Este sistema ou módulo deverá tratar dos processos e sub-processos relacionados à Gestão de Risco Operacional e Controles Internos, devendo possuir as seguintes funcionalidades:
1- INTEGRAÇÃO COM OUTROS SISTEMAS:
O sistema deverá permitir:
1.1- a integração com os sistemas legados e com as ferramentas utilizadas pela
NOSSA CAIXA DESENVOLVIMENTO;
1.2- interface Web, compatível com MS Internet Explorer 6.0 ou superior, que permita o
acesso aos gestores dos processos.
2- DOCUMENTAÇÃO DE RISCOS, CONTROLES, WORKFLOWS E INDICADORES:
O sistema deverá permitir:
2.1- o cadastramento e o mapeamento dos processos organizacionais, aos quais serão
associados os riscos identificados, possibilitando a segmentação em macro-processo, processo e sub-processo, se necessário;
2.2- o controle dos diversos documentos utilizados na gestão dos riscos, entre eles os
processos, sub-processos, riscos, controles, planos de ação, planos de testes e perdas operacionais;
os riscos da instituição, facilitando a sua associação aos processos internos;
2.4- possuir ferramenta de workflow para que os gestores possam encaminhar
documentos uns aos outros, de modo a delegar tarefas, atribuir responsabilidades, completar informações e controlar projetos em andamento. Deverão ser informadas, através do workflow, as etapas pelas quais um documento deve passar, antes da sua aprovação em definitivo;
2.5- a criação pelos gestores dos tipos de documentos, com campos personalizados, e
o workflow desejado;
2.6- a configuração da hierarquia dos documentos, que traduz, em parte, a metodologia
de gestão dos riscos. Essa hierarquia possibilitará que os documentos estejam bem organizados e sejam de rápida localização;
2.7- a criação de formulários onde possam ser incluídos os objetivos do processo, as
áreas envolvidas, os responsáveis, entre outros;
2.8- a atribuição de pesos dos riscos baseados no impacto da possível ocorrência das
perdas;
2.9- o cadastro de indicadores de risco, para servirem como ferramenta de gestão de
desempenho.
3- PLANOS DE AÇÃO, CONTROLES E TESTES:
O sistema deverá permitir:
3.1- a criação de planos de ação para resolver deficiências em controles ou para
remediar processos;
3.2- o controle dos planos de ação a vencer e vencidos, enviando avisos aos
responsáveis;
3.3- a associação de controles aos riscos identificados, classificando-os segundo a
efetividade e eficiência e verificando, ainda, se são controles-chave e se são manuais ou automatizados;
3.4- o cadastramento de planos de testes, para verificar se os controles realmente
funcionam e identificar deficiências (gaps), porventura existentes;
3.5- o controle de incidentes decorrentes de falhas operacionais, monitorando a
situação das ocorrências abertas, a fim de apoiar a instituição a realizar os ajustes internos necessários e evitar perdas futuras;
3.6- a geração de avisos sobre prazos de políticas de riscos e planos de ação,
reavaliação de controles, entre outros. Os avisos devem ser encaminhados por e-mail aos responsáveis;
3.7- que arquivos em formato Word, Visio, Excel e demais ferramentas utilizadas pela
deve permitir evidenciar testes, anexando comprovações em planos de teste, desenhando fluxos e detalhando projetos e planos de ação);
3.8- o registro do histórico de alterações realizadas nos documentos cadastrados,
permitindo que os gestores comparem as versões anteriores e identifiquem campos modificados, excluídos e incluídos;
3.9 - a reavaliação dos controles e dos riscos, através do envio de questionários, pelos
gestores de riscos, aos encarregados dos controles, que os respondem e retornam à área de riscos;
3.10- após a revisão dos controles, devem ser enviados avisos aos gestores de riscos
para que estes verifiquem se as probabilidades mudaram e, se for o caso, reavaliem os impactos e riscos residuais;
3.11- o controle das atividades envolvidas nos ciclos de auto-avaliação;
3.12- a execução de teste do cumprimento de normativos internos e externos, que
pode ser dividido em cinco fases:
3.12.1- cadastro e classificação das normas, quanto ao impacto de cada uma; 3.12.2- verificação da conformidade das normas nas áreas e processos de negócio; 3.12.3- consolidação dos resultados em relatório de compliance, que apresente o
diagnóstico das conformidades;
3.12.4- instituição e registro de planos de ação, se necessário;
3.12.5- consolidação das informações através de relatórios e gráficos; 3.13- a geração de alertas, baseados em critérios e sinalizadores visuais;
3.14- a geração e disponibilização das trilhas de auditoria de eventos (cadastramentos,
exclusões, alterações, etc.), para acompanhamento e monitoramento das ações dos diversos usuários pelo auditor da instituição;
3.15- o controle das tarefas atribuídas aos gestores, informando, inclusive, as tarefas
de cada um quando de seu “logon”.
4- REGISTRO DE PERDAS E FALHAS OPERACIONAIS:
O módulo deverá permitir:
4.1- o registro de incidentes decorrentes de falhas operacionais, ou seja, aqueles em
que não houve custo financeiro. Os incidentes devem ser capturados automaticamente de sistemas operacionais ou informados por auditores, a partir da identificação de não conformidades;
4.2- a gestão ampla das perdas, com o registro, além do evento, da data e do valor da
poderiam evitar a sua ocorrência;
4.3- o complemento de informações através de workflow e, em seguida, associá-la a
um processo ou risco armazenado;
4.4- capturar perdas operacionais através de documento do sistema e/ou integração
com o sistema contábil da instituição.
5- CÁLCULOS, FERRAMENTAS ESTATÍSTICAS E TESTES:
O módulo deverá permitir:
5.1- a qualificação e quantificação dos riscos, medindo os impactos através de
premissas e calculando os riscos residuais mediante a combinação “probabilidade x impacto”;
5.2- a análise estatística que possibilitem: análise descritiva de dados; cálculo, análise
e inferência de distribuições de freqüência e severidade; testes de ajustes; predições de perdas e modelos causais para identificação da influência dos fatores de risco na mensuração das perdas;
5.3- a apuração do VaR, bem como realizar ajustes associados à performance dos
indicadores qualitativos;
5.4- a realização de backtesting nas metodologias utilizadas para a mensuração do
risco operacional;
5.5- a geração de cenários, possibilitando a avaliação dos efeitos das mudanças nos
fatores de risco, baseados em eventos históricos ou hipotéticos.
6- RELATÓRIOS:
O módulo deverá permitir a disponibilização de relatórios/telas de consultas:
6.1- customizados por perfil de usuário, nos formatos Word, Excel e PDF, e também a
sua visualização na tela;
6.2- através de gráficos que abordem todas as necessidades decorrentes da prática do
gerenciamento do risco operacional;
6.3- perdas, segmentados por áreas, processos e eventos;
6.4- que possibilite a rápida visualização dos documentos cadastrados, permitindo que
essas consultas sejam configuradas pelos próprios gestores, que indicam os campos a serem exibidos, assim como as opções de filtro e ordenação;
6.5- consolidados de matrizes de risco, os mapas de controle e os demonstrativos de
7- SEGURANÇA:
O módulo deverá permitir:
7.1- o acesso aos documentos a partir de senhas e outros dispositivos de segurança; 7.2- que o acesso aos arquivos anexados seja controlado, ou seja, os gestores só
poderão alterar os arquivos a partir do sistema, garantindo maior integridade aos documentos.