a) Definição
É a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Inclui o risco legal, associado à inadequação ou deficiência em contratos firmados pelo Banco Daycoval, bem como às sanções em razão de descumprimento de dispositivos legais e às indenizações por danos a terceiros decorrentes das atividades desenvolvidas.
b) Estrutura de gerenciamento de risco operacional
37
A presente estrutura, além de atender os requisitos mencionados, visa também trazer outros benefícios tangíveis e intangíveis às entidades pertencentes ao conglomerado financeiro e ao consolidado econômico- financeiro:
• Incrementar o resultado dos negócios e aprimorar a “performance” dos gestores. • Prevenir e reduzir os riscos e perdas operacionais.
• Aprimorar a Governança Corporativa, o gerenciamento dos riscos e os ambientes de controles internos para fins de avaliar desempenho e reputação.
• Permitir às áreas de negócio o entendimento consolidado e monitoramento constante de informações relacionadas aos riscos inerentes às áreas.
• Fornecer subsídios para:
Tomada de decisões estratégicas das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro.
Avaliação da efetividade dos controles internos. Aprimorar as políticas de seguros.
Atendimento das exigências dos órgãos reguladores. Aprimorar a precificação de produtos e serviços.
Papéis Principais Responsabilidades
Conselho de Administração
O Conselho de Administração é responsável pela revisão e aprovação da política institucional, bem como, manifestar-se sobre as ações incluídas nos relatórios de controle submetidos ao conselho, fazer constar nos relatórios de acesso público, sua responsabilidade sobre as informações divulgadas e definir o nível de risco que as entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro devem aceitar.
Diretoria Executiva
A Diretoria Executiva é responsável por direcionar as ações necessárias ao monitoramento e à mitigação de Risco Operacional, bem como, divulgar informações ao mercado sobre a estrutura e Gerenciamento de Risco Operacional, bem como, submeter às políticas e relatórios de controle para a aprovação do Conselho de Administração.
Comitê de Risco Operacional
O Comitê de Risco Operacional tem como objetivos principais, supervisionar a Gerência de Risco Operacional e assessorar a Diretoria Executiva no desempenho de suas atribuições relacionadas à adoção de estratégias, políticas e medidas voltadas à disseminação da cultura, mitigação de riscos e da conformidade com as normas aplicáveis.
É também responsável por gerenciar situações de interrupção das operações de negócio, analisando a complexidade do cenário e seus respectivos impactos para então deliberar sobre o acionamento dos Planos de Continuidade Operacional (PCO) das áreas de negócio ou Planos de Recuperação de Desastres (PRD) da infraestrutura tecnológica, sobre a necessidade de aguardar ações corretivas em andamento ou sobre o retorno à normalidade.
O Comitê poderá convidar para participar de suas reuniões membros da administração e colaboradores internos e/ou externos, que detenham informações relevantes ou cujos assuntos constem da pauta de discussão e sejam pertinentes à sua área de atuação.
38
Papéis Principais Responsabilidades
Principais atribuições:
Definir e revisar as Políticas e Diretrizes de Risco Operacional
implementadas;
Conhecer e entender todas as categorias de riscos que estão em suas linhas
de negócios e processos de apoio, e garantir que sua estrutura de gerenciamento cubra todas as categorias;
Analisar as deficiências de controle e de Gerenciamento do Risco
Operacional, se manifestar acerca das ações a serem implementadas para correção tempestiva;
Acompanhar a situação dos principais riscos identificados e ações
direcionadas para sua mitigação;
Apontar os representantes de Risco Operacional nas diversas áreas do
Banco, bem como atribuir suas responsabilidades adicionais;
Avaliar a efetividade e conformidade da Gerência de Risco Operacional;
Acompanhar as políticas, procedimentos, responsabilidades e definições
pertinentes à estrutura de Gerenciamento de Risco Operacional e ambientes de controle;
Submeter ao Conselho de Administração os relatórios apresentados pela
Gerência de Risco Operacional;
Posicionar regularmente a Diretoria Executiva sobre as atividades do Comitê
e fazer as recomendações que julgarem apropriadas;
Propor à Diretoria Executiva e ao Conselho de Administração, a atualização
e/ou revisão da política de Gerenciamento de Risco Operacional, quando necessário.
Gerência de Risco Operacional
Compõe a estrutura de Gerenciamento de Risco Operacional, tendo como missão: implementar a estrutura, disseminar o conhecimento e subsidiar as demais áreas para aderência e comprometimento das regulamentações que visam o Gerenciamento de Risco Operacional.
Principais responsabilidades:
Aplicar metodologia para identificar, avaliar, monitorar, controlar e mitigar as causas, dos eventos de Risco Operacional (financeiros e não financeiros), junto aos gestores, coordenando e garantindo planos de ação corretivos e/ou preventivos;
Coordenar os gestores nomeados como Representantes de Risco
Operacional que terão a função de auxiliar a gestão de Risco Operacional em suas respectivas áreas;
Documentar e armazenar as informações referentes às perdas associadas ao
Risco Operacional, com objetivo de construir uma base histórica;
Facilitar a disseminação da cultura de Risco Operacional e Continuidade de
Negócios;
Adotar postura crítica dos riscos e dos ambientes de controle com o objetivo
de propor planos de ação para melhoria do processo ou implantação de controles;
Prover capacitação aos representantes de Risco Operacional e
Coordenadores de Planos de Continuidade Operacional (PCO) e Planos de Recuperação de Desastres (PRD);
Realizar testes (com periodicidade mínima anual) de avaliação dos sistemas
de controle de riscos operacionais implementados;
Acompanhar se as recomendações de melhorias dos riscos e controles
foram devidamente implementadas pelos Gestores;
Acompanhar a implantação e implementação das metodologias, modelos e
ferramentas de gestão corporativa de Risco Operacional, em conformidade com as regras aplicáveis;
Avaliar o impacto de Risco Operacional em relação aos aspectos
identificados em relatórios emitidos pelos Órgãos Reguladores, Auditorias Interna e Externa no tocante as deficiências dos controles e respectivas providências das áreas;
Orientar as ações do dia a dia em conjunto com os níveis táticos e
39
Papéis Principais Responsabilidades
Elaborar relatórios (com periodicidade mínima anual) que permitam
identificar e corrigir de forma tempestiva as deficiências de controle e de Gerenciamento do Risco Operacional, e submeter ao Comitê de Risco Operacional;
Analisar as ações que asseguram as condições de continuidade das
atividades para inibir graves perdas decorrentes de Risco Operacional;
Comunicar e disponibilizar relatório com eventuais deficiências identificadas
para o Comitê de Risco Operacional, Auditoria Interna e Externa;
Ser sênior e independente o suficiente para exercer as atividades sem
interferências e conflitos de interesse;
Acompanhar a legislação vigente, as novas regulamentações bem como as
alterações de normativos anteriormente emitidos de forma a cumprir com todas as determinações requeridas pelo órgão regulador, no tocante ao Gerenciamento de Risco Operacional;
Com base na abordagem adotada pelo Banco, calcular os valores de capital
para risco operacional a serem alocados, com base nos critérios estabelecidos pelo Banco Central do Brasil;
Viabilizar/Gerenciar a infraestrutura necessária para a GCN em momentos
de indisponibilidade de sua infraestrutura principal;
Coordenar a comunicação das deliberações do Comitê de Riscos
Operacionais a respeito de acionamento dos Planos de Continuidade Operacional (PCO) e Planos de Recuperação de Desastres (PRD);
Gerenciar os fluxos de manutenção, atualização dos documentos de suporte
a GCN sendo estes, a saber: a análise de Impacto de Negócios, a Análise de Riscos, os Planos de Continuidade Operacional (PCO) e os Planos de Recuperação de Desastres (PRD);
Gerenciar a definição e realização do cronograma de teste dos Planos de Continuidade Operacional (PCO) e Planos de Recuperação de Desastres (PRD), ao menos anualmente;
Consolidar resultados (sucessos e desvios) e definir planos de ações
mitigadores, quando necessários.
Representantes de Risco Operacional
Os representantes são integrantes da estrutura de Gerenciamento de Risco Operacional Esses representantes são os gestores das diversas áreas ou quem estes indicarem, auxiliando na estrutura de Gerenciamento de Risco Operacional e tendo como principais responsabilidades:
Conhecer e entender todas as categorias de riscos a que estão passíveis suas
linhas de negócios e processos de apoio, e garantir que sua estrutura de gerenciamento cubra todas as categorias;
Aplicar a metodologia definida para identificar, avaliar, monitorar, controlar
e mitigar as causas dos eventos de Risco Operacional (financeiros e não financeiros), junto à Gerência de Risco Operacional, e garantir a execução de planos de ação corretivas e/ou preventivas;
Facilitar a disseminação da cultura de Risco Operacional;
Adotar postura crítica dos riscos e dos ambientes de controle com o objetivo
de propor planos de ação para melhoria do processo ou implantação de controles.
c) Responsabilidades no reporte da informação
Os eventos de Risco Operacional são reportados, tão logo identificados, à Gerência de Risco Operacional, para que possam ser analisados, tratados e incluídos nos relatórios do Comitê de Risco Operacional e, de acordo com os critérios de relevância e prioridade, encaminhados à Diretoria Executiva para tomada de providências.
40
d) Procedimentos para reportar as falhas e as ocorrências
Os dados de evento de Risco Operacional serão reportados através do preenchimento dos campos do formulário para Reporte de Evento de Risco Operacional (RERO), disponível na Intranet.
e) Classificação de evento de risco operacional
• Fraudes Internas
Atos com intenção de fraudar, apropriar-se indevidamente, burlar regulamentos, a lei ou política das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro, excluindo diversidade / acontecimentos discriminatórios, que envolvam pelo menos uma parte interna.
• Fraudes Externas
Atos intencionais caracterizando fraude, apropriação indébita ou violação de regulamentações, lei ou política das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico- financeiro, excluindo eventos relativos à diversidade / discriminação.
• Demandas Trabalhistas e Segurança Deficiente do Local de Trabalho
Atos que não correspondem com as leis e contratos de serviço, saúde ou segurança, oriundos dos pagamentos relativos a danos pessoais ou eventos relativos à diversidade / discriminação.
• Práticas Inadequadas Relativas a Clientes, Produtos e Serviços
Não cumprimento, intencional ou não intencional, de uma obrigação com clientes específicos (incluindo requisitos fiduciários e de adequação) ou devido à natureza ou desenho de um produto. • Danos a Ativos Físicos Próprios ou em Uso pelas Entidades pertencentes ao Conglomerado Financeiro
e ao Consolidado Econômico-Financeiro
Perda ou dano de ativos físicos ou intangíveis (incluindo dados) devido a eventos internos ou externos, incluindo desastres naturais, atos de terrorismo ou problemas com serviços de utilidade pública.
• Aqueles que Acarretem a Interrupção das Atividades das Entidades pertencentes ao Conglomerado Financeiro e ao Consolidado Econômico-Financeiro
Perda ou dano de ativos físicos ou intangíveis (incluindo dados) devido a eventos internos ou externos, incluindo desastres naturais, atos de terrorismo ou problemas com serviços de utilidade pública que acarretam interrupção das atividades das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro.
41
• Falhas em Sistemas de Tecnologia da Informação
Erros do processamento ou falhas decorrentes dos sistemas ou em canais de comunicação que geram perdas e que impactam negativamente nas entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro ou interrompam as suas atividades.
• Falhas na execução, cumprimento de prazos e gerenciamento das atividades nas entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro
Gerenciamento e execução de processos ou processamento de transações deficientes, oriundos de relações com contrapartes e provedores em transações.
f) Causas de Risco Operacional
As causas podem ser segregadas em quatro fatores de risco: pessoas, processos, sistemas e ocorrências externas.
• Pessoas
Ações humanas intencionais ou não (erros humanos) que podem causar distintos eventos de Risco Operacional ou problemas decorrentes da falta de recursos humanos (seja na quantidade ou na capacidade técnica).
• Processos
Risco de Processos deriva da interrupção, falha ou falta de controle, desenho inadequado de processos dentro das linhas de negócio ou em processos de apoio.
• Sistemas
Deficiências decorrentes do desempenho dos sistemas; sistemas não adequados, sistemas obsoletos, falhas com a comunicação externa, alterações efetuadas em sistemas (rotinas) que incorrem em eventos em áreas distintas a área de Tecnologia. Este fator de risco considera a interrupção de comunicação para terceiros.
• Ocorrências Externas
Este fator de risco é oriundo de ocorrências externas que impactam negativamente nas entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro e relacionam-se com a deficiência decorrente da incapacidade ou ineficiência em tratar tais ocorrências.
42
g) Impactos decorrentes de Evento de Risco Operacional
• Perdas financeiras
Impacto negativo nas receitas ou nos lucros das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro, devido a um evento de Risco Operacional e que é correta e distintamente identificado.
• Impactos reputacionais
Impacto negativo à imagem das entidades pertencentes ao conglomerado financeiro e ao consolidado econômico-financeiro e que afete sua reputação perante os “stakeholders” (clientes, mercado financeiro, órgãos reguladores, fornecedores, acionistas e demais partes relacionadas). • Impactos Indiretos
São impactos negativos de difícil mensuração financeira ou gastos decorrentes de ações tomadas em função de algum evento ocorrido.
43