco operacional, bem como as ações realizadas no ano corrente e as planejadas para o ano seguinte visando o aprimoramento da gestão do risco operacional no Banco.

4.5 Perdas Operacionais por Categoria de Risco

O gráfico abaixo apresenta a distribuição das perdas operacionais desembolsadas e despesas de provisão nos anos de 2013 ao terceiro trimestre de 2015, classificadas por categoria de risco.

4.6 Gerenciamento de Continuidade de Negócios

O Banco conta com um ambiente de tecnologia de alta disponibilidade e alta capacidade de recuperação, composto pelos seguintes elementos:

 Dois datacenters hotsites, construídos pelo conceito de sala cofre pela Aceco, onde a infraestrutura para suportar os sistemas críticos são replicados – um deles no edifício Rochaverá no Morumbi e outro no edifício BFC na Avenida Paulista;  Sistema de armazenamento de dados em ambos os datacenters onde as bases de dados críticas são espelhadas de forma

síncrona;

 Pool de servidores de aplicação e cluster de servidores de arquivos para os processos e sistemas críticos;  Unidades de fitas em ambos os datacenters e armazenamento externo de backup;

 Acesso remoto às aplicações críticas;

 Ferramenta de acesso aos planos de contingência acessível pela Internet;

A área de Continuidade de Negócios utiliza o sistema RPX (Recovery Planner) para gestão das ocorrências de interrupção, definição dos planos de continuidade e documentação de suporte das evidências dos testes e exercícios realizados.

Para as empresas do segmento de varejo, o plano de continuidade compreende os sites de Terceiros, como processamento de Cartões (EDS) e atendimento ao cliente (Tivit e Contax).

As diretrizes corporativas de Gestão de Continuidade de Negócios contemplam políticas, normas, procedimentos, papeis e responsabilidades visando à implementação de uma Gestão de Continuidade de Negócios e Crises efetiva na Organização, assegurando uma maior resiliência ante situações adversas.

A partir dos conceitos, princípios e diretrizes estabelecidos, o Consolidado fortalece sua estrutura de gerenciamento de riscos e sua governança corporativa, oferece maior segurança aos seus clientes e acionistas diante de imprevistos a eventuais crises e durante a recuperação até o retorno à normalidade.

A área de Segurança da Informação e Continuidade de Negócios é a estrutura responsável por coordenar as atividades de segurança da informação e continuidade de negócios no Consolidado junto às áreas de Negócio e Suporte e é, por princípio, independente no exercício de suas funções.

A aplicação da metodologia de Análise de Impacto nos Negócios (BIA – Business Impact Analysis) possibilita identificar e classificar o impacto dos processos críticos de negócios, quanto à perda financeira, riscos de imagem, reputação e legal, caso sofram algum evento que os impossibilitem a serem executados da maneira habitual. Esta disciplina da continuidade de negócios viabiliza o planejamento estratégico dos planos de contingência do Consolidado Econômico-Financeiro Votorantim e a priorização dos projetos para atender às novas necessidades e/ou a adequação dos planos existentes.

Desde a etapa de avaliação BIA (Business Impact Analysis), onde os processos de negócios do Consolidado Econômico- Financeiro Votorantim são ordenados em função do seu custo de parada, até a etapa de Análise de Criticidade, onde os mesmos são avaliados de acordo com os impactos que a organização venha a sofrer ante uma interrupção, as informações apresentadas agregam importantes indicadores para os gestores e responsáveis pela direção da empresa.

Através da Análise de Impacto aos Negócios (BIA – Business Impact Analysis) são avaliados os processos de negócio críticos, considerando que a paralisação de suas atividades poderão ocasionar perdas financeiras, danos à reputação, descumprimento de leis, regulamentos, contratos e políticas corporativas. A classificação de impacto nos processos de negócios é mensurada através das análises qualitativa, que avalia risco de imagem perante os clientes, mercado e reguladores e/ou quantitativa, que avalia potenciais impactos financeiros decorrentes de indisponibilidades.