POLÍTICA DE GERENCIAMENTO DE RISCO OPERACIONAL

Transcrição

1 NORMATIVOS INTERNOS POLÍTICA GERENCIAMENTO DE RISCO OPERACIONAL Data: MAI/2018 POLÍTICA DE GERENCIAMENTO DE RISCO OPERACIONAL Abrangência: Haitong Banco de Investimento do Brasil S/A Conglomerado Prudencial 1

2 ÍNDICE 1. OBJETIVO ABRANGÊNCIA RISCO OPERACIONAL DEFINIÇÃO E LEGISLAÇÃO... 3 RISCO OPERACIONAL EVENTOS ESTRUTURA DO GERENCIAMENTO DO RISCO OPERACIONAL LINHAS DE DEFESA NA ESTRUTURA DO GERENCIAMENTO DO RISCO OPERACIONAL CRITÉRIOS DE DECISÃO QUANTO A TERCEIRIZAÇÃO DE SERVIÇOS E DE SELEÇÃO DE SEUS PRESTADORES GOVERNANÇA DE TI CONSISTENTE COM OS NÍVEIS DE APETITE POR RISCOS ESTABELECIDOS NA RAS (RISK APPETITE STATEMENT) SISTEMAS, PROCESSOS E INFRAESTRUTURA DE TI PARA O GERENCIAMENTO DO RISCO OPERACIONAL ANÁLISE DE CENÁRIOS PERIÓDICOS CONTRATOS REFERENTES A PRESTAÇÃO DE SERVIÇOS TERCEIRIZADOS DE TI PROCESSOS DO GERENCIAMENTO DO RISCO OPERACIONAL SISTEMA GRO BASE DE DADOS DE RISCO OPERACIONAL EVENTOS COM PERDAS POTENCIAIS E EFETIVAS, DECORRENTES DO RISCO OPERACIONAL APONTAMENTOS DAS AUDITORIAS CAPACITAÇÃO DE PROFISSIONAIS POLÍTICA DE NOVOS PRODUTOS / SERVIÇOS DEMAIS POLÍTICAS E IMPACTOS NO RISCO OPERACIONAL REPORTES DO GERENCIAMENTO DO RISCO OPERACIONAL RESPONSABILIDADES NO GERENCIAMENTO DO RISCO OPERACIONAL APURAÇÃO DO REQUERIMENTO DE CAPITAL PARA RISCO OPERACIONAL MATRIZ DE RISCOS DEFINIÇÃO CULTURA ORGANIZACIONAL AO GERENCIAMENTO DO RISCO OPERACIONAL RISCOS OPERACIONAIS NAS DEMONSTRAÇÕES FINANCEIRAS PROGRAMA DE TESTES DE ESTRESSE ATUALIZAÇÃO DO NORMATIVO

3 1. OBJETIVO O objetivo desse documento é a definição da Política de Gerenciamento do Risco de Operacional do Conglomerado Prudencial Haitong Brasil, no âmbito da Gestão Integrada de Riscos, segundo os princípios da Resolução 4.557, de 23 de fevereiro de 2017, pela qual as instituições financeiras autorizadas a funcionar pelo BACEN devem manter estrutura de gerenciamento do risco operacional compatível com a natureza das suas operações, a complexidade dos produtos e serviços oferecidos e a dimensão da sua exposição a esse risco. A Política de Gerenciamento do Risco Operacional, além de atender os aspectos regulatórios, está baseada nos princípios, estratégias, tolerância e apetite de risco definidos pelo acionista. A estrutura para o gerenciamento do risco operacional do Haitong Brasil prevê políticas, estratégias e processos que visam identificar, mensurar, avaliar e monitorar, diariamente, o risco operacional a qualquer momento, tanto para situações normais quanto de estresse. Através de seus processos, o Haitong Brasil procura monitorar seus eventos de risco operacional em nível adequado ao seu porte e perfil de instituição financeira. 2. ABRANGÊNCIA O presente documento define a estrutura de gerenciamento do Risco Operacional para o Conglomerado Prudencial Haitong Brasil (Haitong Banco de Investimento do Brasil S.A., Haitong Securities do Brasil CCVM S.A., Haitong DTVM do Brasil S.A., Haitong Negócios S.A. e Haitong do Brasil Participações Ltda.) enquadrado atualmente no Segmento 3 (S3) da Resolução de 30 de janeiro de 2017 estabelecida pelo BACEN (Banco Central do Brasil). 3. RISCO OPERACIONAL DEFINIÇÃO E LEGISLAÇÃO O risco operacional definido corporativamente pelo Haitong Brasil, e amparado pela Resolução nº de 23 de fevereiro de 2017, está na possibilidade de ocorrência de perdas resultantes de eventos externos ou de falha, deficiência ou inadequação de processos internos, pessoas ou sistemas. A definição inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, às sanções em razão de descumprimento de dispositivos legais e às indenizações por danos a terceiros decorrentes de atividades desenvolvidas pela instituição. RISCO OPERACIONAL EVENTOS Os eventos de risco operacional são classificados em: a) Fraudes internas; b) Fraudes externas; c) Demandas trabalhistas e segurança deficiente do local de trabalho; d) Práticas inadequadas relativas a clientes, produtos e serviços; e) Danos a ativos físicos próprios ou em uso pela instituição; f) Situações que acarretem a interrupção das atividades da instituição; g) Falhas em sistemas, processos ou infraestrutura de tecnologia da informação (TI); h) Falhas na execução, no cumprimento de prazos e no gerenciamento das atividades da instituição. Os eventos de ocorrência, conforme legislação vigente, são classificados em sistema de registro intitulado de GRO Gerenciamento do Risco Operacional, para formalizar, categorizar e armazenar os tipos das ocorrências com perdas efetivas ou perdas potenciais decorrentes de risco operacional. 3

4 4. ESTRUTURA DO GERENCIAMENTO DO RISCO OPERACIONAL A estrutura de gerenciamento integrado de riscos no Haitong Brasil, possui ferramentas adequadas suficientes para avaliar, gerenciar e monitorar o risco operacional decorrente de suas atividades, incluindo serviços terceirizados relevantes, para o funcionamento regular da instituição (organograma completo previsto na política da GIR - GESTÃO INTEGRADA DE RISCOS ). A identificação dos eventos, análises e meios de mitigação de risco operacional (perdas potenciais e efetivas) no Haitong Brasil, é realizada conjuntamente com o Departamento de Compliance e Auditoria Interna. 5. LINHAS DE DEFESA NA ESTRUTURA DO GERENCIAMENTO DO RISCO OPERACIONAL O Haitong Brasil adota o conceito das Três Linhas de Defesa para um eficiente gerenciamento do risco operacional, com funções e responsabilidades definidas, conforme segue: a) Primeira linha de defesa: a área de negócios (Front-Office), no qual possui contato direto com os clientes, é responsável por identificar, mensurar, avaliar e mitigar os riscos de seu negócio; As áreas de negócios (Front-Office) têm riscos operacionais inerentes e são responsáveis por cumprir os controles internos existentes para mitigá-los, e/ou implementar ações corretivas para resolver deficiências em seus processos e controles. b) Segunda linha de defesa: o Comitê de Riscos e as áreas de Controle de Riscos, Compliance/Controles Internos e TI Segurança fazem parte desta linha de defesa, na qual possuem funções de gerenciamento integrado de riscos e conformidade (Compliance), que conjuntamente com as áreas de negócios (Front-Office), realizam monitoramento a fim de assegurar que a Primeira linha de defesa tenha identificado, avaliado e mitigado efetivamente, seus eventuais riscos de negócio. c) Terceira linha de defesa: composta pelo suporte da Diretoria e do Conselho de Administração, na qual é representada pela Auditoria Interna, que, de modo independente, revisa e valida as atividades das duas primeiras linhas de defesa além de contribuir para seu aprimoramento. 6. CRITÉRIOS DE DECISÃO QUANTO A TERCEIRIZAÇÃO DE SERVIÇOS E DE SELEÇÃO DE SEUS PRESTADORES A seleção e contratação de prestadores de serviços, está amparada pela política intitulada de Política de Contratação de Prestadores de Serviços (disponibilizada no portal da Intranet). Toda intenção de terceirização é levada à discussão e aprovação da Diretoria Executiva. O Departamento Jurídico e a área contratante são responsáveis por analisar e aprovar os contratos dos prestadores de serviços, que devem conter cláusulas mínimas necessárias para mitigar o risco operacional, de acordo e pertinente ao serviço contratado, amparados pela legislação vigente. 4

5 7. GOVERNANÇA DE TI CONSISTENTE COM OS NÍVEIS DE APETITE POR RISCOS ESTABELECIDOS NA RAS (RISK APPETITE STATEMENT) A área de TI está estruturada com reporte direto a um Vice-Presidente com funções executivas para o acompanhamento das atividades diárias. Porém, cabe ao Comitê de TI a decisão sobre investimentos, alterações sistêmicas e de infraestrutura, terceirizações, contratações de prestadores de serviços (ainda que temporárias) e outros assuntos de maior complexidade. O Comitê de TI direciona a atuação de TI do Haitong Brasil para atender às necessidades do Banco, dentro da estratégia e apetite por riscos definidos pela Administração. 8. SISTEMAS, PROCESSOS E INFRAESTRUTURA DE TI PARA O GERENCIAMENTO DO RISCO OPERACIONAL A área de TI é responsável pelo gerenciamento do parque geral de informática do Haitong Brasil, que abrange infraestrutura, hardware, software, sistemas, ambiente de segurança e demais ferramentas necessárias para o adequado e seguro processamento das informações e acesso a estas pelos usuários autorizados. A área de TI é responsável por assegurar integridade, segurança e disponibilidade dos dados e dos sistemas de informações aos usuários internos, e para isso, utiliza-se de soluções e ferramentas adequadas, parametrizadas dentro de políticas de segurança e com trilhas de auditoria que possibilitam acompanhar todos os acessos e manuseio nas informações. Os sistemas e processos de TI são robustos e adequados às necessidades do Haitong Brasil, e às mudanças previstas de modelo de negócio, tanto em circunstâncias normais quanto em período de estresse. A área de TI possui área de segurança da informação, com profissionais capacitados e treinados para as atividades pertinentes, com o objetivo de prevenir, detectar e reduzir a vulnerabilidade do ambiente, inclusive ataques digitais, com ferramentas e procedimentos específicos e pontuais. 9. ANÁLISE DE CENÁRIOS PERIÓDICOS A área de Controle de Riscos efetua análise dos cenários de risco operacional (¹Matriz de Riscos perdas potenciais e perdas efetivas decorrentes do risco operacional), com periodicidade mensal, com o objetivo de monitorar o perfil de riscos na instituição, estimar a exposição do Haitong Brasil a eventos de risco operacional raros e de alta severidade, que possam ser considerados para a alocação de capital (detalhamento da política previsto na Política de Gerenciamento de Capital, disponibilizada no portal da Intranet da Instituição). 10. CONTRATOS REFERENTES A PRESTAÇÃO DE SERVIÇOS TERCEIRIZADOS DE TI O Departamento Jurídico é responsável por fazer constar nos contratos junto aos prestadores de serviços terceirizados de TI, a permissão do Banco Central do Brasil a: - Termos firmados; - Documentos e informações referentes a serviços prestados; - Dependências do contratado. Assim, todos os contratos nas condições citadas contêm as cláusulas devidas, sendo pré-requisito obrigatório e indispensável à contratação. ¹Matriz de riscos: matriz com o resumo das principais atividades que devem ser desenvolvidas por cada elemento é apresentada a partir do item 18 desta política. 5

6 11. PROCESSOS DO GERENCIAMENTO DO RISCO OPERACIONAL Os macroprocessos de gerenciamento do risco operacional são: a) Mapeamentos de todos os eventos potenciais decorrentes do risco operacional, com revisão anual (¹Matriz de Riscos); b) Registros de todas as ocorrências decorrentes do risco operacional (com ou sem perda financeira efetiva) pelos gestores das áreas da instituição, através do sistema implementado GRO Gerenciamento do Risco Operacional ; c) Análise de informações relevantes recebidas através de corporativo direcionado às áreas de Compliance e Controle de Riscos, para complemento aos registros ocorridos junto ao sistema GRO-Gerenciamento do Risco Operacional e; d) Análise integrada do risco operacional, em conjunto com os riscos de crédito, mercado, liquidez, socioambiental (e outros), avaliando as relações de causa e efeito que possam acarretar nos demais riscos e afetar o capital do Banco. Tudo isso realizado pela área de Controle de Riscos. 12. SISTEMA GRO BASE DE DADOS DE RISCO OPERACIONAL A base de dados de riscos operacionais do Haitong Brasil é armazenada no sistema implementado GRO Gerenciamento do Risco Operacional. O sistema foi desenvolvido internamente no Haitong Brasil, e recebe os registros de eventos de perdas potenciais e perdas efetivas, decorrentes de risco operacional EVENTOS COM PERDAS POTENCIAIS E EFETIVAS, DECORRENTES DO RISCO OPERACIONAL Perda operacional é definida como o valor quantificável associado aos eventos de risco operacional. Os eventos decorrentes de risco operacional, com perdas operacionais são registrados no sistema GRO, com as seguintes informações: a) Data da ocorrência; b) Área, nome e responsável pelo registro; c) Tipo do evento de risco (conforme Resolução 4557 do Bacen, são 08 tipos descritos no item 2.1. desta política), e grau do risco, respectivamente; d) Descrição e detalhamento da ocorrência; e) Valor envolvido (o qual poderá ser valor do boleto da operação, da fatura, etc.); f) Classificação do evento de risco (conforme eventos da Resolução 4557 do Bacen); g) Descumprimento de normativo (identificado); h) Perda financeira efetiva (sim/não) e seu respectivo valor; i) Impacto operacional (apresentação da métrica utilizada correspondente ao evento selecionado do registro); j) Se evento recorrente (sim / não); k) Possibilidade de anexar evidências e documentos do processo; l) Se associado a outra ocorrência (detalhar/vincular ao evento de origem); m) Registro da atuação do Compliance e resultado da ação aplicada; n) Validação do registro pelo Compliance e Controle de Riscos. O responsável pela área do evento ocorrido, participa do registro da ocorrência, inclusive da justificativa e detalhamento geral. As informações relevantes adicionais (se houver), devem ser enviadas através de corporativo direcionadas às áreas de Compliance e Controle de Riscos. 6

7 Os eventos potenciais do risco operacional são situações de exposição a serem consideradas no gerenciamento do risco operacional e, se aplicado, à alocação de capital, o que levará em consideração os controles internos e demais situações mitigadoras do risco incorrido. São considerados todos os riscos na análise de Risco Operacional (Risco de Crédito, Risco de Liquidez, Risco de Mercado, Risco de Reputação e Imagem e Risco Socioambiental). Todos os eventos decorrentes de risco operacional no Haitong Brasil, devem ser registrados e acompanhados pelo Responsável da respectiva área de origem, através do sistema GRO. Além disso, qualquer eventual área envolvida poderá alertar à área do registro do evento de origem, através de corporativo, copiando a área de Compliance e Controle de Riscos, para que as áreas competentes possam monitorar e mensurar todos os eventos da Instituição. 13. APONTAMENTOS DAS AUDITORIAS Os apontamentos emitidos pela Auditoria Interna, Auditoria Externa e por demais entidades reguladoras e auto reguladoras são consolidados e monitorados pelo Compliance, com periodicidade mensal. A área de Compliance encaminha estes relatórios de apontamentos à área de Controle de Riscos, para respectivas análises e mensurações dos riscos identificados. 14. CAPACITAÇÃO DE PROFISSIONAIS A equipe de gerenciamento de riscos operacionais é tecnicamente capacitada para as atividades de identificar, avaliar, monitorar, controlar e mitigar os riscos operacionais associados aos processos do Haitong Brasil. A equipe participa periodicamente de cursos, palestras e eventos relacionados a riscos operacionais, para reciclagem e conhecimento de assuntos relacionados. Os prestadores de serviços relevantes do Haitong Brasil participam de treinamentos gerais junto aos colaboradores, como por exemplo PLD/CFT (Prevenção a lavagem de Dinheiro e Combate ao Financiamento ao Terrorismo). 15. POLÍTICA DE NOVOS PRODUTOS / SERVIÇOS O Comitê de Produtos no Haitong Brasil é instituído para discutir, analisar e aprovar novos produtos e serviços, ou alterações relevantes nestes. As análises do Comitê de Produtos incluem os impactos dos riscos operacionais relacionados aos novos produtos e serviços ou revisões, e meios de mitigar a exposição ao risco operacional (implantação de controles, sistemas ou processos mitigadores). 16. DEMAIS POLÍTICAS E IMPACTOS NO RISCO OPERACIONAL O risco operacional está presente em todas as operações, atividades e rotinas operacionais, sistemas e procedimentos internos. A Alta Administração do Haitong Brasil é ciente do fato, e determina às suas áreas de controles que o risco operacional seja analisado e considerado em todas as atividades, rotinas, sistemas e procedimentos internos, incluindo: 7

8 - Alteração de procedimentos e sistemas, e políticas relacionadas; - Controles para identificar previamente os riscos aos novos produtos e serviços, ou alterações quando aplicável; - Análise de responsabilidades, com a adequada segregação; - Operações e modelos de negócios; - Alterações societárias; - Alterações macroeconômicas; - Estratégias de proteção hedge; e - Iniciativas de assunção de riscos. 17. REPORTES DO GERENCIAMENTO DO RISCO OPERACIONAL a) Periodicidade Semanal: deve ser enviado todo 1º dia útil da semana, com referência à semana anterior, o relatório elaborado e intitulado como Perdas Decorrentes do Risco Operacional - Semanal, para as análises internas do GIR - GESTÃO INTEGRADA DE RISCOS e enviado a matriz em Portugal. O relatório demonstra eventos, por área, com valores, justificativas e ações corretivas e preventivas. Se houver eventos sobre perdas operacionais relevantes, com valores acima de EUR 5 mil ou com valor base da operação/contrato maior que EUR 1 milhão, devem ser reportados com detalhamento adicional e de forma pontual. b) Periodicidade Mensal: deve ser enviado até o 2º dia útil do mês, com referência ao mês anterior, o relatório elaborado e intitulado Perdas Decorrentes do Risco Operacional - Mensal, para as análises internas do GIR - GESTÃO INTEGRADA DE RISCOS, apresentação e discussão pelo Comitê de Riscos e envio a matriz em Portugal. c) Periodicidade Semestral: envio do relatório elaborado pela área de Compliance, intitulado como Relatório de Controles Internos, onde é detalhada a atuação do gerenciamento do risco operacional no período pertinente. Constam eventuais informações referentes às perdas operacionais relevantes. d) Periodicidade Anual: todo mês de janeiro, conforme previsto na Resolução 4557 do Bacen, a área de Controle de Riscos elabora o relatório intitulado de Relatório Anual do Gerenciamento do Risco Operacional, consolidando as atividades e atuação da área responsável, registrando todas as intervenções operacionais da área, testes dos controles e eventuais correções de deficiências, visando minimizar riscos operacionais nos negócios. Sendo assim, o relatório prevê, entre outras informações, eventuais violações à RAS ou de limites similares (se for o caso). Contempla eventos e perdas internas materiais de Riscos Operacionais, com detalhes dos casos mais recentes, eventos com cenários e impactos potenciais alocados ao capital do Haitong Brasil. Este relatório é formalizado e validado pelo Conselho de Administração, Auditoria Interna, Diretoria, CRO, Compliance e Controle de Riscos, com orientação para adequação do capital regulamentar (quando for o caso), o qual ficará custodiado e disponível para consulta prevista na lei vigente. 8

9 18. RESPONSABILIDADES NO GERENCIAMENTO DO RISCO OPERACIONAL 18.1 Comitê de Risco Operacional Os eventos de riscos operacionais são discutidos em comitê, conforme própria definição do fórum. Sua responsabilidade é: - Analisar as perdas efetivas decorrentes do risco operacional apresentadas; - Analisar as ocorrências de perda potencial decorrentes do risco operacional apresentadas; - Suportar e contribuir para o aculturamento dos funcionários e colaboradores à prevenção do risco operacional; - Aprovar a Política de Gerenciamento de Risco Operacional e; - Supervisionar as atividades de gerenciamento do risco operacional, estabelecidas nesta política Área de Controle de Riscos - Propor e rever a Política do Gerenciamento do Risco Operacional a ser aprovada pela Comissão Executiva da Instituição, com periodicidade anual; - Calcular e mensurar os requisitos de capital de risco operacional com base nas informações registradas no sistema GRO ; - Monitorar o Gerenciamento Integrado de Riscos, considerando os riscos operacionais na análise conjunta com demais riscos incorridos na Instituição (considerando a associação a risco de mercado e a risco de crédito); - Propor e rever limites e intervalos de tolerância de risco operacional, bem como organizar o seu cálculo e manter a base de dados atualizada além de revisar todos os parâmetros para os cálculos do risco operacional; - Assegurar a identificação, avaliação e categorização dos registros de risco operacional; - Definir e monitorar indicadores de risco e seus limites e; - Reportar regularmente os relatórios de risco operacional aos responsáveis, inclusive as perdas operacionais relevantes, conforme periodicidades definidas no item 16 desta política Compliance - Dentro de suas atribuições, informar riscos identificados à área de Controle de Riscos, e mitigadores implementados ou em implementação; - Consolidar informações do gerenciamento de riscos em relatórios de controles internos (em atendimento ao Banco Central do Brasil e ao Banco de Portugal); - Acompanhar e validar o plano e estruturação de continuidade de negócios e plano de contingência e; - Estimular cultura organizacional aos riscos operacionais no Haitong Brasil Diretoria - Tomar ações corretivas quando cientificada de exposição aos riscos operacionais e; - Estimular cultura organizacional aos riscos operacionais no Haitong Brasil CRO Chief Risk Officer - Responsável formal pelo gerenciamento integrado de riscos no Haitong Brasil; - Suas atividades estão descritas no item 17.1 e 17.2 acima e; - Estimular cultura organizacional aos riscos operacionais no Haitong Brasil Jurídico - Garantir a correta e completa formalização dos documentos e contratos firmados entre o Haitong Brasil e terceiros (clientes, fornecedores, contrapartes, órgãos reguladores, funcionários e outros). Tais ações visam prevenir possíveis litígios e sanções em razão de descumprimento de 9

10 dispositivos legais e indenizações por danos a terceiros, decorrentes das atividades desenvolvidas pelo Haitong Brasil Gestores de Áreas - Acompanhamento e atenção aos procedimentos de sua área, para identificar necessidades de controle para mitigar risco operacional; - Registrar todas as ocorrências de sua respectiva área, em até D+2 da data do evento ocorrido, através do sistema GRO onde qualquer evento pontual será discutido conjuntamente com a área de Compliance; - Informar via corporativo copiando a área de Compliance e Controle de Riscos, em até D+2, qualquer evento que tenha envolvimento (seja direto ou indireto) com sua própria área ou que traga algum impacto negativo à sua área; - Informar ao Compliance qualquer alteração nos processos da área, para as medidas preventivas de controles e mitigação de riscos e; - Estimular cultura organizacional aos riscos operacionais em suas áreas de atuação Tecnologia da Informação - Assegurar que o ambiente de processamento de dados permaneça disponível aos colaboradores responsáveis pelos respectivos processos; - Assegurar a segurança de acesso às informações processadas; - Manter os sistemas SCI e GRO em funcionamento continuo e provendo as customizações solicitadas pelas respectivas áreas responsáveis, para as melhorias e adequações necessárias e; - Revisar periodicamente o plano de Continuidade dos Negócios do Haitong Brasil, conduzindo testes de adequação Auditoria Interna - Validar periodicamente o gerenciamento do risco operacional no Haitong Brasil, e emitir relatório com parecer e; - Considerar o risco operacional nos trabalhos de auditoria interna Funcionários e Colaboradores Participar na gestão de risco operacional, informando ao Controle de Riscos falhas ou exceções identificadas além de qualquer sugestão de melhoria nos procedimentos e controles internos executados pelos mesmos. 19. APURAÇÃO DO REQUERIMENTO DE CAPITAL PARA RISCO OPERACIONAL De acordo com a Resolução nº 4.193, os requisitos mínimos de Nível I e de Capital Principal a ser mantido pelas instituições passou a ser dado pelo montante dos ativos ponderados pelo risco (RWA), que consiste na soma de três parcelas, cada uma delas relativa a uma natureza de risco: RWA = RWACPAD + RWAMPAD + RWAOPAD. Risco de Crédito (RC) Risco de Mercado (RM) Risco Operacional (RO) De acordo com o disposto na Circular nº 3.640/2013 do Banco Central do Brasil, o cálculo dessa parcela (RWAOPAD) pode ser efetuado com base em uma das seguintes metodologias, a critério da instituição financeira: Abordagem do Indicador Básico; Abordagem Padronizada Alternativa; Abordagem Padronizada Alternativa Simplificada. 10

11 No Haitong Brasil o cálculo da parcela do RWAOPAD está a cargo do Departamento Financeiro (Controle de Gestão) que em seguida valida os números com a Auditoria Interna e somente após essa etapa os cálculos e números que preencherão o documento DLO é enviado ao Departamento de Controle de Riscos. A metodologia de cálculo adotada pelo Haitong Brasil é a Abordagem Padronizada Alternativa Simplificada, conforme detalhamento contido no artigo 7º da circular nº 3.640/2013, alterada pelas Circulares nº s 3.675/13, 3.739/2014 e 3.754/2015 do Banco Central do Brasil. Toda a metodologia de cálculo da abordagem utilizada pela Instituição foi definida seguindo os critérios de consistência e passíveis de verificação. Além disso, encontra-se devidamente formalizada. 20. MATRIZ DE RISCOS DEFINIÇÃO A Matriz de Gerenciamento dos Riscos Operacionais do Haitong Brasil é composta por procedimentos, eventos de riscos operacionais e métricas desenvolvidas para a possível apuração e ponderação do grau de risco, conforme prevê a Resolução 4557 do Bacen e considerando os controles mitigadores existentes na Instituição. a) Procedimentos e eventos de CI (Controles Internos): são as tarefas dos funcionários das diversas áreas, previamente identificados com periodicidade e responsabilidades individuais definidas. Estes procedimentos são gerenciados através do SCI, monitorados pelo Compliance, do qual há envio de informações financeiras ao órgão regulador, com periodicidade mensal (maior detalhamento dos procedimentos estão previstos na Política específica do Compliance). b) Ocorrências de eventos de riscos operacionais: são registros dos possíveis eventos de riscos operacionais, cadastrados através do sistema GRO, monitorados pela área de Controle de Riscos. Os gestores das áreas relacionadas na instituição são responsáveis por acompanharem e garantirem que todos possíveis eventos relevantes identificados sejam registrados no sistema GRO e a execução de seus respectivos controles mitigadores preventivos são monitorados individualmente em suas áreas. Há reportes à Diretoria, com periodicidade semanal, mensal e anual, conforme descrito nesta política. c) Métricas de apuração do grau de risco operacional: a área de Controle de Riscos, através das informações relevantes recebidas pelo Compliance (via ), faz o levantamento das ocorrências de riscos operacionais registradas por cada gestor das áreas relacionadas, em conjunto com o método de cálculo estabelecido para realizar a apuração do grau de risco operacional da instituição. Como exemplo: Evento = Valor envolvido * Peso, considerando a legislação pertinente ao evento registrado, onde: Evento = valor a ser atribuído ao evento de risco operacional registrado no sistema GRO com seus devidos detalhamentos; Valor envolvido = valor da operação ou evento de risco operacional envolvido; Peso = percentual atribuído ao evento de risco operacional podendo ser tomado através do padrão da categoria em que se enquadra (análise coletiva) ou definido individualmente de acordo com a sua especificidade (análise individual). Considerando todos as informações relevantes, histórico da instituição e o método de cálculo para apuração do grau de risco operacional, é possível realizar o cruzamento e ponderação destes indicadores, extraindo o grau de probabilidade de risco (perda potencial) x o grau de impacto risco incorrido (perda efetiva) como análise em bases históricas. Todas as informações são importantes a implantação de mitigadores indispensáveis para a prevenção de novos eventos de riscos operacionais. 11

12 21. CULTURA ORGANIZACIONAL AO GERENCIAMENTO DO RISCO OPERACIONAL O Compliance mantém interação constante e direta com os gestores e funcionários em geral, conscientizando-os sobre a existência do risco operacional, e a importância de atenção para a sua prevenção nas atividades rotineiras. A participação do Compliance nos Comitês do Haitong Brasil é primordial para a consideração do risco operacional nas discussões, seja em novos produtos, ferramentas de informática, implantação de sistemas ou participação em operações de mercado de capitais. O Compliance mantém rotinas de informações periódicas aos funcionários sobre o risco operacional e a importância de sua prevenção, através de comunicados e treinamentos periódicos. 22. RISCOS OPERACIONAIS NAS DEMONSTRAÇÕES FINANCEIRAS Em atendimento à legislação, é publicado em conjunto com as demonstrações financeiras semestrais, resumo da descrição da estrutura de gerenciamento de risco operacional no Haitong Brasil. 23. PROGRAMA DE TESTES DE ESTRESSE Conforme Resolução 4557 do Bacen, o Haitong Brasil tem definido o conjunto coordenado de processo e rotinas, dotado de metodologias, documentação e governança próprias, com o objetivo principal de identificar potenciais vulnerabilidades da instituição, já estabelecido em nos itens descritos nesta política, os quais ainda destacamos: - Revisão permanente e montagem contínua de novos cenários e indicadores; - Análise detalhada de novos produtos para identificar riscos potenciais e respectiva adequação ao controle sistêmico implementado em banco de dados corporativo do Haitong Brasil, intitulado Data Mart ; - Monitoramento da integração e agregação de interações entre riscos de mercado, crédito e liquidez e seus respectivos impactos na gestão de capital; - Análise contínua na metodologia aplicada para classificação de testes de estresse (quantitativas e qualitativas): o Histórico: avalia o impacto de eventos anteriores no portfólio atual; o Hipotético: situações ainda não observadas, não ocorridas (prospectivo/probabilidades); o Estatístico: relaciona variáveis macroeconômicas com os parâmetros de risco e permite determinar o valor esperado para perdas extremas (através do impacto e grau de risco x frequência); No Haitong Brasil, categorizamos e sub-categorizamos os eventos previstos na Resolução 4557 do Bacen a fim de possibilitar a mensuração precisa do perfil de riscos na instituição. 12

13 Exemplo da codificação interna das categorias dos eventos no Haitong Brasil: Sequência Código Interno Tabela Risco Operacional - eventos R1 1FI Fraudes Internas R2 2FE Fraudes Externas R3 3DT Demanda trabalhista e/ou segurança deficiente do local do trabalho R4 4PI Prática inadequada relativas a clientes, produtos e serviços R5 5DAF Danos a ativos fisicos proprios ou uso pela instituição R6 6IAI Situações que acarretam a interrupção das atividades da instituição R7 7FS Falhas em sistemas, processos ou infraestrutura de tecnologia da informação (TI) R8 8FE Falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades da instituição Exemplo da codificação interna das subcategorias dos eventos definidos no Haitong Brasil: Código Interno Tabela Risco Operacional - sub- eventos categorizados 1FI1 Fraudes Internas 1FI2 outros 2FEXT1 Fraudes Externas 2FEXT2 outros 3DT1 Processo Trabalhista 3DT2 Rescisão trabalhista 3DT3 outros 4PI1 Pratica inadequada - Clientes 4PI2 Pratica inadequada - Produtos 4PI3 Pratica inadequada - Serviços 4PI4 outros 5DAF1 Danos a ativos fisicos proprios ou uso pela instituição 5DAF2 outros 6IAI1 Falta de Energia - contingência 6IAI2 Força Maior climática - contingência 6IAI3 Convenção do condomínio - outros 7FS1 7FS2 7FS3 7FS4 7FS5 7FS6 7FS7 7FS8 7FS9 7FS10 7FS11 8FE1 8FE2 8FE3 8FE4 8FE5 8FE6 8FE7 JDBCC - Bacen correio Servidor Instituição - inoperante Murex - integração Exchange - Cambio Offshore/Onshore CRK - módulos VIEW LUNA - MAPS SPB - Bacen OBB - Bradesco Euroclear - custódia internacional outros Entrega de relatórios fora do prazo Boletagem retroativa - correção Encargos/multas/penalidades por pagamento em atraso Falha humana - Erro de digitação Falha no gerenciamento das atividades na Instituição Processo Fiscal Previdenciário - Judicial (ações/irrf/csll) outros 13

14 24. ATUALIZAÇÃO DO NORMATIVO Data Autor Assunto Atualizado Abr/2018 Controle de Riscos Atualização da Política de Risco Operacional Mar/2017 Compliance Novo organograma da área de Compliance Out/2016 Compliance Revisão de atualização geral dos procedimentos Mai/2016 Compliance Novo reporte Compliance/Risco Operacional 29/04/2016 Compliance Ratificação anual pelo CA 08/09/2015 Compliance Razão social Haitong 14