N.O. Nº ANEXO A CATEGORIZAÇÃO DOS EVENTOS DE RISCO OPERACIONAL

Transcrição

1 N.O. Nº ANEXO A CATEGORIZAÇÃO DOS EVENTOS DE A.1. Visão Global A.1.1. Uma vez confirmado um possível risco operacional como um evento qualificado, a companhia deve determinar como classificar o evento respondendo à questão o que aconteceu?. A.1.2. O Grupo Allianz classifica eventos de risco operacional usando as seguintes categorias de eventos de risco operacional de alto nível (Nível 1): Fraude externa; Fraude interna; Práticas de emprego e segurança do ambiente de trabalho; Clientes/ Entidades terceiras, Produtos e Práticas de negócio; Destruição de bens físicos; Interrupção do negócio e falhas de sistema; Execução, entrega e gestão do processo. A.1.3. Subcategorias mais detalhadas (categorias de Nível 2) e exemplos de eventos de risco são incluídos para cada uma das categorias acima indicadas. A.1.4. A estrutura de classificação de eventos de risco operacional de Nível 1 e Nível 2 usada pelo Grupo Allianz é amplamente consistente com as categorias de classificação da Solvência II. Onde houver diferenças, estas podem ser definidas através das categorias regulatórias originais. De forma a cumprir as Normas e regulamentos da indústria é essencial que todos os eventos de risco operacional estejam corretamente classificados. A.1.5. Eventos de risco operacional estão classificados com base nos eventos subjacentes que conduzem ao risco em vez do seu eventual impacto: Quando a classificação a atribuir a um evento de risco operacional não é clara, a questão O que aconteceu para provocar este evento? deve ser respondida; Para certos eventos complexos, podem existir várias opções de classificação possíveis. Quando este for o caso, o evento deve ser classificado com base na natureza do evento primário que provocou os outros eventos/ perdas. A.1.6. Categorias explícitas para perdas relacionadas com riscos legais e riscos de compliance não estão incluídas nas categorias de eventos de riscos operacionais. Para estes riscos as perdas serão tipicamente explicadas por outra causa-raiz explicitamente ou implicitamente incluídas nas definições da categoria 1. Neste caso, as perdas (se existirem) devem ser categorizadas de acordo com o sistema subjacente, erro humano ou de sistema e não como um evento de risco legal ou de compliance. A ocorrência de um evento de risco legal ou de compliance deve ser separadamente assinalado no sistema ORGS no registo de eventos para efeito de reporte. Página 1/ 10

2 A.1.7. Orientações específicas sobre o uso das categorias de eventos de risco operacional de Nível 1 e de Nível 2 são apresentadas abaixo. A.2. Fraude Externa A.2.1. Visão global A fraude externa envolve qualquer roubo (de bens ou de informação), fraude, danos de hacking e/ ou falsificação executada intencionalmente por uma entidade terceira sem a assistência de uma entidade interna. A.2.2. Roubo e fraude externa A subcategoria de roubo e fraude externa abrange eventos resultantes de atos realizados com a intenção de defraudar, apropriar indevidamente ativos ou lograr a lei por uma entidade terceira sem a assistência de qualquer entidade interna, excluindo danos maliciosos que estão classificados sob a subcategoria Desastres e outros eventos. Alguns exemplos são: Roubo, extorsão ou desfalque; Roubo de bens; Falsificação; Verificação de fraude; Falsificação de identidade (perdas devido a alguém deliberadamente assumir a identidade de um cliente); Sinistros fraudulentos (ou seja, perdas devido ao pagamento de falsos sinistros). Um evento de roubo ou fraude externa deve apresentar as seguintes características: A intenção de defraudar é clara; O autor procura um benefício pessoal financeiro (ou benefício para um amigo ou relativo), por oposição a um benefício da companhia; O roubo ou fraude viola leis públicas de conduta geral, aplicável a todos os indivíduos, e geralmente, implica penalidades de natureza criminal; A companhia deve ser a vítima da fraude, quer seja diretamente ou através do prejuízo de bens de clientes. A.2.3. Segurança dos sistemas A subcategoria de segurança dos sistemas abrange todos os eventos relacionados com o acesso não autorizado por parte de não-colaboradores a ficheiros de dados para seu benefício pessoal. Alguns exemplos são: Apropriação não autorizada de informação confidencial quer seja em formato eletrónico ou em formato papel; Malevolência sobre computadores (por exemplo, vírus, destruição de ficheiros, hacking, ataques de quebra de serviço); Página 2/ 10

3 Engenharia social (por exemplo, conseguir informação confidencial através do uso de informação errada e engano, não-colaboradores que se apresentam como colaboradores de IT, ou websites falsos com a marca Allianz que solicitam informação aos clientes, ou seja phishing) A.3. Fraude Interna A.3.1. Visão global Quando um ou mais colaboradores está reconhecidamente envolvido num roubo ou fraude, incluindo atividade não autorizada onde não existe recurso legal, o evento deve ser classificado como fraude interna. Empregados ou outras entidades sob a supervisão direta da companhia, trabalhando sob uma relação contratual (tipo empregado-empregado) devem ser tratados como colaboradores da companhia quando os eventos de roubo ou fraude são reportados. Quando ocorre uma fraude a natureza interna do evento deve ser apurada, caso contrário esta deve ser classificada como uma fraude externa. Em muitos casos, um relatório da Auditoria Interna pode clarificar este ponto. A.3.2. Roubo e fraude interna O roubo e fraude interna é uma subcategoria específica. Abrange eventos com intenção de defraudar, apropriar ativos indevidamente ou lograr regulamentos (a lei ou políticas da companhia) com o envolvimento de um empregado. Exclui eventos de discriminação que estão classificados sob a subcategoria Igualdade e Discriminação e danos maliciosos que estão classificados sob a subcategoria Desastres e outros eventos. Alguns exemplos são: Eventos de roubo ou fraude externos realizados com o envolvimento de um empregado; Receção de subornos ou comissões; Contrabando; Insider trading (que consiste na prática ilegal de comércio no mercado de valores com vantagem própria através do acesso a informação confidencial. Esta informação considerada não é relativa à Allianz, sendo que, neste caso esta prática deve ser classificada sob a subcategoria Negócio impróprio ou Práticas de mercado ). Um evento de roubo e fraude interna deve apresentar as seguintes características: Pelo menos um colaborador deve estar envolvido (no momento da fraude), incluindo colaboradores temporários; O colaborador deve utilizar a sua posição na companhia ou acesso especial a bens ou informação para levar a cabo o roubo ou a fraude; Assim como no caso de roubo e fraude externa, os atos considerados nesta categoria devem violar leis públicas de conduta geral, aplicáveis a todos os indivíduos, que geralmente implicam penalidades de natureza criminal. Página 3/ 10

4 A.3.3. Atividade não autorizada Roubo e fraude interna também abrangem atividades não autorizadas como uma subcategoria específica. Eventos de risco operacional só devem ser classificados sob esta subcategoria se não existir recurso legal possível contra o seu autor. Se existe recurso legal, o evento deve ser classificado sob a subcategoria Roubo e fraude interna. Alguns exemplos de atividades não autorizadas são: Transações intencionalmente não reportadas; Tipos de transações não autorizadas; Marcação incorreta das posições financeiras de forma intencional; Autorizações inválidas de exposições ou despesas. Atividades não autorizadas devem apresentar uma ou mais das seguintes características: Uma intenção de evitar controlos; Violação das regras da companhia, Normas ou orientações de governação sobre conduta ou sobre o estabelecimento de limites individuais sobre atividades permitidas; Algum tipo de benefício pessoal deve existir, que pode ser não-financeiro (por exemplo, ocultar um mau desempenho). Em alguns casos, o beneficiário pode ser um amigo ou um familiar do autor da atividade; Não deve existir recurso legal contra o indivíduo; A companhia deve ser a vítima final quer seja direta ou indiretamente. A.3.4. Segurança dos sistemas O roubo e fraude interna também abrangem a segurança dos sistemas como uma subcategoria específica. Todos os eventos relacionados com o acesso não autorizado a ficheiros de dados por colaboradores para seu benefício devem ser classificados sob esta categoria. Alguns exemplos são: Apropriação não autorizada de informação confidencial quer seja em formato eletrónico ou em formato em papel; Malevolência sobre computadores (por exemplo, vírus, destruição de ficheiros, hacking, ataques de quebra de serviço); Perda de dados e divulgação proveniente da intenção maliciosa (por exemplo, roubo); Engenharia social (por exemplo, falsificar a conta de um colega). A.4. Práticas de emprego e segurança do espaço de trabalho A.4.1. Visão global Esta categoria abrange eventos de risco operacional resultantes de incidentes relacionados com contratos de trabalho, processos de recursos humanos e leis sobre saúde e segurança. Página 4/ 10

5 A.4.2. Relações de trabalho A subcategoria referente a relações de trabalho abrange eventos de risco operacional que surjam devido a erros específicos ou ações não permitidas ocorridas durante o processo de cessação do contrato. Eventos causados por interrupções laborais organizadas também devem ser incluídos, mesmo que sejam conduzidos de forma legal de acordo com os estatutos das relações laborais aplicáveis. Alguns exemplos são: Eventos de subsídios, benefícios ou cessação de contrato; Greves; Eventos organizados de atividades laborais; Indemnizações sobre conflitos laborais. A.4.3. Segurança do ambiente de trabalho A subcategoria de segurança do ambiente de trabalho abrange eventos de risco operacional relacionados com programas de seguros obrigatórios para trabalhadores e regulamentos de segurança no ambiente de trabalho. Alguns exemplos são: Eventos sobre a saúde dos colaboradores e regras de segurança (por exemplo acidentes de trabalho ou doenças profissionais); Eventos de remuneração de trabalhadores; Eventos relacionados com responsabilidades geral (por exemplo, quedas e deslizamentos); Responsabilidade civil (ou seja, acidentes de clientes, parceiros ou fornecedores). A.4.4. Igualdade e Discriminação A subcategoria igualdade e discriminação abrange eventos de risco operacional relacionados com a igualdade no local de trabalho e discriminação que surjam sob leis do trabalho ou regras internas da companhia. Alguns exemplos são: Comportamento inadequado (ou seja, discriminação ou assédio). Eventos de discriminação devem ser distinguidos de eventos públicos de diversidade ou discriminação envolvendo clientes ou cidadãos de um modo geral. O último deve ser registado sob a subcategoria Negócio impróprio ou Práticas de mercado. A.4.5. Gestão de Recursos Humanos A subcategoria de gestão de recursos humanos abrange eventos de risco operacional causados pela gestão inapropriada de recursos humanos. Alguns exemplos são: Recrutamento inapropriado; Habilitações insuficientes do staff antes do recrutamento; Formação inadequada; Gestão incompetente; Política de remuneração inadequada; Pagamentos variáveis e avaliação anual do staff inadequados; Página 5/ 10

6 Rotatividade de pessoas excessiva; Saída/ Ausência de pessoas chave; Violação de acordos respeitantes à proteção da vida privada de um membro do staff; Violação de regulamentos sobre recursos humanos (direitos laborais, convenções coletivas); Outros problemas sobre a gestão de recursos humanos. Questões relacionadas com a gestão de recursos humanos são frequentemente identificadas como um fator que contribui para eventos de risco operacional. Esta subcategoria só deve ser utilizada se as questões em causa forem a causa-raiz do evento de perda. A.5. Clientes/ Entidades terceiras, Produtos e Práticas de negócio A.5.1. Visão global Um evento de risco operacional pode surgir devido a uma falha não intencional ou negligente pela necessidade de cumprir uma obrigação profissional (incluindo requisitos fiduciários e de adequação), ou pela natureza ou desenho próprio de um produto. Eventos sob esta categoria apresentam, tipicamente, as seguintes características: Eventos que estão geralmente relacionados com a atividade de front office; A responsabilidade é, frequentemente, direta para com um cliente, tendo por base o comportamento da companhia; Na maior parte dos casos, o beneficiário do evento é a companhia de seguros através da venda de mais produtos, obtenção ou manutenção do negócio, melhoraria dos termos de uma transação, ou de evitar a competição; Estas atividades geralmente violam tanto pactos contratuais como leis que regulam a conduta no mercado financeiro ou comercial. A.5.2. Adequação, Divulgação de Informação, e Dever Fiduciário A subcategoria Adequação, Divulgação de Informação, e Dever Fiduciário abrange eventos de risco operacional que surjam de violações regulatórias ou falhas que tenham impacto nos clientes ou parceiros. Alguns exemplos são: Violações fiduciárias ou violações de orientações; Questões de adequação/ divulgação; Violação de divulgação de consumidor de retalho; Violação de privacidade; Atividades de venda extremamente agressivas; Churning de contas dos clientes (aumento do número de transações de modo a aumentar o valor das comissões); Utilização indevida de informação confidencial. A.5.3. Negócio impróprio ou Práticas de mercado A subcategoria de Negócio impróprio ou Práticas de mercado abrange eventos de risco operacional que surjam devido a alegadas práticas de negócio impróprias. Alguns exemplos são: Página 6/ 10

7 Comportamento anti-trust; Práticas de reporte externo impróprias; Práticas de comércio impróprias; Manipulação de mercado; Insider trading (de contas da própria companhia); Atividades não licenciadas; Atividades de lavagem de dinheiro; Eventos de diversidade/ discriminação inapropriados no mercado ou aplicáveis ao público em geral; Violação de reservas contratuais de negócio significativas; Disputas contratuais inapropriadas com vendedores ou contrapartes; Falta de conformidade com os regulamentos ou normas da indústria relacionados com a proteção de dados (por exemplo, European Data Protection Act). Esta categoria deve ser aplicada a eventos que surjam devido a alterações retroativas de leis ou regulamentos que gerem perdas à companhia. A.5.4. Produtos defeituosos A subcategoria de Produtos defeituosos abrange eventos de risco operacional em que os produtos não foram corretamente desenhados ou não apresentam o preço correto (por exemplo, devido a erros do modelo). Alguns exemplos são: Implementação inadequada do modelo (por exemplo, em modelos de tarifação)/ erros de modelo; Violação da política de preços; Não conformidade de produtos para com os requisitos internos ou externos aplicáveis; Procedimentos inadequados de aprovação/ certificação sobre novos produtos ou novas atividades; Processos inadequados sobre operações complexas e sensíveis. A.5.5. Contrapartidas comerciais A subcategoria de Contrapartidas comerciais deve ser usada para registar eventos causados por ações de entidades terceiras, incluindo eventos relacionados com informação inapropriada/ manuseamento de dados por entidades terceiras. Alguns exemplos são: Desempenho de contrapartes não-clientes; Disputas de contrapartes não-clientes; Violação da confidencialidade de informação/ dados; Divulgação insuficiente de incidentes de segurança; Divulgação insuficiente de informação/ dados processados por subagentes (por exemplo, informação/ dados off-shoring sem divulgação nem controlo apropriados) Informação/ dados não destruídos ou devolvidos no termo do contrato. Página 7/ 10

8 A.5.6. Exposição de patrocínio A subcategoria de Exposição de patrocínio deve ser utilizada para registar eventos que surjam devido a custos não planeados (por exemplo, limites autorizados excedidos). Alguns exemplos são: Perdas incorridas devido a exceder os limites de exposição do cliente (ou seja, na gestão de ativos, gestão de fortunas) por parte da companhia; A.5.7. Seleção A subcategoria de Seleção deve ser usada quando surge um evento de risco operacional devido a uma falha da companhia em investigar apropriadamente um cliente segundo as orientações internas. Alguns exemplos são: Falha na obtenção de informação sobre o cliente; Verificação insuficiente sobre a saúde dos clientes de seguros de saúde; Ausência da avaliação de risco obrigatória na subscrição Não Vida (ou seja negócio comercial). A.5.8. Atividades de consultoria A subcategoria de Atividades de consultoria deve ser usada quando surjam eventos de risco operacional devido a falhas no cumprimento de obrigações. Alguns exemplos são: Desempenho inapropriado de atividade de consultadoria; Designar analistas juniores a um contrato importante quando foi assegurado ao cliente que consultores seniores seriam responsáveis pela atividade diária. A.6. Destruição de bens físicos A.6.1. Desastres e outros eventos A subcategoria de Desastres e outros eventos deve ser usada para eventos que surjam devido a desastres naturais/ industriais e danos maliciosos sobre a propriedade da companhia. Alguns exemplos são: Perdas por desastres naturais (inundações, tremores de terra, tempestades, etc.); Perdas de origem externa (atos de terrorismo, vandalismo, etc.); Perdas por desastres industriais. A.7. Interrupção do negócio e falhas de sistema A.7.1. Visão global Esta categoria abrange eventos de risco operacional que surjam devido a interrupções das operações de negócio (eventos BCM) ou falhas de sistema. Página 8/ 10

9 A.7.2. Falhas de sistema A subcategoria de Falhas de sistema deve ser usada quando surgem eventos de risco operacional devido a uma falha de sistema ou de infraestrutura. Alguns exemplos são: Falhas de hardware; Falhas de software; Falhas de telecomunicações; Interrupções de serviço público; Falhas no processamento de dados. Questões de capacidade ou falhas de sistema são frequentemente identificados como um fator que contribui para eventos de risco operacional. Esta subcategoria só deve ser utilizada se algum destes fatores for a causa-raiz do evento de perda. A.7.3. Transporte e outras Interrupções A subcategoria de Transporte e outras Interrupções deve ser utilizada quando um evento de risco operacional surge devido ao transporte ou outra interrupção que tenha impacto na companhia e resulte numa perda. Alguns exemplos são: Greves externas ou bloqueios; Interrupção devido a perigos provocados pelo homem; Interrupções relacionadas com o estado do tempo; Perda de staff, por exemplo devido a uma pandemia. A.8. Execução, entrega e gestão do processo A.8.1. Visão global Um evento de risco operacional pode surgir devido a falhas de transação em processos ou falhas de gestão em processos. Eventos de risco operacional que surjam em áreas de back office devem ser classificados nesta categoria. Estes eventos, normalmente, não são intencionais e podem envolver falhas em documentar corretamente/ completar transações de negócio. A.8.2. Obtenção, Execução e Manutenção de Transações A subcategoria de obtenção, execução e manutenção de transações deve ser usada quando surge um evento de risco operacional devido a falhas na recolha de informação ou no processo de documentação. Alguns exemplos são: Falta de comunicação; Entrada de dados, manutenção ou erros de carregamento; Falha ao completar os prazos ou responsabilidades; Falha na utilização/ funcionamento do modelo/ sistema; Erro de cálculo/ Erro de atribuição de entidade; Outros erros de processamento; Falha na entrega; Página 9/ 10

10 Falha na gestão de garantias; Manutenção de dados de referência inadequada. Gestão da Conta de Cliente A subcategoria de Gestão da Conta de Cliente deve ser usada quando um evento de risco operacional surge devido ao incorreto registo de clientes ou de pagamentos, dentro do negócio. Alguns exemplos são: Divulgações e/ ou permissões de cliente em falta; Documentos legais em falta ou incompletos; Acessos a contas não aprovados; Erros que causam registos de clientes incorretos; Perda ou dano negligente de bens de clientes. A.8.3. Monitorização e Reporte A subcategoria de Monitorização e Reporte deve ser usada para registar eventos que surjam devido a um reporte impreciso de cariz obrigatório a nível interno/ externo. Alguns exemplos são: Falha na apresentação de um relatório obrigatório; Reporte externo impreciso que resulte em perdas por parte da companhia; Violação de obrigações de reporte (de contas ou regulatório); Reporte interno inadequado que resulte em perdas. A.8.4. Fornecedores A subcategoria de Fornecedores deve ser usada para registar eventos que surjam devido a falhas na entrega ou disputas de vendedores ou parceiros de serviço. Alguns exemplos são: Níveis de serviço acordados de forma inadequada (por exemplo, serviços de IT); Definição de ordens de investimento inadequadas; Outras falhas de fornecimentos de serviços ou interrupções na cadeia; Disputas de vendedores inapropriadas. A.8.5. Documentos contratuais do cliente A subcategoria de Documentos contratuais do cliente deve ser usada para registar eventos que surjam devido a entrada inadequada ou deficiente de dados, quando se trata de um novo negócio. Alguns exemplos são: Documentos legais em falta ou incompletos; Falta de permissões/ renúncias de clientes. Página 10/ 10