CONFEDERAÇÃO SICREDI Estrutura de Risco Operacional SUMÁRIO

Transcrição

1

2 SUMÁRIO 1. INTRODUÇÃO CONCEITO DE RISCO OPERACIONAL OBJETIVOS ESTRUTURA DE GESTÃO DE RISCO OPERACIONAL MODELO DE GESTÃO DE RISCO OPERACIONAL PAPÉIS E RESPONSABILIDADES NA GESTÃO DE RISCO OPERACIONAL 4 7. REGULAMENTO DE GESTÃO DE RISCO OPERACIONAL PROCESSOS DE GESTÃO DE RISCO OPERACIONAL IDENTIFICAÇÃO DE RISCOS OPERACIONAIS AVALIAÇÃO DE RISCOS OPERACIONAIS Análise qualitativa Análise quantitativa Apuração do grau de risco TRATAMENTO DE RISCOS OPERACIONAIS MONITORAMENTO DOS RISCOS OPERACIONAIS REGISTRO DE PERDAS OPERACIONAIS RELATÓRIOS ANUAIS DE RISCO OPERACIONAL SISTEMA DE GESTÃO DE RISCO OPERACIONAL ALOCAÇÃO DE CAPITAL PARA RISCO OPERACIONAL GESTÃO DE CONTINUIDADE DE NEGÓCIO REVISÃO E ATUALIZAÇÃO Página 1 de 14

3 1. INTRODUÇÃO Este documento tem por objetivo descrever a Estrutura de Gerenciamento do Risco Operacional criada e mantida para a Confederação Interestadual de Cooperativas Ligadas ao SICREDI, Centrais SICREDI e Cooperativas SICREDI. No seu escopo estão definidas as metodologias utilizadas e os processos operacionais, visando atender a Resolução CMN/Bacen 3.380/2006, publicada em 29 de junho de CONCEITO DE RISCO OPERACIONAL O risco operacional é conceituado pelo Basiléia II como o risco de perda resultante de pessoas, sistemas e processos internos inadequados ou deficiente, ou de eventos externos. Toda a legislação adotada pelos órgãos reguladores do sistema financeiro nacional utiliza essa conceituação; dessa forma, a adequação necessária do SICREDI à legislação reflete exatamente essa descrição. Categoriza-se o risco operacional em quatro grandes grupos: a) risco de pessoas: é o risco associado a perdas em função de falhas humanas (intencionais ou não intencionais) por situações diversas, como fraude, não qualificação para o desempenho da função ou erros não intencionais; b) risco do processo: é o risco associado à ocorrência de fragilidades nos processos, que podem ser geradas por falta de regulamentação interna, de documentação sobre políticas e procedimentos ou de controle do processo. É subdividido em riscos de modelagem, riscos de transação, riscos de conformidade e riscos de controle; c) risco tecnológico: é o risco associado à infra-estrutura tecnológica da empresa, tanto na qualidade e confiabilidade dos dados quanto na confiabilidade do hardware que dá suporte ao. É subdividido em riscos de software, riscos de equipamentos e riscos de confiabilidade da informação; d) risco externo: é o risco associado com os fatores externos às operações das entidades do Sistema e que podem lhes atingir sob qualquer forma. É subdividido em riscos com fornecedores e parceiros, riscos com desastres naturais e catástrofes, riscos com o ambiente regulatório, riscos com o ambiente social e riscos com usuários. A ocorrência de fatos causados pelo aproveitamento das vulnerabilidades (fatores de risco) das diversas categorias é chamada de eventos de perda. Esses eventos de perda devem ser investigados, analisados e classificados para o contínuo aprendizado do gerenciamento de riscos. A Basiléia II e a legislação pertinente categorizam os eventos de perda de forma semelhante, buscando total aderência à legislação brasileira. O SICREDI consolidou sua classificação de eventos de perda da seguinte forma: a) fraudes internas: eventos relacionados a fraudes ocasionadas por pessoas ligadas diretamente ao SICREDI; b) roubos e fraudes externas: eventos relativos a roubos e fraudes provocados por pessoas ou procedimentos externos ao SICREDI; c) demandas trabalhistas e segurança deficiente do local de trabalho: eventos ligados a demandas advindas da administração inadequada de pessoal e de eventos relacionados a falhas na segurança do trabalho das diversas entidades do Sistema; d) práticas inadequadas com clientes, produtos e serviços: eventos ligados à inobservância das boas práticas de gerenciamento de em todas as suas esferas (principalmente o descumprimento sistêmico de regras de e a não conformidade com a legislação vigente); Página 2 de 14

4 e) danos a ativos físicos próprios ou em uso pela instituição: eventos relacionados a quaisquer ativos físicos de propriedade de alguma entidade do SICREDI que tenham sido afetados por incidentes, excluindo as perdas patrimoniais relacionadas a roubos; f) interrupção de atividades: eventos ligados a interrupção das atividades de qualquer entidade do Sistema provocados por falhas em ativos, desastres naturais, acidentes ou ações externas voluntárias (sabotagem, terrorismo e outras); g) falhas em sistemas de tecnologia da informação (TI): eventos que ocorrem por erros nos sistemas de informação ou por procedimentos automatizados efetuados de forma incorreta; h) falhas na execução, cumprimento de prazos e gerenciamento: eventos ligados ao descumprimento deliberado de normativos ou por atrasos no cumprimento de prazos em atividades obrigatórias. 3. OBJETIVOS O desenvolvimento de atividades ligadas à gestão de risco operacional visa os seguintes objetivos: a) reduzir perdas reais provenientes das ocorrências dos diversos riscos classificados como operacionais; b) mensurar corretamente o valor da alocação de recursos necessária para eventos de risco operacional; c) gerar informações que possibilitem avaliação quantitativa e qualitativa do risco operacional; d) identificar as exposições a riscos aceitáveis para o SICREDI; e) apoiar a melhoria de processos com base no tratamento do risco operacional e adequações dos controles internos; f) promover a transparência exigida pelos órgãos reguladores. 4. ESTRUTURA DE GESTÃO DE RISCO OPERACIONAL A Resolução CMN/BACEN 3.380/06, no seu artigo 6º, determina que a atividade de risco operacional deve ser realizada por unidade específica e segregada de atividades de auditoria interna. Obedecendo a esse critério e visualizando a complexidade do Sistema SICREDI (integrando as Centrais Estaduais, as Cooperativas Singulares e as atividades centralizadas na Confederação), a Confederação SICREDI desenvolveu um modelo centralizado de gestão de risco operacional realizando a atividade de forma integrada entre todas as entidades. Esta característica proporciona ao Sistema ganhos de escala no gerenciamento e, devido a concentração das informações, agrega eficácia e efetividade no controle de riscos. Essa estrutura está organizada da seguinte forma: Figura 1 Organograma do SICREDI para a gestão de risco operacional. Página 3 de 14

5 5. MODELO DE GESTÃO DE RISCO OPERACIONAL O modelo de gestão de risco operacional criado para o SICREDI baseia-se em três premissas, que operam sobre todo o Sistema: a. a criação e utilização de instrumentos para o gerenciamento de riscos operacionais um ciclo que envolve a identificação, avaliação, planejamento e execução do tratamento e o contínuo controle dos níveis de exposição de risco dos diversos processos de ; b. a criação e manutenção de procedimentos para o registro de informações em uma base de dados de riscos operacionais (que fomenta tanto o ciclo de gerenciamento de risco operacional quanto o processo decisório sobre tratamento de riscos); c. a alocação de capital para risco operacional (prevista pela legislação). Essa premissa deve buscar instrumentos para, com os controles sobre os processos de implementados e executados de forma eficaz e eficiente, obter o valor ótimo para essa alocação. abaixo: A partir dessas premissas, o modelo de gestão de risco operacional foi esquematizado como Figura 2 Modelo de gestão de risco operacional para o SICREDI. Esse modelo contempla todos os conceitos expostos nos capítulos 2 e 3 desse documento, envolvendo todas as entidades do Sistema e organizando o fluxo de atividades que compõem o gerenciamento de risco operacional. 6. PAPÉIS E RESPONSABILIDADES NA GESTÃO DE RISCO OPERACIONAL Por força da legislação pertinente, cada instituição financeira deve indicar um diretor responsável pelo gerenciamento do risco operacional junto ao Banco Central do Brasil. As instituições ligadas ao Sistema SICREDI realizam a indicação conforme a orientação da legislação vigente. Além disso, o SICREDI entende que gerenciar riscos é tarefa de todo colaborador do Sistema e, em função disso, o Regulamento de Gestão de Risco Operacional prevê e estipula o papel e a responsabilidade frente à gestão de risco operacional (e seus respectivos processos) das entidades e dos diversos cargos que compõem a estrutura hierárquica do Sistema. Página 4 de 14

6 7. REGULAMENTO DE GESTÃO DE RISCO OPERACIONAL O Regulamento de Gestão de Risco Operacional é o documento que expressa as políticas do SICREDI relativas ao risco operacional. Este regulamento, publicado em julho de 2007 no Portal Corporativo do SICREDI, foi aprovado pelo Sistema como a base de orientação relativa a todos os processos de gerenciamento de risco operacional. O Regulamento de Gestão de Risco Operacional, atendendo à legislação em vigor, prevê revisão periódica (no mínimo anual), visando adequação às modificações do Sistema, a adaptação às modificações na legislação vigente e a melhoria contínua dos processos. 8. PROCESSOS DE GESTÃO DE RISCO OPERACIONAL A metodologia utilizada para a condução do macroprocesso de gestão de risco operacional espelha a prática de mercado intitulada Risk-Control Self Assessment (RCSA) 1. Essa prática de mercado preconiza que as fases de identificação e de avaliação de riscos e controles devem ser realizadas pelos gestores do processo, com o controle dessas atividades sendo realizado por uma área própria para o gerenciamento de riscos buscando, com isso, a mais correta identificação de fatores de risco e de controles e a conseqüente acurácia na avaliação dessas informações. O macroprocesso de gestão de risco operacional está suportado por ferramenta tecnológica que realiza todo o ciclo de gerenciamento de risco operacional e o gerenciamento de incidentes (registro dos eventos de perda), e que é desenvolvido e mantido pela própria Confederação SICREDI. O macroprocesso de gestão de risco operacional definido para o SICREDI é composto pelos seguintes processos: 8.1. IDENTIFICAÇÃO DE RISCOS OPERACIONAIS O processo de identificação de riscos operacionais consubstancia-se no descobrimento e levantamento dos fatores de risco e dos controles que mitigam estes fatores de risco dos processos de analisados e sua posterior documentação. A forma pela qual se realiza essa identificação segue os seguintes procedimentos (que podem ser ou não aplicados, conforme a disponibilidade e necessidade): a) entrevistas com os gestores do processo de ; b) entrevistas com os usuários do processo de ; c) entrevistas com outras partes interessadas e/ou envolvidas no processo de ; d) questionários de auto-avaliação buscando identificar, dentro do dicionário de riscos e controles do Sistema, quais são as vulnerabilidades do processo de ; e) consulta a bases de dados externas, visando identificar fatores de risco externos que possam atingir o processo de estudado; f) levantamento e análise da documentação do processo de, buscando-se identificar outros riscos que não tenham sido anteriormente identificados através das entrevistas; g) técnicas DELPHI 2 e ferramentas de brainstorming 3, visando o amplo debate sobre o processo e suas vulnerabilidades correlatas. 1 Risk-control self assessment (RCSA): metodologia de identificação e avaliação de riscos originalmente criada na década de 80 pela empresa petrolífera canadense GULF, que se utiliza de questionários de auto-avaliação para identificar e avaliar os riscos da instituição estudada. 2 Técnica DELPHI: metodologia desenvolvida pela Rand Corporation para realizar projeções de cenário futuro a partir de premissas estabelecidas pelo contexto vivido por especialistas no assunto discutido. 3 Brainstorming: em inglês, literalmente significa tempestade de idéias. Reuniões para estabelecer o consenso entre especialistas sobre o debate do assunto em questão. Página 5 de 14

7 O processo é conduzido pela área de Risco Operacional e Segurança da Confederação SICREDI. O produto final da fase de identificação de riscos é a construção de uma matriz prévia de riscos, que delimita o escopo do trabalho. Os riscos e controles identificados são acumulados num dicionário de riscos e controles padronizando assim a informação para sua correta utilização por todas as entidades do Sistema. Figura 3 - Matriz prévia de riscos AVALIAÇÃO DE RISCOS OPERACIONAIS A partir da matriz prévia de riscos inicia-se o processo de avaliação de riscos operacionais, que consiste em: a) avaliação da probabilidade de ocorrência de um fator de risco; b) avaliação do impacto causado pela ocorrência de um fator de risco; c) avaliação da maturidade do controle sobre um fator de risco. A análise da maturidade do controle sobre os fatores de risco ocorre através da verificação da existência de controles formais sobre os fatores de risco e da sua aplicabilidade. Caso esses controles sejam deficientes (ou, mesmo, não existam), o cálculo final sobre os fatores de risco é incrementado exibindo assim a gravidade do fator de risco. Já as análises de probabilidade e de impacto podem ser qualitativas ou quantitativas, conforme a informação disponível para subsidiar a decisão Análise qualitativa A análise qualitativa é utilizada quando não há nenhuma informação ou informações insuficientes para realizar uma análise estatística das ocorrências dos fatores de risco na base de dados de riscos operacionais. A avaliação da existência da informação suficiente deve levar em conta apenas as bases de dados de perdas operacionais do SICREDI. Informações de bases externas de perdas operacionais são utilizadas somente para referenciar uma tendência de decisão. Página 6 de 14

8 Para a diminuição da subjetividade na avaliação da probabilidade e do impacto, o processo de avaliação de riscos operacionais possui tabelas com parâmetros para a determinação da probabilidade e do impacto. Para a probabilidade, a tabela está dividida em cinco níveis de possibilidade de ocorrência de eventos (quantidade de falhas existentes no processo versus a quantidade de execução do processo), como pode ser visto abaixo: Figura 4 Escala de níveis de probabilidade. Para a determinação do impacto, é utilizada uma parametrização que leva em conta as diferentes dimensões de impacto existentes sobre os processos de. Cada dimensão (atualmente, são dimensões ações judiciais ou multas, prejuízo financeiro, imagem, inconformidade com legislação, pessoas e descontinuidade do cada uma com cinco graus de incidência, conforme pode ser visto na figura abaixo: IMPACTO Ação judicial/multas Prejuízo financeiro Imagem Inconformidade com legislação Pessoas Descontinuidade de Muito Alto 5 - Interrupção completa das atividades 5 - Maior que o patrimônio líquido da 5 - Inviabilização do suportado pela 5 - Interrupção completa das atividades 5 - Morte ou dano irreversível à vida das pessoas (colaboradores, terceiros e associados) 5 - Após SLA de solução com perdas financeiras não suportadas pela Alto 4 - Pagamento de valor que comprometa o patrimônio líquido da instituição 4 - Maior do que o fluxo de caixa da 4 - Necessidade de mudança no suportado pela 4 - Necessidade de adaptação urgente 5 - Indisponibilidade de pessoal que comprometa a atividade central da 4 - Após SLA de soluçào com perdas financeiras suportadas pela Página 7 de 14

9 Médio 3 - Pagamento de valor que prejudique o desempenho financeiro da 3 - Maior do que o previsto para perdas operacionais da 3 - Necessidade de publicação em meios de comunicação das informações 3 - Inviabiliza o atendimento da linha de, mas permite o trabalho em outras tarefas 5 - Indisponibilidade de pessoal que não comprometa a atividade central da 3 - De 60% até 100% do tempo de SLA de solução Baixo 2 - Multa ou punição que prejudique o desempenho dos processos operacionais da 2 - Lançamento suportado pela previsão de perdas operacionais da 2 - Necessidade de explicações informais ao mercado 2 - Prejudica o atendimento da 2 - Abalo moral da equipe, que não constitui indisponibilidade de pessoal 2 - De 20% até 60% do tempo de SLA de solução Muito Baixo 1 - Nenhum valor ou valor irrisório para o desempenho financeiro da 1 - Lançamento suportado pelo orçamento operacional da 1 - Sem necessidade de explicações ao mercado 1 - Possibilita procedimentos operacionais de contorno 1 - Leve abalo moral da equipe 1 - Até 20% do tempo de SLA de solução Figura 5 Matriz com as dimensões dos impactos e seus graus. A partir da escolha do grau de impacto de cada dimensão, o valor do impacto é calculado com base na fórmula abaixo: ( VAxPa) + ( VPjxPj) + ( VIxPI) + ( VLxPL) + ( VPsxPPs) + ( VDxPD) GRAU _ IMPACTO= 10 Aonde: VA é o valor de referência da opção selecionada no grupo Ação Judicial/Multas PA é o valor atribuído ao peso do grupo Ação Judicial/Multas VPj é o valor de referência da opção selecionada no grupo Prejuízo Financeiro PPj é o valor atribuído ao peso do grupo Prejuízo Financeiro VI é o valor de referência da opção selecionada no grupo Imagem PI é o valor atribuído ao peso do grupo Imagem VL é o valor de referência da opção selecionada no grupo Inconformidade com Legislação PL é o valor atribuído ao peso do grupo Inconformidade com Legislação VPs é o valor de referência da opção selecionada no grupo Pessoas PPs é o valor atribuído ao peso do grupo Pessoas VD é o valor de referência da opção selecionada no grupo Descontinuidade de Negócio PD é o valor atribuído ao peso do grupo Descontinuidade de Negócio Um exemplo desse cálculo pode ser visto na figura abaixo: Página 8 de 14

10 Figura 6 Cálculo do impacto de um determinado fator de risco. O resultado desse cálculo é atribuído como impacto para cada fator de risco dentro da seguinte classificação: CLASSIFICAÇÃO DO GRAU DE IMPACTO MUITO ALTO Maior ou igual a 4 ALTO Entre 3 e 3, MÉDIO Entre 2 e 2, BAIXO Entre 1 e 1, MUITO BAIXO Menor do que 1 Figura 7 Atribuição do grau de risco Análise quantitativa A análise quantitativa é utilizada quando a base de dados de perdas operacionais possui informação suficiente para o cálculo de uma distribuição estatística confiável. Dessa forma, pode-se obter uma freqüência de ocorrência de eventos de perda (probabilidade) e o impacto da ocorrência desses eventos e, a partir das informações do passado, realizar estimativas para a determinação dos níveis de risco. A partir da construção das matrizes prévias de risco, devem ser realizadas as seguintes atividades: a) avaliação da base histórica de perdas operacionais para avaliar a freqüência possível da ocorrência do fator de risco e dos impactos provocados pela ocorrência dos fatores de risco; b) elaboração de questionários de auto-avaliação para que os gestores e usuários do processo de dentro da disponibilidade e possibilidade façam a avaliação da probabilidade, do impacto e da maturidade do controle; c) realização do cruzamento das informações da base de perdas de riscos operacionais com as informações das auditorias internas e externas, avaliando a confiabilidade das informações; d) consolidação dos níveis de risco de cada categoria de risco, a partir da soma dos graus de risco de cada fator de risco Apuração do grau de risco Página 9 de 14

11 Independentemente da forma da análise (quantitativa ou qualitativa), a soma dos graus de risco de cada categoria varia num intervalo numérico de 1 a 50. Dessa forma, cada categoria de risco recebe uma classificação, seguindo a seguinte escala: a) risco BAIXO: quando a soma dos graus de risco da categoria estiver no intervalo [1, 5); b) risco MÉDIO: quando a soma dos graus de risco da categoria estiver no intervalo [5, 12); c) risco ELEVADO: quando a soma dos graus de risco da categoria estiver no intervalo [12, 20); d) risco EXTREMO: quando a soma dos graus de risco da categoria estiver no intervalo [20, 50]. O produto final da fase de avaliação de riscos é a matriz de riscos construída, conforme pode ser visualizado na imagem abaixo: Figura 8 Matriz de riscos operacionais TRATAMENTO DOS RISCOS OPERACIONAIS Após a construção da matriz de riscos, são planejadas as estratégias de mitigação de riscos os planos de ação de tratamento de riscos operacionais. Esses planos de ação levam em conta cinco estratégias: a) aceitar o risco. Uma estratégia de aceitação do risco é definida quando o nível de risco está dentro dos limites que a administração do processo considera aceitável; b) evitar o risco. Evita-se o risco quando considera-se que a exposição ao risco é inaceitável, não existindo formas de controle suficientes para que o risco seja convenientemente mitigado; c) transferir o risco. Uma estratégia de transferência de riscos é definida quando existe capacidade suficiente de transferir a responsabilidade por arcar com o custo de eventual perda operacional (normalmente, operações seguradas ou contratos com cláusulas de SLA Service Level Agreement); d) mitigar o risco. Mitiga-se o risco quando são realizadas modificações no processo com o fito de torná-lo mais seguro frente às vulnerabilidades detectadas nas etapas anteriores; e) reter o risco. Retém-se o risco quando há a capacidade de gerar reservas financeiras internas suficientes para cobrir eventuais despesas com perdas operacionais, sem terceirizar o risco. A aplicação dos planos de ação é realizada pela área responsável pela gestão do processo, e o controle da aplicação dos planos de ação para o tratamento de riscos operacionais é realizado pela área de Risco Operacional e Segurança da Confederação SICREDI MONITORAMENTO DOS RISCOS OPERACIONAIS Página 10 de 14

12 O monitoramento dos riscos se dá através de duas ações paralelamente: a) o constante acompanhamento dos indicadores-chave de risco. Estes indicadores são construídos durante a composição das matrizes de risco e verificam possíveis desvios no comportamento do processo de. Sua verificação é realizada através da consulta de painéis de controle elaborados para cada processo de individualmente; b) uso do processo de comunicação para reporte imediato da modificação das condições de fatores de risco. Essa modificação das condições dos fatores de risco pode ser provocada por alterações das etapas e procedimentos dos processos de ou modificações do ambiente externo que influam no processo de em questão. O monitoramento dos riscos operacionais é uma atividade compartilhada entre os gestores do processo de e a área de Risco Operacional e Segurança da Confederação SICREDI REGISTRO DE PERDAS OPERACIONAIS Todas as ocorrências de perdas operacionais são traduzidas, após a sua devida investigação e apuração, em eventos de perda operacional. Esses eventos devem ser classificados conforme as categorias dispostas no capítulo 2 deste documento, e performam a base de dados de perdas operacionais ferramenta indispensável para a qualificação da gestão de risco operacional. Esse registro deve ser realizado assim que constatada a perda ou sua possibilidade real e pode ser realizada por qualquer colaborador do Sistema. A área de Risco Operacional e Segurança é a responsável pelo processo de registro de eventos de perdas operacionais RELATÓRIOS ANUAIS DE RISCO OPERACIONAL Todo o ciclo de gerenciamento de risco operacional (identificação, avaliação, tratamento e monitoramento descritos nos itens 8.1 a 8.4 deste documento) deve ser documentado para a geração de relatório anual de risco operacional. Esse relatório é gerado individualmente para cada instituição componente do Sistema, e leva em conta: a) os incidentes e eventos de perda ocorridos no período analisado; b) as análises e matrizes de risco operacional geradas no período analisado; c) os planos de ação trabalhados no período analisado; d) o desempenho dos indicadores chave de risco no período analisado; e) outras condições externas que podem favorecer uma melhor análise do processo de no período analisado. O relatório anual gerado pela área de Risco Operacional e Segurança é aprovado pelo Conselho de Administração de cada instituição. A responsabilidade pela manutenção das informações necessárias para a elaboração e construção do relatório é da área de Risco Operacional e Segurança da Confederação SICREDI SISTEMA DE GESTÃO DE RISCO OPERACIONAL Atendendo ao disposto na Resolução CMN 3.380/06, o SICREDI desenvolveu aplicativos computacionais para a organização do ciclo de gerenciamento de risco operacional e o armazenamento das informações acerca dos eventos de perda e dos riscos potenciais existentes em todo o Sistema. A partir de 2008, as instituições ligadas ao Sistema comunicam incidentes e respondem os formulários de auto-avaliação de risco operacional (sempre seguindo a metodologia descrita nos tópicos anteriores), Página 11 de 14

13 com o gerenciamento do processo sendo efetuado pela área de Risco Operacional e Segurança da Confederação SICREDI. 9. ALOCAÇÃO DE CAPITAL PARA RISCO OPERACIONAL Em abril de 2008, o Banco Central do Brasil publicou a Circular BACEN n 3.383/08, dispondo sobre a alocação de capital que as instituições financeiras brasileiras devem realizar para risco operacional. Essa normatização, ligada ao que dispõem as Resoluções CMN n 3.380/06 e CMN n 3.490/07, conclui um primeiro ciclo de implantação no sistema financeiro nacional dos conceitos e proposições ligados ao Novo Acordo de Capitais da Basiléia (2004). Especificamente ao que é relacionado a Risco Operacional, a normatização vigente sugere três possibilidades (modelos) de cálculo de alocação de capital referente à parcela de Risco Operacional (POpr) - a Abordagem do Indicador Básico, a Abordagem Padronizada Alternativa e a Abordagem de Mensuração Avançada. Estes três modelos de cálculo já foram objeto de estudo desde a criação e designação da área de Risco Operacional e Segurança da Confederação SICREDI como responsável pelo gerenciamento de risco operacional de todo o Sistema (excetuando-se o Banco Cooperativo SICREDI e as empresas ligadas). Esse estudo abrange quais modelos são passíveis de adoção pelo Sistema num primeiro momento, seus requisitos para a implantação, que implementações (de processos de e de sistema) serão necessárias para cada uma das abordagens e que esforços seriam necessários para cada modelo implementado. A partir destes estudos preliminares, a Confederação SICREDI (através da área de Risco Operacional e Segurança) adotou para todas as cooperativa singulares e centrais estaduais o modelo de Abordagem do Indicador Básico. A opção por este modelo deve-se à necessidade, para adoção dos modelos mais complexos (a Abordagem Padronizada Alternativa e a Abordagem de Mensuração Avançada), de históricos de informações e de adaptações na estrutura e nos sistemas que prescindem de prazo para desenvolvimento e implantação (tais como a base de dados de eventos de perda de risco operacional e a segregação contábil das linhas de de cada instituição). Cabe lembrar que o diagnóstico pelas autoridades fiscalizadoras da inadequação da adoção de modelos superiores à Abordagem do Indicador Básico pode acarretar conseqüências danosas a toda a estrutura de alocação da capital para risco das instituições - fazendo com que a opção por um caminho seguro e de crescimento e complexidade gradativos seja vista como a ideal. A Abordagem do Indicador Básico está definida no Novo Acordo de Capitais da Basiléia (e respaldada na legislação atinente brasileira) como "...a média de uma porcentagem fixa (designada alfa) da receita bruta anual positiva dos três anos anteriores." (Parágrafo 649 do documento "Convergência Internacional de Mensuração de Capital e Padrões de Capital", publicado pelo Comitê da Basiléia sobre a Supervisão Bancária). Para o cálculo dessa média, alguns conceitos precisam ser expostos: 1. Para a mensuração dos valores de receita bruta, consideram-se os valores de receitas financeiras líquidas e as receitas financeiras não-líquidas. Nessas despesas, devem estar incluídas quaisquer provisões existentes, despesas operacionais (incluindo taxas pagas para prestadores de serviço terceirizados e excluídos os lucros e perdas realizados da venda de títulos mobiliários no registro bancário e os itens extraordinários ou irregulares - bem como a receita originada de seguro; 2. A média da receita bruta dos três últimos anos deve excluir resultados negativos (e a divisão para obtenção da média deve considerar, como denominador, a quantidade de meses em que se obteve resultado positivo). Página 12 de 14

14 Apurando-se a base de cálculo como exposto acima, aplica-se o percentual alfa - obtendo-se assim o valor necessário da alocação de capital. Esse percentual, segundo a Circular BACEN n 3.383/08, será de 15% (quinze por cento). Especificamente para o Brasil, os órgãos reguladores estabeleceram um modelo escalar para o cálculo da parcela de alocação de capital (POpr) - inserindo um multiplicador (chamado de multiplicador "Z") no cálculo da parcela de alocação de capital. O resultado da aplicação desse multiplicador é a diminuição do impacto inicial nas instituições financeiras dessa nova metodologia. O agendamento da utilização do multiplicador é exposto na tabela abaixo: Prazo de utilização Valor do multiplicador De a ,05 De a ,20 De a ,35 De a ,50 De a ,80 A partir de ,00 Figura 9 Tabela de multiplicadores Z. A parcela POpr é componente do Patrimônio de Referência Exigível, regulado pela Resolução CMN n 3.490/07. Ela será apurada a partir de primeiro de julho de 2008 pela Confederação SICREDI, com periodicidade semestral (como requerido pela legislação). A Confederação SICREDI comunicou, dentro dos prazos adequados pela Circular BACEN n 3.383/08, ao Banco Central do Brasil, a forma pela qual as instituições ligadas ao SICREDI irão calcular sua alocação de capital para risco operacional. Paralelo a isso, a Confederação SICREDI está elaborando planejamento das atividades necessárias (envolvendo readequações contábeis, preponderantemente) para o quanto antes seja possível adotar metodologias de cálculo de alocação de capital superiores em complexidade sem colocar em risco a confiabilidade e sustentabilidade das instituições financeiras integrantes do Sistema. 10. GESTÃO DE CONTINUIDADE DE NEGÓCIO A gestão de continuidade de é uma disciplina da gestão de risco operacional e age sobre a continuidade e disponibilidade dos serviços oferecidos pelo SICREDI aos seus associados. Essa ação de garantia da continuidade deve prever, tanto por força da regulamentação disposta pela resolução CMN/BACEN 3.380/06 quanto pelo próprio requerimento de alta disponibilidade dos serviços, estruturas e planos de contingência que resultem na garantia de continuidade total dos serviços e sistemas do SICREDI minimizando, assim, a ocorrência de eventos de perda operacional. Todos os serviços considerados como críticos dentro do SICREDI possuem planos de continuidade operacional devidamente compostos, documentados e testados segundo a norma BS25999 (norma mais aceita mundialmente em Gestão de Continuidade de Negócio, organizada pelo British Standart Institute) seguindo-se assim as melhores práticas do mercado em continuidade de s. Os testes periódicos para continuidade operacional são agendados semestralmente e os testes de verificação para recuperação de desastres são revisados anualmente estando, portanto, em aderência à legislação vigente. Página 13 de 14

15 11. REVISÃO E ATUALIZAÇÃO A área de Risco Operacional e Segurança é a responsável pela monitoria, revisão e atualização desta estrutura, atendendo a Resolução CMN/Bacen 3.380/06. Página 14 de 14