Política de Gerenciamento de Risco Operacional

Transcrição

1 Política de Gerenciamento de Risco Operacional Departamento Controles Internos e Compliance Fevereiro/2011 Versão 4.0

2 Conteúdo 1. Introdução Definição de Risco Operacional Estrutura de gerenciamento de Risco Operacional Papéis e Responsabilidades Comitê de Risco Operacional Diretoria Executiva Diretor de Risco Operacional Controles Internos e Compliance Auditoria Interna Jurídico Tecnologia da Informação Gestores dos processos Colaboradores e assessores Gestão de Risco Operacional Mapeamento de processos Identificação / Tratamento dos riscos operacionais Identificação dos Controles / Planos de Ação Monitoramento dos Controles / Plano de Ação Diretor responsável Treinamentos Considerações finais

3 1. Introdução Em atendimento a exigência estipulada pelo Banco Central, através da Resolução n /06, do Conselho Monetário Nacional ( CMN ), a Corretora desenvolveu a política de gerenciamento de risco operacional ( política ) que tem por objetivo apresentar a estrutura de gerenciamento de risco operacional da XP Investimentos, definindo a metodologia e o processo de gestão do risco operacional. Cabe acrescentar que a presente política visa a disseminação e fortalecimento da cultura de tratamento do risco operacional entre os colaboradores da Corretora, em seus diversos níveis, estabelecendo papéis e responsabilidades. Esta política encontra-se aprovada pela Alta Administração e será revisada, anualmente, pelo departamento de Controles Internos e Compliance ( CI e Compliance ). 2. Definição de Risco Operacional Conforme descrito no art. 2º, da Resolução n /06, do CMN, o risco operacional se caracteriza pela possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Deve-se incluir o risco legal neste conceito, uma vez que ele está associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição. Entre os eventos de risco operacional, incluem-se as seguintes categorias: i) Fraudes internas: Atos direcionados a defraudar, apropriar-se de bens indevidamente, ou a burlar regulamentos, leis ou políticas empresariais (excluídos os eventos de discriminação), nas quais se encontra implicada pelo menos uma parte da empresa; ii) Fraudes externas: Atos direcionados a defraudar, apropriar-se de bens indevidamente, ou burlar a lei, por parte de um terceiro; iii) Demandas trabalhistas e segurança deficiente do local de trabalho: Atuações incompatíveis com a legislação ou acordos laborais, de higiene ou de segurança no trabalho, do pagamento de indenizações por danos pessoais ou eventos de discriminação; 3

4 iv) Práticas inadequadas relativas a clientes, produtos e serviços: Não cumprimento involuntário ou negligente de uma obrigação profissional diante de clientes concretos (incluídos os requisitos fiduciários e de adequação) ou da natureza ou projeto de um produto; v) Danos a ativos físicos próprios ou em uso pela instituição: Danos ou prejuízos a ativos materiais como conseqüência de desastres naturais ou outros eventos; vi) Eventos que acarretem a interrupção das atividades da instituição: Incidências nos negócios provenientes de falhas nos sistemas de informação ou outros eventos; vii) Falhas em sistemas de tecnologia da informação: Sistemas mal parametrizados, obsoletos, ocorrência de overloads e outros eventos; e viii) Falhas na execução, cumprimento de prazos e gerenciamento das atividades na Instituição: Erros no processamento de operações ou na Gestão de Processos, assim como de relações com parceiros comerciais e provedores. 3. Estrutura de gerenciamento de Risco Operacional A estrutura de gerenciamento de risco operacional ( estrutura ) da XP Investimentos tem como objetivo a identificação, avaliação, monitoramento, controle e mitigação do risco operacional. Na estrutura são definidos os papéis e principais responsabilidades dos envolvidos na gestão de risco operacional, identificadas as linhas de reporte que asseguram a comunicação apropriada e especificadas as atividades de controle para o adequado gerenciamento de risco operacional. Deve-se enaltecer que a estrutura da XP Investimentos é composta pelos membros/áreas descritos no fluxograma abaixo: 4

5 Diretoria Executiva Comitê de Risco Operacional Controles Internos e Compliance Auditoria Interna (Auditoria Independente) Diretor de Risco Áreas de suporte Risco Jurídico Middle Office Tecnologia da Informação Manutenção dos processos Gestores dos processos Colaboradores As áreas envolvidas no gerenciamento do risco operacional são segregadas da unidade executora da atividade de Auditoria Interna. Além disso, cabe destacar que as áreas de negócio da Corretora contribuem apenas em parceria para a implementação tática do gerenciamento do risco. Desta forma, a estrutura da XP Investimentos está capacitada para: i) Documentar e armazenar as informações referentes às perdas associadas ao risco operacional; ii) Elaborar relatórios anuais identificando e corrigindo tempestivamente as deficiências de controle; iii) Promover o gerenciamento do risco operacional; iv) Elaborar e monitorar os planos de contingência para limitar as perdas decorrentes de risco operacional. 5

6 4. Papéis e Responsabilidades Os membros/áreas que compõem a estrutura devem sempre zelar pelo atendimento dos objetivos vislumbrados na gestão do risco operacional. Sendo assim, ficam estabelecidas suas responsabilidades, a saber: 4.1. Comitê de Risco Operacional i) Promover reuniões semestrais para analisar situações relevantes de exposição da instituição à riscos operacionais, contribuindo para o aprimoramento dos controles internos e adequações necessárias; ii) Acompanhar a aprovação da política de gerenciamento de risco operacional, da estrutura, dos relatórios e das regras e procedimentos associados; iii) Propor planos, diretrizes, políticas, regulamentos e mecanismos atrelados ao a gestão do risco operacional, bem como definir os níveis de risco e estratégias que XP Investimentos irá assumir perante o mercado, seus colaboradores e demais interessados; iv) Incentivar a participação e o respeito às políticas, controles, ações e campanhas de gerenciamento de risco operacional; e v) Promover a disseminação da cultura de risco operacional para todos os departamentos da Corretora por meio de treinamentos, normativos e outros Diretoria Executiva i) Indicar o diretor estatutário responsável pelo gerenciamento do risco operacional; ii) Aprovar e revisar, periodicamente, a estrutura de gerenciamento de risco operacional, bem como as regras e procedimentos a serem adotados para o cumprimento da Resolução n /06, do CMN; iii) Aprovar e revisar, com periodicidade mínima anual, a política de gerenciamento de risco operacional; iv) Assegurar que a estrutura de gerenciamento de risco operacional da XP Investimentos está devidamente implementada e apropriada para suas atividades; v) Manter entendimento e conhecimento sobre informações periódicas sobre o nível de exposição da XP Investimentos aos riscos operacionais, as quais devem contemplar a verificação da obediência às regras, procedimentos e limites estabelecidos, bem como as explicações referentes ao descumprimento das regras estabelecidas e as medidas corretivas tomadas em relação aos fatos; vi) Analisar e aprovar os relatórios emitidos pelos departamentos de Risco e CI e Compliance; e vii) Divulgar por meio de relatório de acesso público a descrição da estrutura de gerenciamento de risco operacional. 6

7 4.3. Diretor de Risco Operacional i) Definir as políticas e objetivos gerais, formular e coordenar os processos para gestão dos riscos operacionais; ii) Auxiliar no desenvolvimento da política de gerenciamento de risco operacional e propor alterações quando for necessário; iii) Elaborar e aprovar a metodologia e modelos para gerenciamento do risco operacional, desenvolvendo técnicas e ferramentas para o tratamento dos riscos operacionais e para cálculo dos indicadores; iv) Elaborar relatórios de avaliação de riscos, controles e perdas com informações relevantes aos riscos identificados e aos planos de ação propostos e reportá-los a Diretoria Executiva para avaliação e tomada de decisão quanto ao tratamento dos riscos e das perdas; e v) Adotar e difundir a cultura de risco operacional Controles Internos e Compliance i) Elaborar a política de gerenciamento de risco operacional e realizar alterações sugeridas; ii) Identificar, avaliar, controlar e sugerir novas práticas de controle que possam mitigar a exposição do risco. Elaborar estratégias de melhoria para os processos, bem como planos e medidas de correção e adequação para os controles; iii) Controlar os riscos operacionais identificados para cada departamento da Corretora e troca de informações sobre perdas e ocorrências para a formação e manutenção da base de perdas; iv) Definir papéis e responsabilidades de cada integrante da estrutura de risco operacional; v) Estabelecer os canais de comunicação efetivos para reportes internos e externos, para divulgação da gestão do risco operacional; vi) Desenvolver treinamentos para disseminação da cultura de risco operacional, conjuntamente, com o departamento de Recursos Humanos; vii) Elaborar relatórios de avaliação de riscos, controles e perdas com informações relevantes aos riscos identificados e aos planos de ação propostos e reportar-los a Diretoria para avaliação e tomada de decisão quanto ao tratamento dos riscos e das perdas; viii) Estruturar a continuidade dos negócios da Corretora contemplando estratégias a serem adotadas para assegurar condições de continuidade das atividades e limitar graves perdas decorrentes de risco operacional; ix) Informar os riscos encontrados aos gestores dos respectivos departamentos; e x) Apoiar os gestores dos processos na avaliação e implementação dos controles e planos de ação a serem implementados para controlar os riscos operacionais. 7

8 4.5. Auditoria Interna i) Verificar se a estrutura de gerenciamento de risco operacional está efetivamente implementada na Corretora; e ii) Auditar as áreas da XP Investimentos 2 (duas) vezes por ano a fim de detectar problemas ou deficiências nos controles internos e riscos operacionais, bem como atestar que a metodologia estão de acordo com o estipulado Jurídico i) Assessorar o CI e Compliance na elaboração de regulamentos, termos, normas, políticas e demais documentos no que tange a risco operacional; e ii) Assegurar que os contratos e as obrigações legais da Corretora sejam devidamente cumpridos, com o objetivo de se reduzir o risco legal Tecnologia da Informação i) Revisar periodicamente o plano de Continuidade dos Negócios da Corretora; ii) Assegurar-se de que os sistemas disponíveis estejam de acordo com o escopo e o tamanho dos negócios da Corretora; iii) Manter processos de controle de perfil de acesso de usuários a sistemas a fim de restringir consultas, alterações ou atualizações de dados evitando possíveis conflitos de interesses das áreas da XP Investimentos; e iv) Interagir com o CI e Compliance em todas as questões que envolvam riscos e controles operacionais informatizados que afetam as XP Investimentos Gestores dos processos i) Manter a ciência dos riscos inerentes aos seus processos, avaliando-os quanto à probabilidade de ocorrer e seus possíveis impactos, sendo destacado na matriz de riscos e controles; ii) Assumir responsabilidades pelos riscos e controles existentes em seu respectivo processo; iii) Auxiliar na elaboração, conduzir e monitorar os controles e planos de ação para mitigação de riscos contemplando melhoria em eu seus processos; e iv) Informar ao CI e Compliance sobre alterações em processos, procedimentos e controles que possam causar mudanças na avaliação de exposição a riscos por meio do sistema de controles internos Colaboradores e assessores i) Participar de forma eficaz dos processos de gestão de risco operacional; 8

9 Contribuir para o mapeamento dos processos da Corretora, reportando por meio do sistema de controles internos, qualquer atualização processos, procedimentos e controles que possam causar mudanças na avaliação de exposição a riscos; e ii) Identificar e comunicar todos os riscos operacionais. 5. Gestão de Risco Operacional O processo de gestão de risco operacional da XP Investimentos ocorre nas seguintes etapas: 5.1. Mapeamento de processos Através do mapeamento dos processos é possível identificar os recursos (tecnológicos e humanos) necessários para o desenvolvimento das atividades de negócio da empresa. Após a identificação, todo recurso é avaliado quanto a sua relevância e potencial em relação ao processo que está associado. Desta forma, todos os processos e departamentos podem ser avaliados quanto a criticidade que representam para a Corretora. São atribuídos os seguintes níveis de criticidade: dispensável, substituível, importante, essencial e vital, conforme qualificação abaixo: Dispensável Substituível Importante Essencial Vital Processo/departamento pouco importante, a corretora não é impactada em seus produtos e serviços principais. Processo/departamento importante, porém a corretora não é impactada diretamente em seus produtos e serviços principais. Processo/departamento importante, os produtos e serviços principais da corretora são pouco impactados com alguns poucos incômodos e limitações. Processo/departamento muito importante, os produtos e serviços principais da corretora são impactados com incômodos e limitações operacionais. Processo/departamento muito importante, os produtos e serviços principais da corretora são totalmente impactados. O mapeamento é realizado através de entrevistas presenciais dos colaboradores do Compliance, todas documentadas e arquivadas no sistema de controles internos. Cabe destacar que todos os envolvidos na estrutura de gerenciamento de risco operacional são responsáveis por manter os processos atualizados, bem como os recursos associados. 9

10 5.2. Identificação / Tratamento dos riscos operacionais O tratamento do risco operacional será quantitativamente avaliado com base no número de erros operacionais registrados, a probabilidade de ocorrência e o valor de impacto detectado. Os erros operacionais serão registrados de acordo com as evidências apontadas pelos operadores e apuradas pelo Middle Office e pelos sistemas de controle de posições. A partir do mapeamento dos processos, em que são identificados os recursos (tecnológicos e equipamentos) e avaliada a criticidade, inicia-se a apuração de outros dados qualitativos, dentre eles, número de clientes, volume de operações, freqüência, tempo para execução. O resultado da conjugação destes diversos fatores especificará os níveis de risco operacional para o período analisado. Concluída a fase de quantificação dos riscos operacionais, deve ser realizada a identificação e a análise de falhas relacionadas a estes. Estas falhas são então registradas como vulnerabilidades que devem ser mapeadas no contexto do negócio da XP Investimentos. De acordo com o mapeamento das vulnerabilidades dos processos e recursos, serão classificando os riscos reais para a Corretora que podem ser: Muito Alto, Alto, Médio, Baixo e Muito Baixo. Após a avaliação qualitativa e quantitativa, chega-se no resultado da exposição ao risco. Com base no nível do risco operacional detectado durante a avaliação serão exercidos os seguintes controles para os riscos: Nível de Risco Operacional Muito Baixo Baixo Médio Alto Muito Alto Tipo de Controle Aceitar Detectar Corrigir e Detectar Prevenir e Corrigir Prevenir Os riscos operacionais devem ser constantemente monitorados e planos de contingência serão elaborados para limitar as perdas. O departamento de Risco estabelece que o limite de erros operacionais não poderá ultrapassar 2% (dois por cento) da Receita Bruta Operacional da Corretora, a fim de não comprometer e inviabilizar os negócios da XP Investimentos. 10

11 5.3. Identificação dos Controles / Planos de Ação Após a aplicação da metodologia de identificação e tratamento dos riscos operacionais, o CI e Compliance identifica os planos de ação e as medidas corretivas e adequadas aplicáveis aos processos da Corretora. Portanto, se inicia nesta etapa, a implementação das estratégias de melhoria dos processos a fim de evitar, mitigar ou eliminar os riscos operacionais associados. Devem sempre ser enfatizados os processos que proporcionem impactos financeiros relevantes para a Corretora. Todos os planos de ação e controles são reportados pelo CI e Compliance aos gestores dos processos, que são responsáveis por avaliar as estratégias e pontos de melhoria e propor as formas mais eficientes de adequação. Os gestores devem assumir a gerência das atividades de controle, bem como monitorar as ações e respeitar os prazos estipulados Monitoramento dos Controles / Plano de Ação Todas as áreas envolvidas na estrutura do risco operacional devem executar um processo de vigilância, com o objetivo de verificar se as ações de controle estão sendo cumpridas e a mitigação do risco operacional está implementada de acordo com a estratégia da gestão de risco operacional. O CI e Compliance deve permanecer à disposição dos gestores dos processos e acompanhar o desenvolvimento de todas as atividades. Com periodicidade no mínimo anual, serão realizados testes nos controles implementados para o gerenciamento do risco operacional. Caso aplicável, os controles serão revistos e aprovados pela Diretoria Executiva. 6. Diretor responsável De acordo com a Resolução 3.380/06 do CMN, todas as instituições financeiras devem indicar no UNICAD, um diretor responsável pelo cumprimento da mesma. A XP Investimentos já realizou esta comunicação e possui um diretor de risco operacional vigente junto ao Banco Central. 7. Treinamentos A XP Investimentos divulga amplamente a política de gerenciamento de risco operacional e prevê a aplicação de treinamentos periódicos a todos os colaboradores, sócios e prestadores de serviços para disseminar a respectiva política, abordando o conhecimento das funções e responsabilidades associadas e a promoção da cultura de tratamento do risco operacional. 11

12 8. Considerações finais Este documento é de uso interno da XP Investimentos, não podendo ser disponibilizado a terceiros sem a ciência e aprovação do CI e Compliance. Quaisquer dúvidas em relação aos preceitos deste documento podem ser esclarecidas a qualquer momento pelo CI e Compliance. O descumprimento dos preceitos contidos nesta política está sujeito a aplicação de medidas disciplinares. 12