ESTRUTURA DE GERENCIAMENTO DO RISCO OPERACIONAL DO BANCO COOPERATIVO SICREDI E EMPRESAS CONTROLADAS

Transcrição

1 ESTRUTURA DE GERENCIAMENTO DO RISCO OPERACIONAL DO BANCO COOPERATIVO SICREDI E EMPRESAS CONTROLADAS Versão : 31 de dezembro de 2008

2 CONTEÚDO 1. INTRODUÇÃO ORGANIZAÇÃO DA GESTÃO DE RISCO OPERACIONAL RESPONSABILIDADE PELA GESTÃO DE RISCO OPERACIONAL 3 3. PROCESSO DE GESTÃO DO RISCO OPERACIONAL PROCESSO DE GERENCIAMENTO DO RISCO OPERACIONAL Identificação dos Riscos Operacionais Avaliação dos Riscos Operacionais Monitoramento da Gestão de Risco Operacional Plano de Ação para Tratamento dos Riscos Operacionais Controle dos Riscos Operacionais REVISÃO E ATUALIZAÇÃO...8 2

3 1. INTRODUÇÃO Este documento tem por objetivo a descrição da Estrutura de Gerenciamento do Risco Operacional para o Banco Cooperativo SICREDI S.A. e empresas controladas. No seu escopo estão definidas as metodologias utilizadas e os processos operacionais, visando atender a Resolução CMN/Bacen 3.380/2006, publicada em 29 de junho de Em 26 de junho de 2007, na qualidade de administradores responsáveis pelo conjunto de informações aqui apresentadas, a Diretoria Executiva do Banco Cooperativo SICREDI aprovou a metodologia de gerenciamento do Risco Operacional aplicável à instituição. A proposta de gestão do risco operacional e, conseqüentemente, a criação de uma estrutura, têm como objetivo a prevenção das perdas advindas do risco operacional e, quando constada a sua ocorrência, dar a devida alocação de capital para a sua cobertura. A adequada condução da gestão do risco operacional está baseada nas atividades de identificação, avaliação, monitoramento e controle e tratamento dos riscos operacionais, bem como a comunicação das recomendações e adequações de controles internos, estabelecendo salvaguardas ante os riscos analisados. 2. ORGANIZAÇÃO DA GESTÃO DE RISCO OPERACIONAL 2.1. RESPONSABILIDADE PELA GESTÃO DE RISCO OPERACIONAL A responsabilidade pela Gestão de Risco Operacional do Banco Cooperativo SICREDI S.A. e empresas controladas é da Diretoria Administrativa. O processo de gerenciamento do Risco Operacional é exercido pela gerência de Controles Internos e Risco Operacional. O organograma dessa estrutura, assim como as suas responsabilidades e das demais áreas envolvidas no processo de gestão, estão descritos a seguir. Organograma Diretoria Administrativa Gerência de Controles Internos e Risco Operacional Supervisão de Controles Internos e Risco Operacional Atividades de Controles Internos Atividades de Risco Operacional Gestores das áreas Aos Gestores das áreas integrantes do banco e empresas controladas, compete a realização de todas as atividades descritas neste regulamento, cabendo aos diretores zelar pela aplicabilidade do mesmo. 3

4 Atribuições e Responsabilidades da Gerência de Controles Internos e Risco Operacional do Banco Cooperativo SICREDI S.A. De forma a atender o Inciso III do art. 9º da Resolução 3.380/06 a estrutura organizacional responsável pela implementação do gerenciamento do risco operacional abrange, dentre outras, as especificadas nos incisos I ao VII do Art. 3º. da referida resolução. 3. PROCESSO DE GESTÃO DO RISCO OPERACIONAL 3.1. PROCESSO DE GERENCIAMENTO DO RISCO OPERACIONAL O gerenciamento do risco operacional do Banco Cooperativo SICREDI S.A. e empresas controladas compreende a aplicação da seguinte metodologia: - Identificação; - Avaliação; - Monitoramento; - Plano de Ação e - Controle Identificação dos Riscos Operacionais O processo de identificação tem como função principal listar os riscos operacionais a que um determinado processo está exposto. As etapas e os procedimentos de identificação dos riscos compreendem: - o mapeamento dos fatores de risco - análise do processo, lista dos fatores de riscos associados e formalização da Lista de Riscos; - a avaliação dos resultados obtidos na identificação de riscos, como subsídio à exposição do processo aos Riscos Operacionais; - a responsabilidade de cada gestor de área do Banco e ou empresa controlada na execução do processo de identificação e homologação pelo respectivo Diretor; - a execução de análise critica pela Gerência de Controles Internos e Risco Operacional do Banco, com objetivo de validar a lista de riscos operacionais apresentada pelos gestores Fatores de Risco Operacional No Banco Cooperativo SICREDI S.A. e empresas controladas os riscos operacionais serão classificados conforme os fatores de riscos descritos na Resolução 3.380/06, Art. 2º: Risco de Pessoas, Risco de Processos, Risco de Sistemas e Risco de Fatores Externos. Para o registro dos eventos de perdas no banco e nas empresas controladas, serão tomadas como base mínima as oito categorias elencadas no Art. 2º, 2º da Resolução 3.380/06. Conceituação dos Fatores de Risco: I. Riscos de Pessoas: são os riscos associados a perdas em função de falhas humanas (intencionais ou não intencionais) por situações diversas, como fraude, nãoqualificação para o desempenho da função ou erros não intencionais. Possuem respaldo na resolução 3380/06-Bacen (Art. 2º, 2º, incisos I fraudes internas e III demandas trabalhistas e segurança deficiente no local de trabalho); 4

5 II. Riscos de Processos: são os riscos associados à ocorrência de fragilidades nos processos, que podem ser gerados por falta de regulamentação interna, por falta de documentação sobre políticas e procedimentos ou por falta de controle do processo. Possuem respaldo na resolução 3380/06-Bacen (Art. 2º, 2º, incisos IV práticas inadequadas relativas a clientes, produtos e serviços e VIII falhas na execução, cumprimento de prazos e gerenciamento de atividades na instituição). Os riscos de processo se subdividem em: riscos de modelagem: possibilidade de perdas pelo uso de modelos negociais inadequados, ineficientes ou inconsistentes (desconexos com a realidade); riscos de transação: possibilidade de perdas pelo erro na execução de um processo ou procedimento; riscos de conformidade: possibilidade de perdas oriundas de sanções de órgãos reguladores (notadamente o Bacen), por descumprimento da legislação vigente; riscos de controle: possibilidade de perdas pela fragilidade dos processos, ou da ausência de ferramentas de controles (visando a segurança e a integridade destes); III. Riscos de Sistemas: são os riscos associados à infra-estrutura tecnológica da empresa, tanto na qualidade e confiabilidade dos dados quanto na confiabilidade do hardware que dá suporte ao negócio. Possuem respaldo na resolução 3380/06-Bacen (Art. 2º, 2º, incisos V danos a ativos físicos próprios ou em uso pela instituição, VI aqueles que acarretem a interrupção das atividades da instituição e VII falhas em sistemas de tecnologia da informação). Esses riscos podem ser subdivididos em: riscos de software: possibilidade de perdas decorrentes de erros de programação ou de sistemas inadequados ou não padronizados para a instituição; riscos de equipamentos: possibilidade de perdas decorrentes de falhas de equipamentos (hardware) que dão suporte às operações; riscos de confiabilidade da informação: possibilidade de perdas decorrentes da impossibilidade de recebimento, processamento, armazenamento e transmissão de dados; IV. Riscos de Fatores Externos: são os riscos associados com os fatores externos que de uma forma ou de outra podem impactar as operações. Possuem respaldo na resolução 3380/06-Bacen, no Art. 2º, 2º e seus incisos, e podem ser subdivididos em: riscos com fornecedores e parceiros: possibilidade de perdas decorrentes de falhas na cadeia de fornecedores ou falha na prestação de serviços terceirizados ao banco e empresas controladas; riscos com desastres naturais e catástrofes: possibilidade das perdas provenientes de eventos climáticos ou de eventos outros que atinjam a infraestrutura de forma a provocar dano irreparável na continuidade das operações; riscos com ambiente regulatório: possibilidade de perdas decorrentes de alterações inesperadas na legislação ou em marcos regulatórios dos órgãos fiscalizadores e reguladores; riscos com ambiente social: possibilidade de perda proveniente do cenário sócio-econômico, abrangendo tanto o risco de perda negocial por retrações ou não-aproveitamento de oportunidades de mercado, quanto as perdas provocadas por eventos relacionados a segurança patrimonial; riscos com usuários: provenientes de perdas decorrentes do desconhecimento dos usuários das regras de negócio ou de má utilização dos recursos oferecidos ao banco e empresas controladas. 5

6 Elaboração da Lista de Riscos Avaliação Gerencial A avaliação gerencial consiste na identificação e documentação dos riscos operacionais, com base nos fatores de riscos (item ) que podem afetar os processos nas áreas do Banco ou das empresas controladas. Para esta atividade, torna-se essencial o envolvimento dos colaboradores para contribuição no processo de identificação dos riscos operacionais. Para coletar as informações, o gestor deve incentivar seus colaboradores a registrarem suas contribuições individualmente. Lista de Riscos A etapa de elaboração da Lista de Riscos compreende: - Recepção dos riscos identificados pelos colaboradores; - União de todas as contribuições em lista única, gerando o Aglutinado dos riscos; - Eliminações dos riscos listados em duplicidade ou não aplicáveis à identificação do Risco Operacional. - Elaboração da Lista de Riscos Consolidada, que consiste na Lista de Riscos Aglutinada ajustada com as Eliminações identificadas. - Homologação da Lista de Riscos pelo Diretor da área Avaliação dos Riscos Operacionais De posse da Lista de Riscos Consolidada, os gestores das áreas do Banco e empresas controladas executarão o processo de avaliação dos riscos operacionais. Tal processo deve estabelecer, para cada questão respondida, o grau de exposição ao risco identificado. Análise Qualitativa Este processo compreende as seguintes etapas: a) Auto-avaliação - efetuada pelo gestor da área; b) Avaliação realizada pela Gerência de Controles Internos e Risco Operacional, da auto-avaliação realizada pelo gestor, item anterior, que identifica o grau de exposição ao risco inerente a cada processo; c) Identificação dos Elementos Mitigadores identificação dos controles existentes como elementos mitigadores associados aos processos e aos riscos; d) Identificação dos Elementos Agravantes - análise dos relatórios das auditorias (interna e externa) e fiscalizações externas, para associação do nível de conformidade com os controles existentes, e de acordo com a base histórica de perdas operacionais associadas aos fatores de risco apontados; Resultado da Avaliação Qualitativa de Riscos As combinações da exposição para cada risco listado, depois de avaliados e devidamente identificados os respectivos elementos Mitigadores e Agravantes, resultam na qualificação dos riscos com os seguintes graus de exposição: Muito Elevado, Elevado, Médio ou Baixo. Esses graus são definidos conforme extensão dos esforços de controles internos necessários para contrapor os riscos. 6

7 Monitoramento da Gestão de Risco Operacional Com base nos riscos evidenciados no item , resultado das questões respondidas pelos gestores das áreas do Banco e empresas controladas, é elaborado o rol de itens que farão parte do monitoramento da gestão de Risco Operacional, realizado através de Indicadores Chaves de Risco (ICR), devendo ser incorporadas às tarefas diárias e ao manual operacional das respectivas áreas. O processo de monitoramento deve permitir o acompanhamento dos eventos de risco operacional, indicando a situação de exposição dos fatores de risco ligados a possíveis problemas ou efeitos. O monitoramento e controle de riscos abrangem: estabelecimento dos Indicadores Chaves de Risco (ICR); acompanhamento pela área própria dos ICR s; estabelecimento dos níveis máximos de tolerância; monitoramento das condições para acionamento de planos de contingência; monitoramento dos riscos residuais e revisão da execução de respostas a riscos quanto a sua eficácia. avaliação se as premissas do risco operacional continuam válidas avaliação se o risco operacional mudou seu estado anterior, usando a análise das tendências; avaliação se os procedimentos e políticas de gerenciamento de riscos estão sendo seguidos; avaliação se os cronogramas apresentados nos planos de ação devem ser modificados de acordo com os riscos operacionais identificados nos processos. No momento em que os Indicadores Chaves de Risco atingirem os limites máximos de tolerância, planos de ação deverão ser iniciados, conforme especificado no item Plano de Ação para Tratamento dos Riscos Operacionais É o processo de desenvolver opções e determinar ações para aumentar as oportunidades e reduzir as ameaças de riscos aos processos do Banco e empresas controladas. O plano de ação ocorre após o processo de avaliação dos riscos, ou quando alcançados os limites máximos de tolerância pelos Indicadores Chaves de Risco, ou após os relatórios de auditoria e fiscalizações. Ele inclui a identificação e designação de uma ou mais pessoas (proprietário(s) das respostas a riscos, que irá(ão) assumir a responsabilidade sobre cada resposta a riscos). Os riscos devem ser abordados de acordo com a sua prioridade, inserindo recursos e atividades, cronograma e plano de comunicação e acompanhamento Tratamento dos Riscos no Plano de Ação: O processo de mitigação dos riscos operacionais estabelece as melhorias necessárias aos controles internos levando em consideração a ponderação dos riscos apontados. A aplicação das técnicas de análise de correlação entre causa e efeito (Diagrama de Ischikawa), permite o correto diagnóstico e proposição de adequações. O tratamento dos riscos, consideradas as diretrizes estabelecidas neste regulamento, observa as seguintes alternativas: 7

8 a) Retenção ou Aceitação Esta estratégia indica que o risco operacional foi aceito, ou seja, ficou decidido não mudar o processo operacional para tratar o risco, ou indica que não consegue identificar qualquer outra estratégia de resposta adequada. b) Evitar Essa estratégia envolve mudanças no processo operacional para eliminar a ameaça apresentada por um risco adverso, para isolar os objetivos do processo do impacto do risco. Geralmente evitar o risco significa optar pela eliminação da causa do risco. c) Transferir A transferência de riscos exige a passagem do impacto negativo de uma ameaça para terceiros, juntamente com a propriedade da resposta. Essa transferência de riscos simplesmente confere a uma outra parte a responsabilidade por seu gerenciamento, ela não elimina os riscos. A transferência da responsabilidade pelo risco é mais eficaz quando está relacionada à exposição a riscos financeiros. A transferência de riscos quase sempre envolve o pagamento de um prêmio de risco à parte que assume o risco. c) Mitigar A mitigação de riscos exige a redução da probabilidade e/ou impacto de um evento de risco adverso até um limite aceitável. A realização de ações no início para reduzir a probabilidade e/ou o impacto de um risco que está ocorrendo no processo operacional é freqüentemente mais eficaz do que a tentativa de reparar os danos após a ocorrência do risco. O gestor proprietário da elaboração do Plano de Ação, com as respostas aos riscos dos processos analisados, deverá informar a Gerência de Controles Internos e Risco Operacional, a eficácia do plano de ação, quaisquer efeitos não esperados, e as correções realizadas durante o tratamento dos riscos Controle dos Riscos Operacionais O processo de controle realizado pela Gerência de Controles Internos e Risco Operacional permite o acompanhamento do comportamento dos registros de perdas e do cumprimento dos prazos estabelecidos. Os instrumentos de controle geram subsídios para a identificação de possíveis desvios e alertas de risco operacional. Estes eventos são armazenados na base de dados de risco operacional e submetidos ao gestor da área ou unidade de negócio envolvida, para análise e documentação das providências adotadas. Os relatórios de riscos operacionais emitidos e encaminhados à Diretoria Executiva do Banco e aos administradores das empresas controladas, apontam os níveis de risco, eventos de perda e ações corretivas adotadas ou recomendadas. 4. REVISÃO E ATUALIZAÇÃO A Gerência de Controles Internos e Risco Operacional é a responsável pela monitoria, revisão e atualização desta estrutura, atendendo a Resolução CMN/Bacen 3.380/06. 8