Categorizam-se os fatores de risco operacional em quatro grandes grupos:

Transcrição

1

2 1. INTRODUÇÃO Este documento tem por objetivo descrever a Estrutura de Gerenciamento do Risco Operacional criada e mantida para o Sistema SICREDI, englobando o Banco Cooperativo SICREDI e suas empresas ligadas, Confederação SICREDI, Centrais SICREDI e Cooperativas SICREDI. No seu escopo estão definidas as metodologias utilizadas e os processos operacionais, visando atender a Resolução CMN 3.380/2006, publicada em 29 de junho de CONCEITOS SOBRE RISCO OPERACIONAL O risco operacional é conceituado pelo Basiléia II como o risco de perda resultante de pessoas, sistemas e processos internos inadequados ou deficientes, ou de eventos externos. Toda a legislação adotada pelos órgãos reguladores do sistema financeiro nacional utiliza essa conceituação; dessa forma, a adequação necessária do SICREDI à legislação reflete exatamente essa descrição. Dentro da metodologia, analisam-se as causas (descrevendo-as como fatores de risco) e as conseqüências decorrentes das causas (descrevendo-as como riscos). A materialização das conseqüências transforma-se em eventos de risco. Categorizam-se os fatores de risco operacional em quatro grandes grupos: i. Fator de risco de pessoas: é o fator de risco associado a perdas em função de falhas humanas (intencionais ou não intencionais) por situações diversas, como fraude, não qualificação para o desempenho da função ou erros não intencionais; ii. Fator de risco do processo: é o fator de risco associado à ocorrência de fragilidades nos processos, que podem ser geradas por falta de regulamentação interna, de documentação sobre políticas e procedimentos ou de controle do processo. iii. Fator de risco tecnológico: é o fator de risco associado à infra-estrutura tecnológica da empresa, tanto na qualidade e confiabilidade dos dados quanto na confiabilidade do hardware que dá suporte ao negócio; iv. Fator de risco externo: é o fator de risco associado com os fatores externos às operações das entidades do Sistema e que podem lhes atingir sob qualquer forma. A ocorrência de fatos causados pelo aproveitamento das vulnerabilidades (fatores de risco) das diversas categorias é chamada de materialização do risco. Esses eventos de riscos são investigados, analisados, classificados e armazenados para o contínuo aprendizado do gerenciamento de riscos. A Basiléia II e a legislação pertinente categorizam os eventos de risco de forma semelhante, buscando total aderência à legislação brasileira. O SICREDI consolidou sua classificação de eventos de risco conforme a lista a seguir: i. fraudes internas: eventos relacionados a fraudes ocasionadas por pessoas ligadas diretamente ao SICREDI; ii. roubos e fraudes externas: eventos relativos a roubos e fraudes provocados por pessoas ou procedimentos externos ao SICREDI; Página 1 de 12

3 iii. demandas trabalhistas e segurança deficiente do local de trabalho: eventos ligados a demandas advindas da administração inadequada de pessoal e de eventos relacionados a falhas na segurança do trabalho das diversas entidades do Sistema; iv. práticas inadequadas com clientes, produtos e serviços: eventos ligados à inobservância das boas práticas de gerenciamento de negócio em todas as suas esferas (principalmente o descumprimento sistêmico de regras de negócio e a não conformidade com a legislação vigente); v. danos a ativos físicos próprios ou em uso pela instituição: eventos relacionados a quaisquer ativos físicos de propriedade de alguma entidade do SICREDI que tenham sido afetados por incidentes, excluindo as perdas patrimoniais relacionadas a roubos; vi. interrupção de atividades: eventos ligados a interrupção das atividades de qualquer entidade do Sistema provocados por falhas em ativos, desastres naturais, acidentes ou ações externas voluntárias (sabotagem, terrorismo e outras); vii. falhas em sistemas de tecnologia da informação (TI): eventos que ocorrem por erros nos sistemas de informação ou por procedimentos automatizados efetuados de forma incorreta; viii. falhas na execução, cumprimento de prazos e gerenciamento: eventos ligados ao descumprimento deliberado de normativos ou por atrasos no cumprimento de prazos em atividades obrigatórias. 3. OBJETIVOS O desenvolvimento de atividades ligadas à gestão de risco operacional visa os seguintes objetivos: a) Reduzir ao máximo possível as perdas reais provenientes das ocorrências dos diversos riscos classificados como operacionais; b) Mensurar corretamente o valor da alocação de capital necessária para eventos de risco operacional; c) Gerar informações que possibilitem contínua e recorrente avaliação quantitativa (quando possível) e/ou qualitativa das probabilidades e do impacto das ocorrências de eventos de risco operacional; d) Apontar o nível adequado de tolerância ao risco para o SICREDI; e) Apontar o apetite ao risco operacional adequado para o SICREDI; f) Apoiar a melhoria contínua de processos com base no tratamento do risco operacional e adequações dos controles internos; g) Promover a transparência exigida pelos órgãos reguladores; h) Assumir níveis de governança corporativa que assegurem a perpetuidade do negócio cooperativo; i) Auxiliar o desenvolvimento de todas as entidades do Sistema, avaliando e qualificando os níveis de risco das instituições e dos processos de negócio executados pelas entidades; j) Conscientizar todos os níveis funcionais do Sistema acerca da importância do bom gerenciamento de risco operacional e de seus benefícios à governança corporativa do Sistema; k) Desenvolver procedimentos automatizados (preferencialmente, com solução computacional) para o controle contínuo do risco operacional. 4. ESTRUTURA DE GESTÃO DE RISCO OPERACIONAL A Resolução CMN 3.380/06, em seu artigo 6º, determina que a atividade de risco operacional deve ser realizada por unidade específica e segregada de atividades de auditoria interna. Obedecendo a esse critério e visualizando a complexidade do Sistema SICREDI (integrando as Centrais Estaduais, as Cooperativas Singulares e as atividades executadas pelas empresas centralizadoras pertencentes ao Sistema), decidiu-se por concentrar o gerenciamento de risco operacional em uma única gerência localizada no Banco Cooperativo SICREDI. Página 2 de 12

4 A Gerência de Risco Operacional integrante da Diretoria de Economia e Riscos do Banco Cooperativo SICREDI é responsável pela estratégia e execução das atividades ligadas ao tema. Esta estrutura busca dotar o Sistema de instrumentos que permitam o efetivo gerenciamento de risco de forma sistêmica e ainda integrando o gerenciamento de risco operacional com outras atividades de gerenciamento de risco, como o de mercado e de crédito. Essa estrutura está organizada conforme a seguinte hierarquia: Figura 1 Organograma do SICREDI para a gestão de risco operacional. Além das áreas mencionadas no organograma, existem dois comitês corporativos que atuam sobre o gerenciamento de risco operacional a saber: a) COMITÊ TÉCNICO DE RISCOS. Este comitê é composto pelas gerências subordinadas à Diretoria de Economia e Riscos do Banco Cooperativo SICREDI e pelo Diretor de Planejamento e Administração do Banco Cooperativo SICREDI e tem por objetivo avaliar e emitir parecer sobre assuntos técnicos relacionados aos riscos de crédito, mercado, operacional e gestão integrada de riscos. b) COMITÊ DE RISCOS DA SICREDI PARTICIPAÇÕES. Este comitê é composto pelo Diretor-Presidente da SICREDI Participações, pelos Superintendentes de Supervisão das empresas controladas, pelo Diretor Executivo Administrativo-Financeiro do Banco Cooperativo SICREDI e pelo Diretor de Economia e Riscos do Banco Cooperativo SICREDI e tem por objetivo avaliar e emitir parecer sobre a formulação, acompanhamento e controle das políticas e metodologias empregadas pelo Sistema no que diz respeito à exposição de riscos legais e internos de crédito, mercado e liquidez, operacionais, ambientais, entre outros. 5. MODELO DE GESTÃO DE RISCO OPERACIONAL Página 3 de 12

5 O modelo de gestão de risco operacional criado para o SICREDI baseia-se em três premissas, que operam sobre todo o Sistema: a. a criação e utilização de instrumentos para o gerenciamento de riscos operacionais um ciclo que envolve a identificação, avaliação, planejamento e execução do tratamento e o contínuo controle dos níveis de exposição de risco dos diversos processos de negócio; b. a criação e manutenção de procedimentos para o registro de informações em uma base de dados de riscos operacionais (que fomenta tanto o ciclo de gerenciamento de risco operacional quanto o processo decisório sobre tratamento de riscos); c. a alocação de capital para risco operacional (prevista pela legislação). Essa premissa deve buscar instrumentos para, com os controles sobre os processos de negócio implementados e executados de forma eficaz e eficiente, obter o valor ótimo para essa alocação. A partir dessas premissas, o modelo de gestão de risco operacional foi esquematizado como abaixo: Figura 2 Modelo de gestão de risco operacional para o SICREDI. Esse modelo contempla todos os conceitos expostos nos capítulos 2 e 3 desse documento, envolvendo todas as entidades do Sistema e organizando o fluxo de atividades que compõem o gerenciamento de risco operacional. 6. PAPÉIS E RESPONSABILIDADES NA GESTÃO DE RISCO OPERACIONAL Por força da legislação pertinente, cada instituição financeira deve indicar um diretor responsável pelo gerenciamento do risco operacional junto ao Banco Central do Brasil. As instituições ligadas ao Sistema SICREDI realizam a indicação conforme a orientação da legislação vigente. Além disso, o SICREDI entende que gerenciar riscos é tarefa de todo colaborador do Sistema e, em função disso, o Regulamento de Gestão de Risco Operacional prevê e estipula o papel e a responsabilidade frente à gestão de risco operacional (e seus respectivos processos) das entidades e dos diversos cargos que compõem a estrutura hierárquica do Sistema. Página 4 de 12

6 7. REGULAMENTO DE GESTÃO DE RISCO OPERACIONAL O Regulamento de Gestão de Risco Operacional é o documento que expressa as políticas do SICREDI relativas ao risco operacional. Este regulamento, publicado na sua primeira versão em julho de 2007 no Portal Corporativo do SICREDI, foi aprovado pelo Sistema como a base de orientação relativa a todos os processos de gerenciamento de risco operacional. O Regulamento de Gestão de Risco Operacional, atendendo à legislação em vigor, prevê revisão periódica (no mínimo anual), visando adequação às modificações do Sistema, a adaptação às modificações na legislação vigente e a melhoria contínua dos processos. 8. PROCESSOS DE GESTÃO DE RISCO OPERACIONAL A metodologia utilizada para a condução do macroprocesso de gestão de risco operacional espelha a prática de mercado intitulada Risk-Control Self Assessment (RCSA) 1. Essa prática de mercado preconiza que as fases de identificação e de avaliação de riscos e controles devem ser realizadas pelos gestores do processo, com o controle dessas atividades sendo realizado por uma área própria para o gerenciamento de riscos buscando, com isso, a mais correta identificação de fatores de risco e de controles e a conseqüente acurácia na avaliação dessas informações. O macroprocesso de gestão de risco operacional está suportado por ferramenta tecnológica que realiza todo o ciclo de gerenciamento de risco operacional e o gerenciamento de incidentes (registro dos eventos de perda). O macroprocesso de gestão de risco operacional definido para o SICREDI é composto pelos seguintes processos: 8.1. IDENTIFICAÇÃO DE RISCOS OPERACIONAIS O processo de identificação de riscos operacionais consubstancia-se no descobrimento e levantamento dos fatores de risco e dos controles que mitigam estes fatores de risco dos processos de negócio analisados e sua posterior documentação. A forma pela qual se realiza essa identificação segue os seguintes procedimentos (que podem ser ou não aplicados, conforme a disponibilidade e necessidade): a) entrevistas com os gestores do processo de negócio; b) entrevistas com os usuários do processo de negócio; c) entrevistas com outras partes interessadas e/ou envolvidas no processo de negócio; d) questionários de auto-avaliação buscando identificar, dentro do dicionário de riscos e controles do Sistema, quais são as vulnerabilidades do processo de negócio; e) consulta a bases de dados externas, visando identificar fatores de risco externos que possam atingir o processo de negócio estudado; f) levantamento e análise da documentação do processo de negócio, buscando-se identificar outros riscos que não tenham sido anteriormente identificados através das entrevistas; g) técnicas DELPHI 2 e ferramentas de brainstorming 3, visando o amplo debate sobre o processo e suas vulnerabilidades correlatas. O processo é conduzido pela Gerência de Risco Operacional do Banco Cooperativo SICREDI. 1 Risk-control self assessment (RCSA): metodologia de identificação e avaliação de riscos originalmente criada na década de 80 pela empresa petrolífera canadense GULF, que se utiliza de questionários de auto-avaliação para identificar e avaliar os riscos da instituição estudada. 2 Técnica DELPHI: metodologia desenvolvida pela Rand Corporation para realizar projeções de cenário futuro a partir de premissas estabelecidas pelo contexto vivido por especialistas no assunto discutido. 3 Brainstorming: em inglês, literalmente significa tempestade cerebral. Reuniões para estabelecer o consenso entre especialistas sobre o debate do assunto em questão. Página 5 de 12

7 O produto final da fase de identificação de riscos é a construção de uma matriz prévia de riscos, que delimita o escopo do trabalho. Os riscos e controles identificados são acumulados num dicionário de riscos e controles padronizando assim a informação para sua correta utilização por todas as entidades do Sistema AVALIAÇÃO DE RISCOS OPERACIONAIS em: A partir da matriz prévia de riscos inicia-se o processo de avaliação de riscos operacionais, que consiste a) avaliação da probabilidade de ocorrência de um fator de risco; b) avaliação do impacto causado pela ocorrência de um fator de risco; c) avaliação da maturidade do controle sobre um fator de risco. A análise da maturidade do controle sobre os fatores de risco ocorre através da verificação da existência de controles formais sobre os fatores de risco e da sua aplicabilidade. Caso esses controles sejam deficientes (ou, mesmo, não existam), o cálculo final sobre os fatores de risco é incrementado exibindo assim a gravidade do fator de risco. Já as análises de probabilidade e de impacto podem ser qualitativas ou quantitativas, conforme a informação disponível para subsidiar a decisão Análise qualitativa A análise qualitativa é utilizada quando não há nenhuma informação ou informações insuficientes para realizar uma análise estatística das ocorrências dos fatores de risco na base de dados de riscos operacionais. A avaliação da existência da informação suficiente deve levar em conta apenas as bases de dados de perdas operacionais do SICREDI. Informações de bases externas de perdas operacionais são utilizadas somente para referenciar uma tendência de decisão. Para a diminuição da subjetividade na avaliação da probabilidade e do impacto, o processo de avaliação de riscos operacionais possui tabelas com parâmetros para a determinação da probabilidade e do impacto publicadas no Regulamento de Gestão de Risco Operacional do SICREDI Análise quantitativa A análise quantitativa é utilizada quando a base de dados de perdas operacionais possui informação suficiente para o cálculo de uma distribuição estatística confiável. Dessa forma, pode-se obter uma freqüência de ocorrência de eventos de risco (probabilidade) e o impacto da ocorrência desses eventos e, a partir das informações do passado, realizar estimativas para a determinação dos níveis de risco. A partir da construção das matrizes prévias de risco, devem ser realizadas as seguintes atividades: a) avaliação da base histórica de perdas operacionais para avaliar a freqüência possível da ocorrência do fator de risco e dos impactos provocados pela ocorrência dos fatores de risco; b) elaboração de questionários de auto-avaliação para que os gestores e usuários do processo de negócio dentro da disponibilidade e possibilidade façam a avaliação da probabilidade, do impacto e da maturidade do controle; c) realização do cruzamento das informações da base de perdas de riscos operacionais com as informações das auditorias internas e externas, avaliando a confiabilidade das informações; d) consolidação dos níveis de risco de cada categoria de risco, a partir da soma dos graus de risco de cada fator de risco. Página 6 de 12

8 A utilização dessas informações para a determinação do grau de risco está publicada no Regulamento de Gestão de Risco Operacional do SICREDI Apuração do grau de risco Independentemente da forma da análise (quantitativa ou qualitativa), a soma dos graus de risco de cada categoria varia num intervalo numérico de 1 a 50. Dessa forma, cada categoria de risco recebe uma classificação, seguindo a seguinte escala: a) risco BAIXO: quando a soma dos graus de risco da categoria estiver no intervalo [1, 5); b) risco MÉDIO: quando a soma dos graus de risco da categoria estiver no intervalo [5, 12); c) risco ELEVADO: quando a soma dos graus de risco da categoria estiver no intervalo [12, 20); d) risco EXTREMO: quando a soma dos graus de risco da categoria estiver no intervalo [20, 50]. O produto final da fase de avaliação de riscos é a matriz de riscos operacionais do processo de negócio avaliado TRATAMENTO DOS RISCOS OPERACIONAIS Após a construção da matriz de riscos, são planejadas as estratégias de mitigação de riscos os planos de ação de tratamento de riscos operacionais. Esses planos de ação levam em conta cinco estratégias: a) aceitar o risco. Uma estratégia de aceitação do risco é definida quando o nível de risco está dentro dos limites que a administração do processo considera aceitável; b) evitar o risco. Evita-se o risco quando considera-se que a exposição ao risco é inaceitável, não existindo formas de controle suficientes para que o risco seja convenientemente mitigado; c) transferir o risco. Uma estratégia de transferência de riscos é definida quando existe capacidade suficiente de transferir a responsabilidade por arcar com o custo de eventual perda operacional (normalmente, operações seguradas ou contratos com cláusulas de SLA Service Level Agreement); d) mitigar o risco. Mitiga-se o risco quando são realizadas modificações no processo com o fito de torná-lo mais seguro frente às vulnerabilidades detectadas nas etapas anteriores; e) reter o risco. Retém-se o risco quando há a capacidade de gerar reservas financeiras internas suficientes para cobrir eventuais despesas com perdas operacionais, sem terceirizar o risco. A aplicação dos planos de ação é realizada pela área responsável pela gestão do processo, e o controle da aplicação dos planos de ação para o tratamento de riscos operacionais é realizado pela Gerência de Risco Operacional do Banco Cooperativo SICREDI MONITORAMENTO DOS RISCOS OPERACIONAIS O monitoramento dos riscos se dá através de duas ações paralelamente: a) o constante acompanhamento dos indicadores-chave de risco. Estes indicadores são construídos durante a composição das matrizes de risco e verificam possíveis desvios no comportamento do processo de negócio. Sua verificação é realizada através da consulta de painéis de controle elaborados para cada processo de negócio individualmente; b) uso do processo de comunicação para reporte imediato da modificação das condições de fatores de risco. Essa modificação das condições dos fatores de risco pode ser provocada por alterações das etapas e procedimentos dos processos de negócio ou modificações do ambiente externo que influam no processo de negócio em questão. O monitoramento dos riscos operacionais é uma atividade compartilhada entre os gestores do processo de negócio e a Gerência de Risco Operacional do Banco Cooperativo SICREDI. Página 7 de 12

9 8.5. REGISTRO DE PERDAS OPERACIONAIS Todas as ocorrências de perdas operacionais são traduzidas, após a sua devida investigação e apuração, em eventos de perda operacional. Esses eventos devem ser classificados conforme as categorias dispostas no capítulo 2 deste documento, e performam a base de dados de perdas operacionais ferramenta indispensável para a qualificação da gestão de risco operacional. Esse registro deve ser realizado assim que constatada a perda ou sua possibilidade real e pode ser realizada por qualquer colaborador do Sistema. A Gerência de Risco Operacional do Banco Cooperativo SICREDI é a responsável pelo processo de registro de eventos de riscos operacionais RELATÓRIOS ANUAIS DE RISCO OPERACIONAL Todo o ciclo de gerenciamento de risco operacional (identificação, avaliação, tratamento e monitoramento descritos nos itens 8.1 a 8.4 deste documento) deve ser documentado para a geração de relatório anual de risco operacional. Esse relatório é gerado individualmente para cada instituição componente do Sistema, e leva em conta: a) os incidentes e eventos de perda ocorridos no período analisado; b) as análises e matrizes de risco operacional geradas no período analisado; c) os planos de ação trabalhados no período analisado; d) o desempenho dos indicadores chave de risco no período analisado; e) valores de alocação de capital para risco operacional gerados no período analisado; f) outras condições externas que podem favorecer uma melhor análise do processo de negócio no período analisado. O relatório anual gerado pela Gerência de Risco Operacional do Banco Cooperativo SICREDI é aprovado pelo Conselho de Administração de cada instituição. A responsabilidade pela manutenção das informações necessárias para a elaboração e construção do relatório é da Gerência de Risco Operacional do Banco Cooperativo SICREDI. 9. ALOCAÇÃO DE CAPITAL PARA RISCO OPERACIONAL Em abril de 2008, o Banco Central do Brasil publicou a Circular BACEN n 3.383/08, dispondo sobre a alocação de capital que as instituições financeiras brasileiras devem realizar para risco operacional. Essa normatização, ligada ao que dispõem as Resoluções CMN n 3.380/06 e CMN n 3.490/07, conclui um primeiro ciclo de implantação no sistema financeiro nacional dos conceitos e proposições ligados ao Novo Acordo de Capitais da Basiléia (2004). Especificamente ao que é relacionado a Risco Operacional, a normatização vigente sugere três possibilidades (modelos) de cálculo de alocação de capital referente à parcela de Risco Operacional (POpr) - a Abordagem do Indicador Básico, a Abordagem Padronizada Alternativa e a Abordagem de Mensuração Avançada. Estes três modelos de cálculo já foram objeto de estudo desde a sua criação, abrangendo quais modelos são passíveis de adoção pelo Sistema num primeiro momento, seus requisitos para a implantação, que implementações (de processos de negócio e de sistema) serão necessárias para cada uma das abordagens e que esforços seriam necessários para cada modelo implementado. A partir destes estudos preliminares, o Sistema resolveu adotar para todas as Cooperativas Singulares e Centrais Estaduais o modelo da Abordagem do Indicador Básico. A opção por este modelo deve-se à necessidade, para adoção dos modelos mais complexos (a Abordagem Padronizada Alternativa e a Abordagem de Página 8 de 12

10 Mensuração Avançada), de históricos de informações e de adaptações na estrutura e nos sistemas que prescindem de prazo para desenvolvimento e implantação (tais como a base de dados de eventos de perda de risco operacional e a segregação contábil das linhas de negócio de cada instituição). Cabe lembrar que o diagnóstico pelas autoridades fiscalizadoras da inadequação da adoção de modelos superiores à Abordagem do Indicador Básico pode acarretar conseqüências danosas a toda a estrutura de alocação da capital para risco das instituições - fazendo com que a opção por um caminho seguro e de crescimento e complexidade gradativos seja vista como a ideal. A Abordagem do Indicador Básico está definida no Novo Acordo de Capitais da Basiléia (e respaldada na legislação atinente brasileira) como "...a média de uma porcentagem fixa (designada alfa) da receita bruta anual positiva dos três anos anteriores." (Parágrafo 649 do documento "Convergência Internacional de Mensuração de Capital e Padrões de Capital", publicado pelo Comitê da Basiléia sobre a Supervisão Bancária). Para o cálculo dessa média, alguns conceitos precisam ser expostos: i. Para a mensuração dos valores de receita bruta, consideram-se os valores de receitas financeiras líquidas e as receitas financeiras não-líquidas. Nessas despesas, devem estar incluídas quaisquer provisões existentes, despesas operacionais (incluindo taxas pagas para prestadores de serviço terceirizados e excluídos os lucros e perdas realizados da venda de títulos mobiliários no registro bancário e os itens extraordinários ou irregulares - bem como a receita originada de seguro; ii. A média da receita bruta dos três últimos anos deve excluir resultados negativos (e a divisão para obtenção da média deve considerar, como denominador, a quantidade de meses em que se obteve resultado positivo). Apurando-se a base de cálculo como exposto acima, aplica-se o percentual alfa - obtendo-se assim o valor necessário da alocação de capital. Esse percentual, segundo a Circular BACEN n 3.383/08, será de 15% (quinze por cento). Especificamente para o Brasil, os órgãos reguladores estabeleceram um modelo escalar para o cálculo da parcela de alocação de capital (POpr) - inserindo um multiplicador (chamado de multiplicador "Z") no cálculo da parcela de alocação de capital. O resultado da aplicação desse multiplicador é a diminuição do impacto inicial nas instituições financeiras dessa nova metodologia. O agendamento da utilização do multiplicador para Cooperativas Singulares e Centrais Estaduais é exposto na tabela abaixo: Prazo de utilização Valor do multiplicador De a ,05 De a ,20 De a ,35 De a ,50 De a ,80 A partir de ,00 Figura 3 Valores do multiplicador Z para cooperativas e centrais estaduais. No mesmo sentido, o agendamento do multiplicador Z para o Banco Cooperativo SICREDI é: Prazo de utilização Valor do multiplicador De a ,20 De a ,50 De a ,80 A partir de ,00 Figura 4 Valores do multiplicador Z para o Banco Cooperativo SICREDI. Página 9 de 12

11 A parcela POpr é componente do Patrimônio de Referência Exigível, regulado pela Resolução CMN n 3.490/07. O Sistema SICREDI comunicou, dentro dos prazos adequados pela Circular BACEN n 3.383/08, ao Banco Central do Brasil, a forma pela qual as instituições ligadas ao SICREDI irão calcular sua alocação de capital para risco operacional. Paralelo a isso, a Gerência de Risco Operacional do Banco Cooperativo SICREDI já desenvolve esforços para a adoção de modelos avançados de cálculo da parcela de alocação de capital para risco operacional. Dessa maneira, a base de dados de perdas operacionais já vem sendo composta pela Gerência de Risco Operacional do Banco Cooperativo SICREDI registrando as informações dos eventos de risco acontecidos em todo o Sistema. A organização dessas informações se dará através de classificações atribuídas a cada evento de risco identificando a linha de negócio atingida e o tipo de evento de risco associado à perda financeira. Com essas classificações, produz-se uma matriz de informações 8x8 construção de modelo de informações que vem sendo direcionado pelo Banco Central do Brasil como forma de armazenamento de dados mais conveniente para o suporte a metodologias avançadas de cálculo de alocação de capital para risco operacional. Cada valor de cada registro deverá ser totalizado com as demais ocorrências com a mesma classificação, gerando informações sobre o seu total, seu montante individual e a sua freqüência de ocorrência (como na tabela a seguir): Matriz de perdas operacionais 1 - Fraudes internas 2 - Roubos e fraudes externas 3 - Demandas trabalhistas e segurança deficiente do local de trabalho 4 - Práticas inadequadas com clientes 5 - Danos a ativos físicos próprios da instituição 6 - Interrupção de atividades 7 - Falhas em sistemas de TI 8 - Falhas na execução, cumprimento de prazos e gerenciamento 1 Corporate finance 1x1 1x2 1x3 1x4 1x5 1x6 1x7 1x8 2 Negociação e vendas 2x1 2x2 2x3 2x4 2x5 2x6 2x7 2x8 3 Banco de varejo 3x1 3x2 3x3 3x4 3x5 3x6 3x7 3x8 4 Banco Comercial 4x1 4x2 4x3 4x4 4x5 4x6 4x7 4x8 5 Pagamento e liquidação 5x1 5x2 5x3 5x4 5x5 5x6 5x7 5x8 6 Serviços de agência 6x1 6x2 6x3 6x4 6x5 6x6 6x7 6x8 7Administração de ativos 7x1 7x2 7x3 7x4 7x5 7x6 7x7 7x8 8 Corretagem de varejo 8x1 8x2 8x3 8x4 8x5 8x6 8x7 8x8 Figura 5 Classificação dos valores de eventos de risco operacional. Para que seja atingido esse direcionamento, a elaboração do dicionário de dados para o armazenamento e detalhamento das informações acerca dos eventos de risco baseou-se nas orientações emanadas do AIGOR (Accord Implementation Group s Operational Risk Subgroup, órgão componente do Comitê de Basiléia para a Supervisão Bancária) que, por sua vez, foram objeto de estudo para adequação à realidade brasileira pela FEBRABAN (através da subcomissão de Risco Operacional dessa entidade) 4. A base de dados de perdas operacionais produz informação para uma modelagem estatística que, através da técnica de LDA (loss distribution approach), calculará a maior perda possível para cada elemento da matriz 8x8. O uso dessa técnica para a determinação do valor da parcela de alocação de capital se justifica pela possibilidade da integração de quatro elementos diferentes para sua realização, a saber: a) Base de dados interna, com seu cálculo de distribuição de freqüência e severidade sendo determinados pelo registro de eventos de risco; 4 O detalhamento do dicionário de dados para o armazenamento e detalhamento das informações sobre eventos de risco está no Anexo IV do Regulamento de Gestão de Risco Operacional. Página 10 de 12

12 b) Base de dados externa, composta por informações de eventos de risco que permitem complementar os intervalos sem dados das curvas de distribuição das bases de dados internas; c) Análise de cenários, em que serão avaliadas as possibilidades teóricas de cada risco dadas modificações nos cenários macro e microeconômicos; d) Avaliações de risco, onde as informações dos mapas de risco operacional são convertidas em informações estatísticas suficientes para compor a modelagem. Os modelos de distribuição estatística para a freqüência das perdas operacionais comumente usados no mercado são as de Poisson, geométrica e binomial negativa. Da mesma forma, para a severidade utiliza-se de forma mais comum as distribuições exponenciais, gamma, Weibull e log-normal. O SICREDI ainda não padronizou suas distribuições, preferindo aguardar a maturidade da sua base de dados de perdas operacionais para determinar essas possibilidades. Sob qualquer espécie de distribuição, a técnica de cálculo visada é dependente de ferramenta computacional que tenha robustez e solidez na execução dos seus procedimentos. O SICREDI já envida estudos para a aquisição de ferramenta que possua as características adequadas para a manutenção e utilização da técnica LDA, associando-a com simulações de Monte Carlo para calcular a estimativa de perda esperada. A partir desses conceitos (que, em maior ou menor escala, já vem sendo utilizados pelo SICREDI e continuamente estarão sendo aprimorados até a aplicação completa dos modelos propostos), estipula-se que o capital a ser alocado para risco operacional é a diferença entre a perda esperada e a medida do VaR (Value at Risk) calculado com um intervalo de confiança de 99,9% (noventa e nove vírgula nove por cento), como demonstrado na fórmula a seguir: Sendo: ACro é o valor da alocação de capital gerada para risco operacional VaR99,9 é o valor do VaR calculado para risco operacional com um intervalo de confiança de 99,9% E(x) é o valor da perda esperada para o cálculo realizado (normalmente, o somatório do cruzamento entre a linha de negócio e a categoria de evento de risco operacional) O gráfico abaixo demonstra a distribuição dos valores de perda esperada e de perda inesperada para o SICREDI. Adicionalmente, também calcular-se-á a parcela TVaR (Tail Value at Risk), que representa o valor esperado de perda quando esta for maior do que o VaR com 99,9% de confiança. Figura 6 Curva de distribuição de eventos de risco operacional. Página 11 de 12

13 Em consonância com o que o Banco Central do Brasil estipula no Comunicado BACEN , a base de dados de perdas operacionais do SICREDI deverá receber quantos dados possíveis forem nos anos de 2010, 2011 e 2012 para que seja possível a submissão do Sistema à primeira etapa de habilitação para o uso de modelos avançados de alocação de capital. Essa alimentação deverá ser continuamente validada por auditoria interna (ou consultoria contratada para tal fim), de modo a garantir a consistência desse instrumento para a definitiva adoção de uma metodologia mais adequada à necessidade negocial do Sistema. 10. GESTÃO DE CONTINUIDADE DE NEGÓCIO A gestão de continuidade de negócio é uma disciplina da gestão de risco operacional e age sobre a continuidade e disponibilidade dos serviços oferecidos pelo SICREDI aos seus associados. Essa ação de garantia da continuidade deve prever, tanto por força da regulamentação disposta pela Resolução CMN 3.380/06 quanto pelo próprio requerimento de alta disponibilidade dos serviços, estruturas e planos de contingência que resultem na garantia de continuidade total dos serviços e sistemas do SICREDI minimizando, assim, a ocorrência de eventos de perda operacional. Todos os serviços considerados como críticos dentro do SICREDI possuem planos de continuidade operacional devidamente compostos, documentados e testados segundo a norma BS25999 (norma mais aceita mundialmente em Gestão de Continuidade de Negócio, organizada pelo British Standart Institute) seguindo-se assim as melhores práticas do mercado em continuidade de negócios. Os testes periódicos para continuidade operacional são agendados semestralmente e os testes de verificação para recuperação de desastres são revisados anualmente estando, portanto, em aderência à legislação vigente. Toda a gestão de continuidade de negócio é normatizada pelo Regulamento de Segurança da Informação do SICREDI. 11. REVISÃO E ATUALIZAÇÃO A Diretoria de Economia e Riscos do Banco Cooperativo SICREDI através da Gerência de Risco Operacional é a responsável pela monitoria, revisão e atualização desta estrutura, atendendo a Resolução CMN 3.380/06. Página 12 de 12