Política de Risco Operacional

Transcrição

1 Política de Risco Operacional

2 Controle do Documento Data Autor Versão Outubro/2010 Compliance 001 Dezembro/2011 Compliance 002 Dezembro/2012 Compliance 003 Agosto/2014 Compliance 004 Agosto/2015 Compliance 005 Junho/2016 Compliance 006 Agosto/2016 Compliance 007 Revisão do Documento Data Área Versão Alterações/Inclusões Outubro/2010 Risco Operacional 001 Criação do documento Novembro/2011 Risco Operacional 002 Atualização do documento Dezembro/2012 Risco Operacional 003 Atualização do documento Agosto /2014 Risco Operacional 004 Atualização do documento Agosto/2015 Risco Operacional 005 Atualização do documento Junho/2016 Risco Operacional 006 Atualização do documento Agosto/2016 Risco Operacional 007 Atualização do item 4.5 Aprovação do Documento Data Aprovação Versão Gestor Responsável Outubro/2010 SCM 001 François-Xavier Gilliot Dezembro/2011 SCM 002 François-Xavier Gilliot Dezembro/2012 SCM 003 François-Xavier Gilliot Agosto /2014 Diretor Responsável 004 João Luiz Macedo Agosto/2015 Diretor Responsável 005 João Luiz Macedo Junho/2016 Diretor Responsável 006 João Luiz Macedo Setembro/2016 CFO/COO 007 João Luiz Macedo Vigência Esta Políticas de Risco Operacional tem caráter permanente. O conteúdo presente neste documento poderá ser modificado a qualquer momento de acordo com as necessidades vigentes. Os profissionais do Banco Natixis, bem como prestadores de serviço deverão, sempre que necessário, consultar a última versão disponível. Página 2 de 11

3 Sumário GERENCIAMENTO DO RISCO OPERACIONAL Introdução Sobre a política OBJETIVO PÚBLICO ALVO E RESPONSABILIDADES MANUTENÇÃO E REVISÃO DO DOCUMENTO REGISTRO DA QUALIDADE CUMPRIMENTO E SANÇÕES REGULAMENTAÇÃO ASSOCIADA DIVULGAÇÃO Sobre o gerenciamento do Risco Operacional PRINCIPAIS DIRETRIZES DA POLÍTICA DE RISCO OPERACIONAL METODOLOGIA PARA CÁLCULO DA PARCELA RWAOPAD Estrutura e responsabilidades de gerenciamento de risco operacional ESTRUTURA DA ÁREA DE RISK MANAGEMENT ATRIBUIÇÕES E RESPONSABILIDADES AGENTES DE RISCO OPERACIONAL Estrutura de gestão de risco operacional COMUNICANDO INCIDENTES INCIDENTES SÉRIOS PROCEDIMENTO DE ALERTA PROCESSO DE IDENTIFICAÇÃO E COMUNICAÇÃO DE INCIDENTE PROCESSO DE AVALIAÇÃO DOS INDICADORES CHAVE DE RISCO Mapeamento de risco MAPEAMENTO DE RISCO Plano de Continuidade OBJETIVO E ESCOPO OBJETIVOS DE RECUPERAÇÃO DA INSTITUIÇÃO Relatórios de Divulgação Externa GOVERNANÇA E TRANSPARÊNCIA DIVULGAÇÃO INFORMAÇÃO DE CONTROLE Tratamento de exceções Página 3 de 11

4 Introdução GERENCIAMENTO DO RISCO OPERACIONAL O Conselho Monetário Nacional (CMN), por intermédio da Resolução nº do Banco Central do Brasil (BACEN), de 29/7/2006, determinou às instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil a implementação de uma estrutura de gestão de risco operacional. Compreendem-se por risco operacional as seguintes diretrizes que consistem na possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, bem como de eventos externos. A definição de risco operacional, no que tange o risco legal, é associada à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição. A direção do Natixis Brasil S/A Banco Múltiplo (''NB ou Natixis Brasil'') e a estrutura de Risk Management reconhecem que o risco operacional é um componente inevitável de todas as operações realizadas e, por isso estão comprometidos em estabelecer, manter e aprimorar de forma contínua o gerenciamento dos riscos da instituição. Junto a isso, risco legal e risco reputacional podem afetar o negócio do banco como um todo, trazendo impactos no resultado do negócio. Dessa forma, o NB visa estabelecer suas estratégias baseadas nos princípios de Governança Corporativa, pautadas por processos e comunicação transparentes, definição adequada de funções e responsabilidades sobre toda a organização. 1. Sobre a política 1.1. OBJETIVO Esta política inclui os objetivos do departamento de Risk Management, nas atividades de Risco Operacional ( OR ), do Natixis Brasil S/A Banco Múltiplo ( NB ) e define os componentes para o gerenciamento do Risco Operacional, com objetivo de implementar uma estrutura integrada e efetiva, bem como orientar os colaboradores quanto às suas responsabilidades com a gestão desta forma de risco PÚBLICO ALVO E RESPONSABILIDADES As informações constantes nesta política se aplicam a área de Risk Management e aos demais colaboradores da instituição. Ademais, as diretrizes presentes nesta política também são aplicáveis para todas as empresas prestadoras de serviços terceirizados relevantes para o funcionamento da instituição e seus funcionários MANUTENÇÃO E REVISÃO DO DOCUMENTO Conforme a Resolução nº /06 do Conselho Monetário Nacional, a revisão das políticas e procedimentos da gestão de riscos operacionais deve ser efetuada, no mínimo, anualmente sendo a área de Compliance responsável pela revisão e a direção do banco responsável pela aprovação. Em caso de alterações nos procedimentos, é responsabilidade do gestor da área comunicar a área de Compliance para que seja realizada a manutenção e a atualização deste documento. Ademais, em casos de possíveis alterações, as mesmas somente serão efetuadas nos casos relevantes que justifiquem a emissão de uma nova versão REGISTRO DA QUALIDADE Todas as versões desta política de gestão de Risco Operacional devem ser arquivadas pela área de Compliance pelo prazo mínimo de cinco anos a partir de sua data de alteração. Página 4 de 11

5 1.5. CUMPRIMENTO E SANÇÕES O cumprimento das políticas e procedimentos da gestão de riscos operacionais será monitorado pelas áreas de Compliance, Auditoria Interna e Natixis US Wholesale Banking Operational Risk. Adicionalmente, o cumprimento da Resolução nº /06 será monitorado pelo BACEN, estando o Natixis Brasil S.A. Banco Múltiplo sujeito a sanções do órgão regulador pelo não cumprimento da mesma REGULAMENTAÇÃO ASSOCIADA Resolução nº do Banco Central do Brasil, do dia 29 de Junho de DIVULGAÇÃO Esta política deverá ser divulgado a todos os colaboradores pela área de Compliance através de meio eletrônico, no mínimo anualmente. Adicionalmente, a política estará disponível para consultas no diretório público da instituição através do endereço: P:\Services\Division\Audit&Compliance\Public\Políticas e Procedimentos Natixis - Geral\Manuais de Riscos. 2. Sobre o gerenciamento do Risco Operacional 2.1. PRINCIPAIS DIRETRIZES DA POLÍTICA DE RISCO OPERACIONAL A área de Risk Management, a qual é presta atividades de gestão dos riscos operacionais (Operational Risk OR) do Natixis Brasil (NB) é responsável por identificar, monitorar e reportar o risco operacional que está inserido na instituição. Fica a cargo da área também a implementação e gerenciamento da estrutura de risco operacional estabelecido pelo Natixis Risk Department, US Wholesale Banking OR Department, cumprindo com a regulamentação local. O risco operacional, de acordo com a definição da Resolução nº de 29 de junho de 2006 do CMN, consiste na possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, bem como de eventos externos. O gerenciamento de risco operacional presente no NB, segue as diretrizes globais, juntamente com as normas estabelecidas pela Resolução nº 3.380, e conta com suporte, ferramentas e supervisão do Natixis US Wholesale Banking do Departamento Risco Operacional. A estrutura de gerenciamento de risco operacional foi definida pelo Natixis US Wholesale Banking em conjunto com a alta administração local e é responsável pelo monitoramento e reporte dos riscos operacionais. As principais atribuições são: Monitoramento e reporte dos riscos operacionais; Manter atualizado o mapeamento de risco; Garantir efetiva coleta e reporte dos incidentes de risco; Estabelecer a cultura de sensibilização sobre o Risco Operacional; Gerenciar OSIRISK (ou aplicação de TI); Coordenar ações com outras funções de controle; Participar como um membro ativo do comitê de Novos Produtos. Entre os eventos de risco operacional, incluem-se: I. fraudes internas; II. fraudes externas; Página 5 de 11

6 III. IV. demandas trabalhistas e segurança deficiente do local de trabalho; práticas inadequadas relativas a clientes, produtos e serviços; V. danos a ativos físicos próprios ou em uso pela instituição; VI. VII. VIII. aqueles que acarretem a interrupção das atividades da instituição; falhas em sistemas de tecnologia da informação; falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição. Vale ressaltar que os eventos supracitados são totalmente suportados por um sistema global do Natixis, denominado OsiRisk. Dito isso, os eventos contextualizados pela norma local são abrangidos pelo sistema global a partir de uma alocação gerencial com objetivo de reporte externo. Exemplificando desta forma: Classificação do Bacen ao Risco Operacional Fraudes Internas Fraudes Externas Demandas trabalhistas e segurança deficiente do local de trabalho Práticas inadequadas relativas a cliente, produtos e serviços Danos a ativos físicos próprios ou em uso pela instituição Aqueles que acarretem a interrupção das atividades da instituição Falhas em sistemas de tecnologia de informação Falhas na execução, cumprimentos de prazos e gerenciamento das atividades na instituição Classificação Gerencial para o Risco Operacional Internal Fraud External Fraud Employment Practices and Workplace Safety Clients, Products and Business Practices Damage to Physical Assets Business Disruptions and System Failures Business Disruptions and System Failures Execution, Delivery and Process Management Ademais, além dos riscos requeridos pelo Bacen a metodologia interna do Banco é composta por uma categoria outros que engloba: número de pontos de Auditoria Interna que são classificados como extremos e estão atrasados; número de pontos de Auditoria Interna que são classificados como alta prioridade e estão atrasados por mais de 6 meses; número de transações as quais envolvem produtos que não são aprovadas pelo NPC (New Products Commitee); e número de transações sem aprovação de limite METODOLOGIA PARA CÁLCULO DA PARCELA RWAOPAD Como requerido pelo órgão regulador e estabelecido na Resolução nº 3.640/13, publicada pelo Banco Central do Brasil, o Natixis Brasil adota a metodologia de Abordagem do Indicador Básico (BIA), com o objetivo de apurar a parcela de capital para cobertura de Risco Operacional (RWAopad). A metodologia de Abordagem do Indicador Básico estabelece que o capital a ser alocado para riscos operacionais deve ser calculado semestralmente, considerados os últimos três períodos anuais. O Indicador de Exposição ao Página 6 de 11

7 Risco Operacional (IE) corresponde, para cada período anual, à soma dos valores semestrais das receitas de intermediação financeira e das receitas com prestação de serviços, deduzidas as despesas de intermediação financeira. 3. Estrutura e responsabilidades de gerenciamento de risco operacional 3.1. ESTRUTURA DA ÁREA DE RISK MANAGEMENT A estrutura de Gerenciamento do Risco Operacional visa permitir adequada Governança nos controles e decisões estratégicas relacionadas ao risco operacional no Natixis, a saber: Natixis US Wholesale Banking (Operational Risk): Estabelece diretrizes e padrões sobre os mecanismos para a gestão do risco de operacional. O Natixis Brasil possui reporte funcional para a plataforma Americas do Natixis (Natixis US Wholesale Banking em NY); Diretoria Executiva do Natixis Brasil S/A Banco Múltiplo: Gerencia o monitoramento e reporte dos riscos operacionais; e Área de Risk Management: Operacionaliza as atividades relacionados a gestão de riscos operacionais (maiores detalhes no item 3.2 abaixo) ATRIBUIÇÕES E RESPONSABILIDADES A área de Risk Management, no que tange a gestão do OR, que atualmente é representada por prestadores de serviços terceiros, implementa a estrutura de gerenciamento de risco operacional definida pelo Natixis US Wholesale Banking em conjunto com a alta administração local e é responsável pelo monitoramento e reporte dos riscos operacionais. As principais atribuições são: Monitoramento e reporte dos riscos operacionais Garantir que os procedimentos de risco operacional são efetivos e estão aplicados consistentemente pelo NB; Gerenciar e atualizar o conjunto de plano de ações/ações corretivas para mitigar riscos atuais e potenciais; e Preparar relatórios consolidados (diretamente à Alta Administração do NB e US Chief OR Officer). Manter atualizado o mapeamento de risco Conduzir a completa análise de risco das linhas de negócio, suporte e funções de controle. Garantir efetiva coleta e reporte dos incidentes de risco Coletar e reportar os incidentes de risco do NB; Conduzir profundas investigações de incidentes de alta severidade, conforme o Procedimento de Incidentes Sérios; e Gerar de alerta para a Alta Administração do NB quando um evento de alta seriedade ocorrer. Estabelecer a cultura de sensibilização sobre o Risco Operacional Oferecer instruções sobre a estrutura de gerenciamento de Risco Operacional; e Organizar sessões de treinamento. Gerenciar OSIRISK (ou aplicação de TI) Atuar como primeiro contato para gestores de projeto administrando OSIRISK da matriz em Paris; Página 7 de 11

8 Representar os Agentes de Risco Operacional através da comunicação de suas solicitações e priorizando necessidades junto ao head office; e Prover treinamento de sistema para os Agentes de Risco Operacional. Coordenar ações com outras funções de controle Auditoria Interna; Jurídico; Compliance; e Inspeções gerais da Matriz. Participar como um membro ativo dos seguintes comitês ALCO Participar de treinamentos atribuídos por NY referentes ao tema de OR O correspondente da área de Risco Operacional no Natixis Brasil, representado pelo COO/CFO deverá realizar anualmente o treinamento de Risco Operacional disponibilizado pela área de Risco Operacional de New York AGENTES DE RISCO OPERACIONAL A rede de Agentes de Risco Operacional é composta dos funcionários das linhas de negócio (funcionários ou terceiros), suporte e funções de controle. Eles são responsáveis pela aplicação diária das políticas e procedimentos de Risco Operacional e devem garantir a coleta adequada e transferência de informação relacionada a incidentes. As principais atividades dos Agentes de Risco Operacional são: Organizar a coleta e captura dos incidentes no tempo adequado; Alertar a área de OR imediatamente na descoberta de uma séria incidência; Participar do mapeamento dos riscos nos processos; Reportar os Keys Risk Indicators para a área de Risk Management; e Prover atualizações para a área de OR nos planos de ação/ações corretivas. 4. Estrutura de gestão de risco operacional Este procedimento define como e quando os incidentes são registrados pelos Agentes de Risco Operacional ao longo da instituição. Também descreve o conteúdo do relatório de incidentes do OSIRISK COMUNICANDO INCIDENTES Todos os incidentes que ocorrerem e são reconhecidos como risco operacional devem ser registrados pelo OSIRISK no momento de sua descoberta, independentemente do impacto financeiro. Junto a isso, incidentes que resultarem em ganhos ou perdas, incidentes que tiverem impactos não financeiros (exemplo: risco reputacional) devem ser capturados no OSIRISK. As áreas de negócio, suporte e funções de controle estão permitidas em reportar incidentes recorrentes com periodicidade mensal e de forma agregada. Contudo, devem indicar o número de ocorrências. Página 8 de 11

9 Será enviado relatório de incidentes de risco operacional para a equipe de Risco Operacional em Nova York. Essa comunicação se dará ou por para Michael Barry e Andrew Kang ou via sistema Osirisk INCIDENTES SÉRIOS Um incidente pode ser considerado sério se: A realizada ou estimada perda financeira é ao menos USD; O incidente causou elevado dano reputacional para o banco (exemplo: disseminação de informação não controlada ao público externo); Informação usada para o gerenciamento das atividades do banco não estão disponíveis (exemplos: dados incorretos, atraso no envio das informações); Ocorrência de fraude interna ou externa; Um incidente em potencial que pudesse causar sérias consequências; e A área de OR classificar o incidente como sério. A classificação de um incidente como sério pode estar a critério do Chief US OR Officer ou Head of Risks. A área de Risk Management pode, entre outros aspectos, solicitar o Alert Procedure para ser aplicado mesmo se o incidente não tenha impacto financeiro ou não permita classificação nos critérios adotados PROCEDIMENTO DE ALERTA Conforme o Agente de Risco Operacional determinar que o incidente possa ser considerado sério, um alerta deve ser transmitido para a área de OR pela obtenção do incidente no OSIRISK. Se o incidente é relacionado a uma fraude, a mensagem irá informar que os detalhes do incidente são confidenciais PROCESSO DE IDENTIFICAÇÃO E COMUNICAÇÃO DE INCIDENTE A área de Risk Management conduz a investigação e elabora um relatório detalhado sobre o incidente. A investigação pode ser conduzida em conjunto com a Auditoria Interna, Jurídico e Compliance. Os Agentes de Risco Operacional indicados para a investigação devem auxiliar na coleta de informações das respectivas áreas que pertencem. A seção sobre a análise do incidente descrito no reporte deve conter a descrição da causa do incidente e a identificação das falhas do processo. Esta análise deve também descrever qualquer fator adicional que possa contribuir na resolução do incidente (exemplo: falha em controles, condições de mercado, eventos de crédito). A seção sobre os aspectos financeiros da ocorrência devem incluir o impacto financeiro em USD, quando aplicável, e devem ser reconciliados com a área de Risk Management. O reporte deve listar os planos de ação/ações corretivas (exemplo: ações de proteção no curto prazo, ações de longo prazo) que foram estabelecidos com os Agentes de Risco Operacional e os gestores das áreas. A área de Risk Management deve verificar que o cenário potencial de risco correspondente ao incidente consta do mapeamento de risco para a área. Caso o cenário não conste, o gestor da área de Risk Management adicionará este incidente como um novo cenário de risco em potencial ao mapeamento de risco e mencionará as medidas preventivas que devem ser tomadas baseadas no plano de ação/ações corretivas. O gestor da área de Risk Management é responsável pela publicação do relatório do incidente mensal e anual. O relatório final é distribuído para o Agente de Risco Operacional responsável pela implementação do plano de ação, os membros que receberam o alerta inicial e aos relevantes Heads das áreas de negócio. Em decorrência de um Página 9 de 11

10 desacordo sobre linhas de negócio e área de Risk Management, a decisão sobre a distribuição do relatório será realizada pelo Head of Risks PROCESSO DE AVALIAÇÃO DOS INDICADORES CHAVE DE RISCO A área de Risk Management e os Agentes de Risco Operacional devem realizar anualmente, em conjunto, a revisão da relação de todos os indicadores chaves de riscos do Natixis NY que deve avaliar a adequação dos indicadores sugeridos. Depois do processo de revisão dos indicadores, o CFO/CEO do Natixis Brasil deve avaliar se os indicadores estão de acordo com a realidade do Banco. Os indicadores aprovados devem ser avaliados pela área de Risk Management e os Agentes de Risco Operacional em periodicidade mensal, na qual devem questionar as áreas responsáveis por cada indicador para posterior formalização do relatório denominado KRI (Key Risk Indicators). As informações referentes ao relatório KRI, e- mails de confirmação de recebimento e resposta ao questionamento para incidentes de OR, são armazenados no seguinte diretório de rede da instituição: P:\Services\Division\Risk\Operational Risk\Relatórios KRI. Ao término do processo de levantamento de informações com as áreas responsáveis e respectiva formalização do relatório a área de Risk Management e os Agentes de Risco Operacional devem enviar o relatório para análise e aprovação do CFO/CEO do Natixis Brasil e encaminhar o relatório anualmente para Natixis NY 5. Mapeamento de risco A área de Risk Management e os Agentes de Risco Operacional periodicamente revisam o mapeamento de risco para cada linha de negócio do NB, suporte e funções de controle MAPEAMENTO DE RISCO O processo de mapeamento consolidado de riscos operacionais ocorrerá anualmente, iniciado a partir do segundo semestre, quando o Mapa de Risco será apresentado no Comitê de Risco Operacional. O mapeamento será conduzido pela área de Riscos Operacionais do Natixis New York e o COO/CFO do Natixis Brasil, como correspondente de Risco Operacional para o Brasil. O Senior Country Manager do Natixis Brasil fará parte do Comité de Risco Operacional. 6. Plano de Continuidade Maiores detalhes a respeito do plano de continuidade podem ser encontrados no normativo interno e demais documentos de continuidade de negócios OBJETIVO E ESCOPO O objetivo deste plano é fornecer estrutura e informações para ajudar a empresa a recuperar suas atividades críticas durante uma interrupção de negócios ou evento crise. O escopo de negócios deste plano é o seguinte: Local São Paulo, Brasil São Paulo, Brasil refere-se a linhas de negócio existentes, controles e funções de suporte do Natixis Brasil. Página 10 de 11

11 6.2. OBJETIVOS DE RECUPERAÇÃO DA INSTITUIÇÃO Em caso de interrupção de negócios, os objetivos principais do Natixis Brasil são: Garantir a segurança e bem-estar dos funcionários do Natixis Brasil, associados e visitantes; Gerenciar riscos financeiros e operacionais; Manter nossas obrigações contratuais com clientes e contrapartes; Proteger os livros da empresa (posições) e registros; Continuar a financiar os requisitos de negócios, e Manter aproximadamente 60-75% do total do volume de negócio. O Natixis Brasil concentra-se na recuperação das funções críticas de negócios, conforme indicado pela Diretoria e não buscará ativamente novos negócios até que a recuperação dos negócios existentes e da situação esteja estabilizada. * 60-75% do volume total de negócios é uma diretriz, se o escopo da interrupção do negócio é tal que várias organizações de serviços financeiros foram afetadas, então um menor percentual de volume de negócios pode ser esperado devido às limitações do ambiente de negócios externo. 7. Relatórios de Divulgação Externa 7.1. GOVERNANÇA E TRANSPARÊNCIA Para promoção da transparência, conforme determina a Resolução 3.380/06, o Banco publicará relatório que contém a descrição da estrutura do gerenciamento do risco operacional em local de acesso público. Esse relatório deve ser revisado e aprovado pela diretoria do Natixis Brasil S/A Banco Múltiplo. Ademais, as informações divulgadas constantes nesse documento são de responsabilidade da diretoria do Natixis DIVULGAÇÃO A divulgação da descrição da estrutura de gerenciamento de risco operacional será efetuada por meio de relatório publicado no site da instituição ( com periodicidade mínima anual, e será de responsabilidade da área de Compliance. Adicionalmente, um resumo da descrição da estrutura de gerenciamento de risco operacional deve ser publicado em conjunto com as demonstrações contábeis, semestrais, no site da Instituição INFORMAÇÃO DE CONTROLE O relatório da estrutura de gerenciamento de risco operacional revisado e aprovado pelo Sr. João Luiz Macedo, CFO/COO da Instituição. 8. Tratamento de exceções Qualquer disposição distinta às determinações da Política de Controles Internos deverá ser submetida à avaliação Conselho de Administração. Página 11 de 11