Risco operacional - Pilar 3 - Gerenciamentos de Riscos 30 de setembro de 2014

a) Definição

É a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Inclui o risco legal, associado à inadequação ou deficiência em contratos firmados pelo Banco Daycoval, bem como às sanções em razão de descumprimento de dispositivos legais e às indenizações por danos a terceiros decorrentes das atividades desenvolvidas.

b) Estrutura de gerenciamento de risco operacional

A presente estrutura, além de atender os requisitos mencionados, visa também trazer outros benefícios tangíveis e intangíveis às entidades pertencentes ao conglomerado financeiro e ao consolidado econômico- financeiro:

• Incrementar o resultado dos negócios e aprimorar a “performance” dos gestores. • Prevenir e reduzir os riscos e perdas operacionais.

• Aprimorar a Governança Corporativa, o gerenciamento dos riscos e os ambientes de controles internos para fins de avaliar desempenho e reputação.

• Permitir às áreas de negócio o entendimento consolidado e monitoramento constante de informações relacionadas aos riscos inerentes às áreas.

• Fornecer subsídios para:

Tomada de decisões estratégicas das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro.

Avaliação da efetividade dos controles internos. Aprimorar as políticas de seguros.

Atendimento das exigências dos órgãos reguladores. Aprimorar a precificação de produtos e serviços.

Papéis Principais Responsabilidades

Conselho de Administração

O Conselho de Administração é responsável pela revisão e aprovação da política institucional, bem como, manifestar-se sobre as ações incluídas nos relatórios de controle submetidos ao conselho, fazer constar nos relatórios de acesso público, sua responsabilidade sobre as informações divulgadas e definir o nível de risco que as entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro devem aceitar.

Diretoria Executiva

A Diretoria Executiva é responsável por direcionar as ações necessárias ao monitoramento e à mitigação de Risco Operacional, bem como, divulgar informações ao mercado sobre a estrutura e Gerenciamento de Risco Operacional, bem como, submeter às políticas e relatórios de controle para a aprovação do Conselho de Administração.

Comitê de Risco Operacional

O Comitê de Risco Operacional tem como objetivos principais, supervisionar a Gerência de Risco Operacional e assessorar a Diretoria Executiva no desempenho de suas atribuições relacionadas à adoção de estratégias, políticas e medidas voltadas à disseminação da cultura, mitigação de riscos e da conformidade com as normas aplicáveis.

É também responsável por gerenciar situações de interrupção das operações de negócio, analisando a complexidade do cenário e seus respectivos impactos para então deliberar sobre o acionamento dos Planos de Continuidade Operacional (PCO) das áreas de negócio ou Planos de Recuperação de Desastres (PRD) da infraestrutura tecnológica, sobre a necessidade de aguardar ações corretivas em andamento ou sobre o retorno à normalidade.

O Comitê poderá convidar para participar de suas reuniões membros da administração e colaboradores internos e/ou externos, que detenham informações relevantes ou cujos assuntos constem da pauta de discussão e sejam pertinentes à sua área de atuação.

Papéis Principais Responsabilidades

Principais atribuições:

Definir e revisar as Políticas e Diretrizes de Risco Operacional

implementadas;

Conhecer e entender todas as categorias de riscos que estão em suas linhas

de negócios e processos de apoio, e garantir que sua estrutura de gerenciamento cubra todas as categorias;

Analisar as deficiências de controle e de Gerenciamento do Risco

Operacional, se manifestar acerca das ações a serem implementadas para correção tempestiva;

Acompanhar a situação dos principais riscos identificados e ações

direcionadas para sua mitigação;

Apontar os representantes de Risco Operacional nas diversas áreas do

Banco, bem como atribuir suas responsabilidades adicionais;

Avaliar a efetividade e conformidade da Gerência de Risco Operacional;

Acompanhar as políticas, procedimentos, responsabilidades e definições

pertinentes à estrutura de Gerenciamento de Risco Operacional e ambientes de controle;

Submeter ao Conselho de Administração os relatórios apresentados pela

Gerência de Risco Operacional;

Posicionar regularmente a Diretoria Executiva sobre as atividades do Comitê

e fazer as recomendações que julgarem apropriadas;

Propor à Diretoria Executiva e ao Conselho de Administração, a atualização

e/ou revisão da política de Gerenciamento de Risco Operacional, quando necessário.

Gerência de Risco Operacional

Compõe a estrutura de Gerenciamento de Risco Operacional, tendo como missão: implementar a estrutura, disseminar o conhecimento e subsidiar as demais áreas para aderência e comprometimento das regulamentações que visam o Gerenciamento de Risco Operacional.

Principais responsabilidades:

Aplicar metodologia para identificar, avaliar, monitorar, controlar e mitigar as causas, dos eventos de Risco Operacional (financeiros e não financeiros), junto aos gestores, coordenando e garantindo planos de ação corretivos e/ou preventivos;

Coordenar os gestores nomeados como Representantes de Risco

Operacional que terão a função de auxiliar a gestão de Risco Operacional em suas respectivas áreas;

Documentar e armazenar as informações referentes às perdas associadas ao

Risco Operacional, com objetivo de construir uma base histórica;

Facilitar a disseminação da cultura de Risco Operacional e Continuidade de

Negócios;

Adotar postura crítica dos riscos e dos ambientes de controle com o objetivo

de propor planos de ação para melhoria do processo ou implantação de controles;

Prover capacitação aos representantes de Risco Operacional e

Coordenadores de Planos de Continuidade Operacional (PCO) e Planos de Recuperação de Desastres (PRD);

Realizar testes (com periodicidade mínima anual) de avaliação dos sistemas

de controle de riscos operacionais implementados;

Acompanhar se as recomendações de melhorias dos riscos e controles

foram devidamente implementadas pelos Gestores;

Acompanhar a implantação e implementação das metodologias, modelos e

ferramentas de gestão corporativa de Risco Operacional, em conformidade com as regras aplicáveis;

Avaliar o impacto de Risco Operacional em relação aos aspectos

identificados em relatórios emitidos pelos Órgãos Reguladores, Auditorias Interna e Externa no tocante as deficiências dos controles e respectivas providências das áreas;

Orientar as ações do dia a dia em conjunto com os níveis táticos e

Papéis Principais Responsabilidades

Elaborar relatórios (com periodicidade mínima anual) que permitam

identificar e corrigir de forma tempestiva as deficiências de controle e de Gerenciamento do Risco Operacional, e submeter ao Comitê de Risco Operacional;

Analisar as ações que asseguram as condições de continuidade das

atividades para inibir graves perdas decorrentes de Risco Operacional;

Comunicar e disponibilizar relatório com eventuais deficiências identificadas

para o Comitê de Risco Operacional, Auditoria Interna e Externa;

Ser sênior e independente o suficiente para exercer as atividades sem

interferências e conflitos de interesse;

Acompanhar a legislação vigente, as novas regulamentações bem como as

alterações de normativos anteriormente emitidos de forma a cumprir com todas as determinações requeridas pelo órgão regulador, no tocante ao Gerenciamento de Risco Operacional;

Com base na abordagem adotada pelo Banco, calcular os valores de capital

para risco operacional a serem alocados, com base nos critérios estabelecidos pelo Banco Central do Brasil;

Viabilizar/Gerenciar a infraestrutura necessária para a GCN em momentos

de indisponibilidade de sua infraestrutura principal;

Coordenar a comunicação das deliberações do Comitê de Riscos

Operacionais a respeito de acionamento dos Planos de Continuidade Operacional (PCO) e Planos de Recuperação de Desastres (PRD);

Gerenciar os fluxos de manutenção, atualização dos documentos de suporte

a GCN sendo estes, a saber: a análise de Impacto de Negócios, a Análise de Riscos, os Planos de Continuidade Operacional (PCO) e os Planos de Recuperação de Desastres (PRD);

Gerenciar a definição e realização do cronograma de teste dos Planos de Continuidade Operacional (PCO) e Planos de Recuperação de Desastres (PRD), ao menos anualmente;

Consolidar resultados (sucessos e desvios) e definir planos de ações

mitigadores, quando necessários.

Representantes de Risco Operacional

Os representantes são integrantes da estrutura de Gerenciamento de Risco Operacional Esses representantes são os gestores das diversas áreas ou quem estes indicarem, auxiliando na estrutura de Gerenciamento de Risco Operacional e tendo como principais responsabilidades:

Conhecer e entender todas as categorias de riscos a que estão passíveis suas

linhas de negócios e processos de apoio, e garantir que sua estrutura de gerenciamento cubra todas as categorias;

Aplicar a metodologia definida para identificar, avaliar, monitorar, controlar

e mitigar as causas dos eventos de Risco Operacional (financeiros e não financeiros), junto à Gerência de Risco Operacional, e garantir a execução de planos de ação corretivas e/ou preventivas;

Facilitar a disseminação da cultura de Risco Operacional;

Adotar postura crítica dos riscos e dos ambientes de controle com o objetivo

de propor planos de ação para melhoria do processo ou implantação de controles.

c) Responsabilidades no reporte da informação

Os eventos de Risco Operacional são reportados, tão logo identificados, à Gerência de Risco Operacional, para que possam ser analisados, tratados e incluídos nos relatórios do Comitê de Risco Operacional e, de acordo com os critérios de relevância e prioridade, encaminhados à Diretoria Executiva para tomada de providências.

d) Procedimentos para reportar as falhas e as ocorrências

Os dados de evento de Risco Operacional serão reportados através do preenchimento dos campos do formulário para Reporte de Evento de Risco Operacional (RERO), disponível na Intranet.

e) Classificação de evento de risco operacional

• Fraudes Internas

Atos com intenção de fraudar, apropriar-se indevidamente, burlar regulamentos, a lei ou política das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro, excluindo diversidade / acontecimentos discriminatórios, que envolvam pelo menos uma parte interna.

• Fraudes Externas

Atos intencionais caracterizando fraude, apropriação indébita ou violação de regulamentações, lei ou política das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico- financeiro, excluindo eventos relativos à diversidade / discriminação.

• Demandas Trabalhistas e Segurança Deficiente do Local de Trabalho

Atos que não correspondem com as leis e contratos de serviço, saúde ou segurança, oriundos dos pagamentos relativos a danos pessoais ou eventos relativos à diversidade / discriminação.

• Práticas Inadequadas Relativas a Clientes, Produtos e Serviços

Não cumprimento, intencional ou não intencional, de uma obrigação com clientes específicos (incluindo requisitos fiduciários e de adequação) ou devido à natureza ou desenho de um produto. • Danos a Ativos Físicos Próprios ou em Uso pelas Entidades pertencentes ao Conglomerado Financeiro

e ao Consolidado Econômico-Financeiro

• Aqueles que Acarretem a Interrupção das Atividades das Entidades pertencentes ao Conglomerado Financeiro e ao Consolidado Econômico-Financeiro

Perda ou dano de ativos físicos ou intangíveis (incluindo dados) devido a eventos internos ou externos, incluindo desastres naturais, atos de terrorismo ou problemas com serviços de utilidade pública que acarretam interrupção das atividades das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro.

• Falhas em Sistemas de Tecnologia da Informação

Erros do processamento ou falhas decorrentes dos sistemas ou em canais de comunicação que geram perdas e que impactam negativamente nas entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro ou interrompam as suas atividades.

• Falhas na execução, cumprimento de prazos e gerenciamento das atividades nas entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro

Gerenciamento e execução de processos ou processamento de transações deficientes, oriundos de relações com contrapartes e provedores em transações.

f) Causas de Risco Operacional

As causas podem ser segregadas em quatro fatores de risco: pessoas, processos, sistemas e ocorrências externas.

• Pessoas

Ações humanas intencionais ou não (erros humanos) que podem causar distintos eventos de Risco Operacional ou problemas decorrentes da falta de recursos humanos (seja na quantidade ou na capacidade técnica).

• Processos

Risco de Processos deriva da interrupção, falha ou falta de controle, desenho inadequado de processos dentro das linhas de negócio ou em processos de apoio.

• Sistemas

Deficiências decorrentes do desempenho dos sistemas; sistemas não adequados, sistemas obsoletos, falhas com a comunicação externa, alterações efetuadas em sistemas (rotinas) que incorrem em eventos em áreas distintas a área de Tecnologia. Este fator de risco considera a interrupção de comunicação para terceiros.

• Ocorrências Externas

Este fator de risco é oriundo de ocorrências externas que impactam negativamente nas entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro e relacionam-se com a deficiência decorrente da incapacidade ou ineficiência em tratar tais ocorrências.

g) Impactos decorrentes de Evento de Risco Operacional

• Perdas financeiras

Impacto negativo nas receitas ou nos lucros das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro, devido a um evento de Risco Operacional e que é correta e distintamente identificado.

• Impactos reputacionais

Impacto negativo à imagem das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro e que afete sua reputação perante os “stakeholders” (clientes, mercado financeiro, órgãos reguladores, fornecedores, acionistas e demais partes relacionadas). • Impactos Indiretos

São impactos negativos de difícil mensuração financeira ou gastos decorrentes de ações tomadas em função de algum evento ocorrido.

No documento Pilar 3 - Gerenciamentos de Riscos 30 de setembro de 2014 (páginas 36-43)