Índice. 028/1 - Gerenciamento de Risco Operacional Página 1 de 9. Referência: Corporativas Código: 028/1

Transcrição

1 Índice 1. Definição Descrição Conceito de Risco Operacional Conceito de Controles Internos Gerenciamento de Riscos Operacionais Categorias de Risco Operacional Etapas do gerenciamento de risco operacional: Atribuições Diretoria da Taquari Diretor Responsável pela Gestão de Riscos Gestores da Taquari Funcionários Anexo Responsabilidade /1 - Gerenciamento de Risco Operacional Página 1 de 9

2 1. Definição Este normativo tem por objetivo estabelecer diretrizes e fundamentos associados à estrutura e ao processo de gerenciamento do risco operacional e atuação de controles internos na Taquari Asset. 2. Descrição 2.1. Conceito de Risco Operacional Risco Operacional é a possibilidade de perdas decorrentes de falhas ou ações inadequadas de pessoas, falhas ou inadequações de processos e sistemas ou oriundas de eventos externos, incluindo perdas legais Conceito de Controles Internos Controles Internos é o conjunto de procedimentos estabelecidos pela instituição com a finalidade de reduzir os riscos operacionais presentes em suas atividades, seus sistemas de informações financeiras, operacionais e gerenciais e o cumprimento das normas legais e regulamentares associados Gerenciamento de Riscos Operacionais A abordagem de gerenciamento de Risco Operacional é o modelo de três linhas de defesa. Primeira Linha de Defesa: representada pelos gestores da Taquari Asset. São responsáveis pela gestão dos riscos inerentes às suas atividades, implementando e/ou aperfeiçoando os controles e ações mitigatórias necessárias. Segunda Linha de Defesa: representada pelo Diretor responsável pela atividade de gestão de riscos, tem a responsabilidade de auxiliar a primeira linha na identificação de riscos e sua mitigação, avaliar a qualidade do ambiente de controle na primeira linha e, inclusive, atuar de forma consultiva, sugerindo revisão de processos ou novos controles à primeira linha de defesa. Terceira Linha de Defesa: Cabe à Auditoria este papel. É responsável pela avaliação de todos os elementos, de qualquer linha de defesa, avaliando a eficácia da governança, do gerenciamento dos riscos e controles e o alcance dos objetivos esperados. As três linhas desempenham papéis independentes e complementares na governança de Controles Internos e Riscos Operacionais Categorias de Risco Operacional Para efeito de categorização a Taquari Asset utiliza as mesmas definições adotadas pelo Banco Central do Brasil na Resolução 3380: Fraude Interna Fraude Externa Demandas Trabalhistas Práticas Inadequadas Danos a Ativos Físicos Interrupção de Atividades Falhas em Sistemas de TI Falha na Execução de Atividades 028/1 - Gerenciamento de Risco Operacional Página 2 de 9

3 Adicionalmente às oito categorias de risco operacional mencionadas acima, são adotados eventos e tipos de risco operacional, conforme detalhado no anexo I Etapas do gerenciamento de risco operacional: Identificação: Consiste em mapear os processos, identificar os riscos, associar os riscos aos processos e identificar os controles mitigatórios. Mensuração e avaliação: Compreende medir e avaliar a exposição para cada risco identificado. Mitigação e controle: Desenvolver planos de ação para manter a exposição ao risco em patamares aceitáveis. Monitoramento: Monitorar o ambiente de controles internos e o nível de exposição ao risco. Reporte: Manter a administração informada sobre os riscos operacionais e a qualidade do ambiente de controles internos. 3. Atribuições 3.1. Diretoria da Taquari Aprovar o normativo interno relacionado ao gerenciamento do risco operacional e controles internos; Acompanhar o status dos planos de ação criados em decorrência dos riscos operacionais identificados, manifestando-se acerca das ações a serem implementadas para a prevenção e o combate das deficiências apontadas. Ratificar eventuais proposições de assunção de risco Diretor Responsável pela Gestão de Riscos Desenvolver e disponibilizar ferramentas e técnicas para identificação, mensuração e avaliação, mitigação e controle, monitoramento e reporte do risco operacional. Desenvolver e programar o processo de coleta das informações de eventos de risco operacional. Proceder o armazenamento de informações e documentos referentes a eventos de risco operacional, com ou sem perdas financeiras associadas; Reportar ocorrências e deficiências relevantes. Acompanhar o efetivo cumprimento dos planos de ação criados em decorrência dos riscos operacionais apontados. Promover os programas de treinamento e comunicação para conhecimento do risco operacional. Realizar, mensalmente, avaliação do controle de mandato mantido pelo gestor da Taquari Gestores da Taquari Deixar claro a seus funcionários as responsabilidades de atuação como primeira linha de defesa. Identificar, avaliar, controlar e mitigar os riscos, efetuando o desenvolvimento e a implantação de políticas, procedimentos e controles internos e garantindo que as atividades estejam alinhadas aos objetivos definidos. Apresentar ao Diretor responsável pela atividade de gestão de riscos os principais processos da área que serão mapeados e monitorados. Manter adequados procedimentos de controles internos nos processos sob sua gestão, de forma a manter os riscos operacionais sob controle. 028/1 - Gerenciamento de Risco Operacional Página 3 de 9

4 Apresentar ao Diretor responsável pela atividade de gestão de riscos, sempre que solicitado, evidências que comprovem a realização de controles e a execução dos planos de ação inerentes a suas atividades. Informar, tempestivamente, todas as ocorrências e falhas operacionais identificadas em processos de sua área ou de outras áreas, incluindo terceiros, e que tenham afetado as atividades e objetivos da Área ou da Instituição; 3.4. Funcionários Todos os funcionários devem estar conscientes da importância de seu papel na Taquari Asset, bem como de sua responsabilidade no auxílio da implantação e disseminação deste normativo. Sempre que ocorrer um evento que caracterize risco operacional, o funcionário que o identificou deverá comunicar o Diretor responsável pela atividade de gestão de riscos, mesmo quando o risco não esteja diretamente relacionado à sua área de atuação. 4. Anexo ANEXO I Dicionário de Riscos 5. Responsabilidade Taquari Asset 028/1 - Gerenciamento de Risco Operacional Página 4 de 9

5 ANEXO I - Dicionário de Riscos Foram adotadas subcategorias de eventos de riscos, para propiciar uma avaliação mais precisa dos riscos operacionais identificados: 1. Fraude Interna Perdas ocasionadas por atos com intenção de fraudar, apropriar-se indevidamente ou burlar regulamentos, a lei ou a política de uma empresa, excluindo diversidade / acontecimentos discriminatórios, que envolvam pelo menos uma parte interna. 1.1 Roubo e Fraude Perdas devido a atos intencionais com a participação de pelo menos uma pessoa interna à Instituição com o objetivo de apropriar indevidamente de valores financeiros e bens físicos, excluindo ações de vandalismo Fraude / fraude de crédito / depósitos sem valor Roubo / extorsão / desfalque / latrocínio Apropriação indébita de ativos Destruição malintencionada de ativos Falsificação Fraude com uso de cheques Contrabando Assumir controle de conta / imitação Não-cumprimento das normas fiscais / evasão (intencional) Suborno / propinas Negociação com funcionários com acesso a informações privilegiadas As seguintes características devem ser observadas: - Excluem-se ações de vandalismo. - O Fraudador deve possuir uma posição / atividade na Instituição. - Acarreta em violação de leis (penal / criminal). - Exclui os serviços de terceiros. - A fraude interna origina-se dentro da instituição. 1.2 Atividade Não Autorizada (intencional) Perdas devido a transações não reportadas (intencionalmente), não autorizadas (com perda monetária) e Registro enganoso de Posição (intencional) de atos intencionais com a participação de pelo menos uma pessoa interna da Instituição Transações não relatadas (intencional) Tipo de transação não autorizada (com perda monetária) Registro enganoso de posição (intencional) As seguintes características devem ser observadas: - O Fraudador deve possuir uma posição / atividade na Instituição. - Não acarreta em violação de leis (penal / criminal). Entretanto há violação intencional de normas / controles internos. - Exclui os serviços de terceiros. - A fraude interna origina-se dentro da instituição. Em caso de dúvida de ser uma fraude interna ou externa, deve-se recorrer ao Relatório da Auditoria / Inspetoria Interna para clarificar a situação/evento. 028/1 - Gerenciamento de Risco Operacional Página 5 de 9

6 2. Fraude Externa Perdas ocasionadas por atos com intenção de fraudar, apropriar-se indevidamente ou burlar a lei, praticados por um terceiro indivíduo. 2.1 Roubo e Fraude Externa (geral) Perdas devido a atos intencionais sem a participação de pessoa interna à Instituição com o objetivo de apropriar indevidamente de valores financeiros e bens físicos, excluindo ações de vandalismo. 2.2 Segurança de Sistemas eventos envolvendo acesso não autorizado de informações eletrônicas por não empregados Furto e Roubo Falsificação Fraude com uso de cheques Vírus Roubo de informações com perda monetária Danos causados por violação de sistema de computação Hacker/cracker As seguintes características devem ser observadas: - Existe a intenção de fraudar. - O fraudador busca benefício pessoal e não a benefício para a instituição. - O Fraudador deve possuir uma posição / atividade na Instituição. - Acarreta em violação de leis (penal / criminal), aplicável a todos os indivíduos, e geralmente acarreta penalidades criminais.. - Inclui serviços de terceiros. - Este evento está relacionado quando há benefício pessoal. - Este evento deverá entrar na Categoria "2.1 - Roubo e Fraude externa (geral)" se ocorrer por outros meios. 3. Demandas trabalhistas e segurança deficiente no local de trabalho atos inconsistentes com contratos ou leis trabalhistas, de saúde ou segurança, do pagamento de reclamações por lesões corporais ou eventos discriminatórios. 3.1 Relações Trabalhistas Remuneração, benefícios, questões relacionadas a término de vínculo empregatício Ação Trabalhista 3.2 Ambiente de Trabalho Seguro Acontecimentos relacionados à saúde dos empregados, normas de segurança e acidente de trabalho. 3.3 Discriminação Todas as ações e discriminação que surjam sob leis do empregadoempregador ou regras internas da companhia Multas Auxílio Doença devido a acidentes de trabalho Indenizações Assédio moral Assédio sexual Neste evento aplicam-se as perdas relacionadas exclusivamente a funcionários. Assim sendo, classificam-se as reclamações e ações cíveis de clientes nos subitens do item /1 - Gerenciamento de Risco Operacional Página 6 de 9

7 4. Práticas inadequadas relativas à clientes, produtos e serviços uma falha não intencional ou negligente para cumprir uma obrigação com clientes ou relacionadas a um produto e serviço 4.1 Adequação, Divulgação e Garantias violações de normas da instituição Violação de Garantias / Violação de Diretrizes Adequação / problemas relacionados a divulgação Violações de divulgação de clientes de varejo Violações de privacidade Substituição de contas vencidas por contas novas Uso inadequados de informações confidenciais Resposabilidade da instituição 4.2 Negócios ou Práticas de Mercado Inadequadas 4.3 Falhas em Produtos ou Serviços 4.4 Verificação, Responsabilidade e Relacionamento 4.5 Atividades Consultivas Inadequadas 4.6 Danos a Clientes e Terceiros condução inadequadas de acordos contratuais ou de leis que regem os procedimentos financeiros ou comerciais. erros no produto ou serviços falhas no relacionamento com o cliente atividades consultivas (informações, diagnósticos) que gerem prejuízos a clientes Acidentes envolvendo clientes ou terceiros nas dependências da Organização Negócios / práticas de mercado inadequadas Venda casada Negociação com funcionário com acesso a informações privilegiadas (no interesse da empresa) Atividades não licenciadas Lavagem de dinheiro Quando a instituição foi vítima de práticas ou negócios inadequados Alteração de política econômica e decisões retroativas em leis/contratos que gerem perdas operacionais Produtos/Serviço sem formalização ou inadequado Processo falhos Erros na condução de avaliação do cliente Divulgação de informações falsas Controvérsias sobre informações divulgadas Queda As seguintes características devem ser observadas: - as perdas nesta área são relacionadas geralmente à atividade do Front Office; - na maioria de casos o beneficiário é o banco com o objetivo de vender mais produtos, iniciando ou mantendo uma operação, melhorando uma transação, evitando a competição, etc. 028/1 - Gerenciamento de Risco Operacional Página 7 de 9

8 5. Danos a ativos físicos próprios ou em uso pela instituição danos aos ativos físicos ocasionados por desastres naturais ou acontecimentos externos. 5.1 Desastres e Outros Acontecimentos Perdas por desastres naturais (inundação / vendaval) ou perdas por fontes externas (terrorismo, vandalismo) Inundação/ Terremoto/Furacões/Vendav al Incêndio Vandalismo/Terrorismo Nesta categoria estão incluídos exclusivamente eventos que provoquem danos a ativos físicos. 6. Aqueles que acarretem a interrupção das atividades da instituição Falta/interrupção nos serviços ao público que gerem perda de receita da instituição. 6.1 Interrupção nos Serviços ao Público que Gerem Perda de Receita da Instituição Os danos intencionais ou naturais que interromperam das atividades da instituição gerando perdas Greve Falta de energia Falta d'água Esta categoria inclui apenas eventos que não geraram danos a ativo físico. 7. Falhas em sistemas de tecnologia da informação falhas nos sistemas de tecnologia da informação. 7.1 Falhas de Tecnologia e Infraestrutura problemas em hardware, software, sistema de telecomunicação e redes Sistemas Inoperantes Problemas na execução de Rotinas Hardware Software Telecomunicações e Redes Acesso indevido Ausência de backup/contingência/manute nção Nesta categoria é importante não perguntar POR QUE o evento aconteceu, pois há uma grande chance de que a resposta conduza a uma outra categoria, mas deve-se concentrar na identificação da origem, questionando "O QUE permitiu tal fato ter ocorrido. 028/1 - Gerenciamento de Risco Operacional Página 8 de 9

9 8. Falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição administração de processo ou processamento de operação, de relações com contrapartes comerciais e fornecedores. 8.1 Registro, Execução e erros. Manutenção de Transação em transações de clientes 8.2 Entrada e Documentação do Cliente 8.3 Administração da Conta do Cliente 8.4 Monitoramento e Apresentação de Informações 8.5 Fornecedores e Prestadores de Serviços falhas na formalização de operação erros na execução de tarefas relacionadas a clientes. Erros na divulgação de informações obrigatórias falhas na relação com fornecedores e prestadores de serviços Falha na comunicação Erro na entrada ou na manutenção de dados Perda de prazo ou responsabilidade Erro Contábil Alçada Incorreta Não conformidade com regulamentações/normas internas e externas Ausência de autorizações de cliente / renúncias/acesso não autorizado a conta de clientes Documentos legais ausentes / incompletos Registros incorretos Perda por negligência ou danos aos ativos do cliente Falha na apresentaçõs de informações obrigatórias Falha no gerenciamento de garantias Informações imprecisas Demandas Judiciais com fornecedores ou prestadores de serviços Os itens classificados nesta categoria poderiam ser classificados na categoria 4- Práticas inadequadas relativas à clientes, produtos e serviços. Porém devemos mantê-las se desejarmos mensurar as perdas devido a fornecedores e prestadores de serviços. 028/1 - Gerenciamento de Risco Operacional Página 9 de 9