Manual de Instruções Gerais (MIG) Risco Operacional

Transcrição

1 1/74

2 Título 1 Apresentação... 3 Título 2 Gerenciamento do Risco Operacional Estrutura de Gerenciamento do Risco Operacional 4 1 Considerações Gerais Estrutura Organizacional Responsabilidades Estrutura Normativa Sistema Tecnológico Conformidade Validação Processos de Gerenciamento de Risco Operacional Identificação de Riscos Operacionais Avaliação do Risco Operacional Monitoramento, Controle e Mitigação Comunicação Documentação e Armazenamento de Informações Registro das Perdas Operacionais Acompanhamento Identificação de Fornecedores Críticos Publicação da Estrutura de Gerenciamento de Risco Operacional Título 3 Glossário Título 4 Modelos e Formulários Estrutura de Gerenciamento de Risco Operacional Relatório Completo para Publicação Relatório Resumido para Publicação Questionário de Auto Avaliação de Riscos e Controles (CRSA) Quadro Descritivo dos Eventos e Subeventos Quadro Descritivo dos Fatores e Subfatores Título 5 Referências Normativas Título 6 Controle de atualizações /74

3 Título Manual de Instruções Gerais (MIG) Risco Operacional 1 Apresentação 1. O Manual de Instruções Gerais (MIG) Risco Operacional tem por finalidade complementar a Política institucional de Risco Operacional e estabelecer padrões para a instrumentalização do gerenciamento do risco operacional pelas cooperativas centrais e singulares do Sicoob. 2. Este manual foi elaborado e é atualizado por proposta da Área de Controles Internos e Riscos da Confederação Nacional das Cooperativas do Sicoob - Sicoob Confederação, entidade responsável pelo gerenciamento centralizado do risco operacional do Sicoob. 3. No corpo deste manual, apresentamos o Conselho de Administração e a Diretoria Executiva como órgãos de administração. Caso as cooperativas centrais e singulares não disponham dessa estrutura, as funções do Conselho de Administração corresponderão, conforme o caso, à Diretoria, e as funções da Diretoria Executiva corresponderão a outro órgão executivo eventualmente existente. 4. A adesão a este Manual Operacional pelas cooperativas centrais e singulares do Sicoob que não adotaram o modelo de estatuto disponível no MIG Regulação Institucional ocorrerá por meio da aprovação pelas respectivas Diretorias Executivas. 5. A reprodução parcial ou total desta obra somente será permitida às entidades do Sicoob. 3/74

4 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 1 Considerações Gerais 1. A regulamentação em vigor determina que as instituições autorizadas a funcionar pelo Banco Central do Brasil devem implementar estrutura de gerenciamento de riscos compatível com a natureza das operações, bem como a complexidade dos produtos e serviços oferecidos, e deve ainda ser proporcional à dimensão da exposição. 2. A estrutura de gerenciamento do risco operacional tem caráter abrangente e constitui-se pelos seguintes componentes: a) estrutura organizacional; b) estrutura normativa; c) sistemas computacionais; d) conformidade; e) validação; f) acompanhamento. 3. O Sicoob Confederação é a entidade responsável pela estrutura de gerenciamento centralizado do risco operacional do Sicoob. 4. A estrutura de gestão centralizada do risco operacional não desonera as cooperativas centrais e singulares das responsabilidades a que estão sujeitas por determinação legal ou regulamentar. 4/74

5 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 2 Estrutura Organizacional 1. A estrutura envolvida no processo de aprovação da estrutura organizacional para implementação do gerenciamento do risco operacional e da Política Institucional de Risco Operacional constitui-se por: a) Área de Controles Internos e Riscos do Sicoob Confederação: elabora estudos e submete as propostas, considerando também as propostas do Comitê de Controles Internos e Risco Operacional, à Diretoria Executiva. b) Comitê de Controles Internos e Risco Operacional do Sicoob: analisa e se manifesta em relação às propostas da Área de Controles Internos e Riscos do Sicoob Confederação, de acordo com o contido no Regulamento do Comitê de Controles Internos e Risco Operacional do Sicoob; c) Área de Normas do Sicoob Confederação: padroniza e consolida as minutas dos normativos a serem apreciados pelas instâncias deliberativas; d) Diretoria Executiva do Sicoob Confederação: avalia, aprova metodologias e política e encaminha, no caso de política, ao Conselho de Administração do Sicoob Confederação para deliberação; e) Conselho de Administração do Sicoob Confederação: avalia as manifestações encaminhadas pela Diretoria Executiva e decide sobre as propostas apresentadas. 2. A estrutura organizacional envolvida na aprovação dos processos, modelos, procedimentos e sistemas relacionados ao gerenciamento do risco operacional constitui-se por: a) Área de Controles Internos e Riscos do Sicoob Confederação: elabora os estudos e submete as propostas de processos e métodos para o gerenciamento do risco operacional; b) Área de Normas do Sicoob Confederação: padroniza e consolida as minutas dos normativos a serem apreciados pelas instâncias deliberativas; c) Comitê de Controles Internos e Risco Operacional do Sicoob: analisa e se manifesta em relação às propostas da área de Controles Internos e Riscos do Sicoob Confederação, de acordo com o contido no Regulamento do Comitê de Controle Interno e Risco Operacional do Sicoob. 3. A estrutura organizacional envolvida no processo de acompanhamento do risco operacional no âmbito sistêmico constitui-se por: 5/74

6 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 2 Estrutura Organizacional a) Área de Controles Internos e Riscos do Sicoob Confederação: produz as informações para o gerenciamento do risco operacional (inclusive de forma individualizada para cada entidade do Sicoob), elabora análises e submete as propostas; b) Comitê de Controles Internos e Risco Operacional do Sicoob: avalia e se manifesta em relação às informações e análises apresentadas pela área de Controles Internos e Riscos do Sicoob Confederação; c) Diretoria Executiva do Sicoob Confederação: acompanha a implementação da Política e procedimentos, e toma as providências necessárias; d) Conselho de Administração do Sicoob Confederação: avalia e decide sobre as propostas que lhes forem submetidas. 4. A estrutura organizacional envolvida no processo de acompanhamento do risco operacional no âmbito de cada entidade do Sicoob constitui-se por: a) Diretoria Executiva das cooperativas centrais: recebe o resultado das análises realizadas pela Área de Controles Internos e Riscos do Sicoob Confederação e as manifestações do Comitê de Controles Internos e Risco Operacional do Sicoob, avalia e apresenta manifestação em relação às análises recebidas. A manifestação da Diretoria Executiva deve ser encaminhada para providências da área de Controles Internos e Riscos da própria Central; b) Área de Controles Internos e Riscos das cooperativas centrais: recebe informações da Diretoria Executiva, produzidas pela área de Controles Internos e Riscos do Sicoob Confederação e do Comitê de Controles Internos e Risco Operacional do Sicoob, elabora análises e submete propostas de ações corretivas e preventivas, inclusive envolvendo as cooperativas singulares associadas; c) Conselho de Administração das cooperativas centrais: avalia as informações e as análises recebidas, bem como decide, inclusive em relação às respectivas cooperativas singulares associadas, sobre as propostas de ações corretivas e preventivas, de adoção de mecanismos de mitigação ou de planos de contingência envolvendo o risco operacional; 6/74

7 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 2 Estrutura Organizacional d) Diretoria Executiva das cooperativas singulares: recebe o resultado das análises realizadas pela Área de Controles Internos e Riscos do Sicoob Confederação, bem como a manifestação da cooperativa central, que avalia e apresenta manifestação em relação às informações recebidas. Após análise, encaminha a manifestação para análise da própria Área de Controles Internos e Riscos. d.1) A Diretoria Executiva é responsável por disseminar a Política e a metodologia de gerenciamento de risco operacional, bem como por providenciar sua efetiva implementação; e) Área de Controles Internos e Riscos das cooperativas singulares: recebe da Diretoria Executiva as informações produzidas pela Área de Riscos do Sicoob Confederação e as decisões da cooperativa central. Após análise, submete as propostas ao Conselho de Administração; f) Conselho de Administração das cooperativas singulares: avalia as informações e as análises recebidas, bem como decide sobre as propostas de ações corretivas e preventivas, de adoção de mecanismos de mitigação ou de planos de contingência que envolvem o risco operacional. 7/74

8 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 3 Responsabilidades 1. Além das atribuições e responsabilidades previstas no Estatuto Social e no respectivo Regimento Interno, o Conselho de Administração da cooperativa central e singular do Sicoob é responsável por: a) aprovar e disseminar a Política de Gerenciamento do Risco Operacional; b) analisar, no mínimo anualmente, os relatórios que identificam as deficiências de controle e gerenciamento de risco operacional, bem como as ações para correção tempestiva; c) manifestar, expressamente, acerca das ações a serem implementadas para correção tempestiva das deficiências apontadas nos relatórios mencionados; d) instituir a realização periódica dos testes de avaliação dos sistemas de controle de riscos operacionais; e) estabelecer as condições necessárias para publicação, em conjunto com as demonstrações contábeis e de acordo com a legislação em vigor, do resumo da descrição da estrutura de gerenciamento do risco operacional, indicando a localização do relatório de acesso público; f) aprovar os planos de contingência contendo as estratégias a serem adotadas para assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes de risco operacional; g) instituir processo estruturado de comunicação e informação; h) outras competências necessárias ao adequado gerenciamento do risco operacional na cooperativa. 2. Além das atribuições e responsabilidades previstas no Estatuto Social e no respectivo Regimento Interno, a Diretoria Executiva da cooperativa central e singular do Sicoob é responsável por: a) disseminar a Política de Gerenciamento do Risco Operacional instituída; b) analisar, no mínimo anualmente, os relatórios que identificam as deficiências de controle e gerenciamento de risco operacional, bem como as ações para correção tempestiva; c) manifestar, expressamente, acerca das ações a serem implementadas para correção tempestiva das deficiências apontadas nos relatórios mencionados; d) verificar se os testes de avaliação dos sistemas de controle de riscos operacionais implementados foram realizados no mínimo anualmente; 8/74

9 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 3 Responsabilidades e) certificar-se da adequada documentação e armazenamento de informações referente às perdas associadas ao risco operacional; f) estabelecer, em conjunto com o Conselho de Administração, as condições necessárias para que o resultado das análise realizadas no gerenciamento do risco operacional possam ser objeto de acesso público, com periodicidade mínima anual; g) proporcionar as condições administrativas e técnicas necessárias para que o Agente de Controles Internos e Riscos (ACIR) e demais empregados da cooperativa exerçam adequadamente as atribuições a eles conferidas; h) acompanhar as ações desenvolvidas pelo Agente de Controles Internos e Riscos, empregados das cooperativas e prestadores de serviços, para correção tempestiva de deficiências de controle e gerenciamento de riscos operacionais; i) acompanhar os empregados na execução de suas atividades, para correção tempestiva de deficiências identificadas no controle e no gerenciamento de riscos; j) informar ao Conselho de Administração, independente dos relatórios elaborados pelo Agente de Controles Internos e Riscos (ACIR), quando da identificação de deficiências de controle e de gerenciamento de riscos que apresentem riscos operacionais relevantes e imediatos à cooperativa; k) cumprir e fazer cumprirem as ações mitigadoras de risco operacional; l) outras atividades necessárias ao adequado gerenciamento do risco operacional na cooperativa. 3. Além das atribuições e responsabilidades previstas no respectivo Regimento Interno, os gestores (superintendentes, gerentes ou função correlata) são responsáveis pelas atividades relacionadas à identificação, avaliação e tratamento do risco operacional, apresentadas a seguir: a) identificar e avaliar os riscos operacionais existentes nos processos de sua área; b) assegurar a efetiva execução dos controles implementados; c) implementar as ações de risco operacional aprovadas pela Diretoria Executiva da cooperativa; 9/74

10 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 3 Responsabilidades d) implementar os Manuais Operacionais em suas respectivas áreas, assim como assegurar seu alinhamento com a Política Institucional de Risco Operacional e a este Manual; e) conscientizar a respectiva equipe sobre a relevância do gerenciamento do risco operacional; f) identificar as perdas operacionais de sua área e comunicar formalmente à Diretoria Executiva e ao Agente de Controles Internos e Riscos (ACIR) ; g) identificar as causas das perdas operacionais ocorridas em sua área e avaliar o custo para implementação de controles adicionais. 4. Os empregados devem realizar adequadamente as suas atividades, identificando e reportando aos respectivos gestores, deficiências e (ou) riscos identificados na operacionalização. 5. Além das atribuições previstas no Manual de Instruções Gerais (MIG) Controles Internos e no respectivo Regimento Interno, o Monitor de Controles Internos e Riscos (MCIR) é responsável por (no caso de Monitor da Central, em relação às cooperativas singulares; no caso de Monitor da Confederação, em relação às cooperativas centrais): a) monitorar as atividades de gerenciamento do risco operacional executadas pelas cooperativas monitoradas; b) verificar os registros de identificação, avaliação e tratamento dos riscos operacionais realizados no Sistema de Controles Internos e Riscos Operacionais (Scir) pelas cooperativas monitoradas; c) monitorar a regularização das deficiências relacionadas ao gerenciamento do risco operacional; d) monitorar o grau de exposição ao risco operacional, inclusive aquele oferecido por fornecedores críticos; e) comunicar ao Conselho de Administração da cooperativa monitorada, por intermédio do próprio Conselho de Administração da cooperativa central, os casos em que os trabalhos executados estão inadequados e (ou) que não estão em conformidade com a normatização em vigor; f) elaborar e encaminhar o relatório das atividades de gerenciamento do risco operacional ao Conselho de Administração da cooperativa monitorada. 10/74

11 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 3 Responsabilidades 6. Além das atribuições previstas no Manual de Instruções Gerais (MIG) Controle Interno e no respectivo Regimento Interno, o Agente de Controles Internos e Riscos (ACIR) é responsável por: a) coordenar, de acordo com o previsto neste Manual e com as diretrizes do Conselho de Administração, a aplicação efetiva da Política de Gerenciamento de RiscoOperacionai; b) coordenar a aplicação de procedimentos de identificação, avaliação, monitoramento, controle e mitigação do risco operacional, contidos neste manual, inclusive aqueles decorrentes de serviços terceirizados relevantes para o funcionamento regular da cooperativa, prevendo os respectivos planos de contingência; c) atuar como facilitador no processo de gerenciamento do risco operacional; d) operacionalizar o Sistema de Controles Internos e Riscos Operacionais (Scir); e) reportar ao Conselho de Administração e à Diretoria Executiva as falhas ou inconsistências nos processos de identificação, avaliação e tratamento dos riscos operacionais; f) coordenar a realização dos testes de planos de contingência; g) registrar as perdas decorrentes do risco operacional; h) providenciar a documentação e o armazenamento das informações referentes às perdas associadas ao risco operacional, conforme instruções contidas neste manual; i) elaborar e apresentar ao Conselho de Administração e à Diretoria Executiva, de acordo com periodicidade definida pela entidade para preenchimento da Lista de Verificação de Conformidade (LVC, relatórios que identificam as deficiências do controle e gerenciamento do risco operacional, bem como ações para correção tempestiva; j) observar se o resumo da descrição da estrutura de gerenciamento do risco operacional está sendo publicado como parte integrante do Relatório de Gestão/Administração, em conjunto com as demonstrações contábeis; 11/74

12 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 3 Responsabilidades m) prestar às cooperativas monitoradas as informações necessárias à execução do processo de gerenciamento de risco operacional ;manter o Conselho de Administração e a Diretoria Executiva informados sobre as situações de risco operacional imediato; k) outras atividades necessárias ao adequado gerenciamento do risco operacional na cooperativa. 12/74

13 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 4 Estrutura Normativa 1. Os instrumentos normativos que envolvem o risco operacional incluem, na forma definida no Manual de Instruções Gerais (MIG) Normatização, os seguintes instrumentos de regulação: a) Política Institucional de Risco Operacional; b) Manuais de Instruções Gerais (MIG); c) Manuais de Procedimentos Internos (MPI); d) Manual de Produtos e Serviços (MPS). 2. A proposição de instrumentos normativos relativos ao gerenciamento do risco operacional é de competência da Área de Controles Internos e Riscos do Sicoob Confederação. 3. A proposição de normativos pela Área de Controles Internos e Riscos do Sicoob Confederação decorre, dentre outros, de alterações no ambiente normativo/regulatório, de fatos relevantes, de sugestões de qualquer entidade do Sicoob ou da identificação de oportunidades de melhoria. 4. A padronização e a consolidação das minutas a serem submetidas à aprovação das instâncias decisórias são efetuadas pela Área de Normas do Sicoob Confederação. 13/74

14 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 5 Sistema Tecnológico 1. O sistema utilizado no processo de gerenciamento do risco operacional é o Sistema de Controles Internos e Riscos Operacionais (Scir), que contém o módulo para o gerenciamento do risco operacional e para a Lista de Verificação de Conformidade (LVC), que foi desenvolvida com base na metodologia CSA (Control Self Assessment). 2. O desenvolvimento de implementações e melhorias é efetuado por demanda das cooperativas, a partir da proposição dos usuários, da identificação de necessidades, bem como de definição de prioridades. 3. As informações cadastradas no Sistema de Controles Internos e Riscos Operacionais (Scir) são mantidas em banco de dados fornecido pelo Sicoob Confederação. 14/74

15 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 6 Conformidade 1. O processo de gerenciamento do risco operacional conta com sistemática de conformidade, definida e conduzida pela Área de Controles Internos e Riscos do Sicoob Confederação, como parte integrante do processo centralizado de gerenciamento do risco operacional e do monitoramento dos controles internos. 2. Observada a sistemática própria de gerenciamento do risco operacional e de monitoramento dos controles internos, os resultados em relação ao risco operacional são periodicamente analisados pela Área de Controles Internos e Riscos do Sicoob Confederação, que avalia e propõe, quando necessário, adequações aos normativos que estão sob sua gestão. 15/74

16 Título Manual de Instruções Gerais (MIG) Risco Operacional 2 Gerenciamento do Risco Operacional 1 Estrutura de Gerenciamento do Risco Operacional 7 Validação 1. Os sistemas, os modelos e os procedimentos utilizados devem passar, previamente à utilização, por processo de validação o qual envolve: a) homologação: realizada pelo gestor específico, no caso de funcionalidades dos sistemas computacionais; b) crítica: realizada pelo Comitê de Controles Internos e Risco Operacional do Sicoob, referentes aos normativos, procedimentos e modelos propostos. 16/74

17 Título 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 1 Identificação de Riscos Operacionais 1. Identificação é o processo pelo qual são apontados os eventos potenciais internos e externos que podem afetar a implementação da estratégia e o alcance dos objetivos das cooperativas do Sicoob, constituindo assim em risco operacional. 2. Os riscos operacionais das cooperativas do Sicoob, incluindo os decorrentes de prestação de serviços terceirizados relevantes para o funcionamento regular da cooperativa, devem ser tempestivamente identificados. 3. Para intermediar o processo de identificação dos riscos operacionais, o Agente de Controles Internos e Riscos (ACIR) deve: a) analisar a Lista de Verificação de Conformidade (LVC) (Módulo II do Scir); b) observar o histórico de perdas registradas na contabilidade e (ou) no item de registro de perdas operacionais do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir); c) analisar o mapeamento dos processos internos da cooperativa, quando houver; d) entrevistar os gestores com o objetivo de identificar os riscos operacionais e os processos e atividades da área; e) observar a experiência dos empregados da área, sob a coordenação do gestor; f) observar os pontos de aprimoramento relatados pelas Auditorias Interna e externa, pela área de Controles Internos e pelo Banco Central do Brasil; g) observar as ações judiciais movidas contra a cooperativa. 4. A responsabilidade pela identificação do risco operacional é do gestor do processo (superintendente, gerente ou função correlata), cujo processo deve ser conduzido sob a coordenação do Agente de Controles Internos e Riscos (ACIR) e validado e aprovado pela respectiva Diretoria Executiva. 5. Todos os riscos operacionais identificados na cooperativa devem ser registrados, no Sistema de Controles Internos e Riscos Operacionais (Scir) Módulo IV Registro de Perdas e Riscos Operacionais, descrevendo o evento e o fator operacional do risco. 6. Além dos riscos identificados pela Lista de Verificação de Conformidade (LVC), pode, ainda, haver riscos operacionais aos quais os processos da cooperativa estão expostos, mas que não foram identificados por meio da Lista de Verificação de Conformidade (LVC) ou das perdas ocorridas. 17/74

18 Título 2 Gerenciamento do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 1 Identificação de Riscos Operacionais 7. A Lista de Verificação de Conformidade pode não ser suficiente para identificar todos os riscos operacionais, assim, é recomendável que a cooperativa realize o mapeamento e a descrição de todos os seus processos para identificação dos riscos operacionais existentes. Os processos da cooperativa devem ser descritos, com intuito de identificar os riscos operacionais e facilitar análises futuras. 8. Independente dos processos da cooperativa estarem descritos, a análise para identificação dos riscos operacionais deve ser realizada, pelo menos, nos processos críticos da cooperativa (aqueles com possibilidade de perdas significativas). 9. Para facilitar a identificação dos riscos operacionais por meio da Lista de Verificação de Conformidade (LVC), recomenda-se que, para cada processo (por exemplo: caixa, contabilidade, ciclo de crédito, captação), sejam realizadas perguntas baseadas nos 8 (oito) eventos descritos na regulamentação em vigor, que trata da implementação de estrutura de gerenciamento de risco operacional, conforme apresentado no título 4 Questionário de Auto Avaliação de Riscos e Controles (CRSA). 10. O ciclo de identificação dos riscos operacionais deve ser realizado no mínimo anualmente. 18/74

19 Título 2 Gerenciamento Do RISCO Operacional 2 Processos de gerenciamento de Risco Operacional 2 Avaliação do Risco Operacional 1. Para o gerenciamento do risco operacional é importante realizar a avaliação dos riscos identificados com o objetivo de, mesmo de forma subjetiva, estabelecer graus de relevância dos riscos. 2. Nessa etapa, é realizada a avaliação qualitativa dos riscos operacionais, por meio da aplicação da Matriz de Exposição ao Risco Operacional do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir). 3. De acordo com a avaliação realizada pela Matriz de Exposição ao Risco Operacional, preferencialmente para os riscos operacionais classificados com prioridade média e alta, e para aqueles que, independentemente da classificação matricial, apresentarem possibilidade de sanção por órgãos de regulação e de fiscalização, deve ser também apresentado pelo gestor, sob a coordenação do Agente de Controles Internos e Riscos (ACIR), plano de ação para tratamento do risco operacional. 4. O Sistema de Controles Internos e Riscos Operacionais (Scir) possibilita a avaliação dos riscos em três situações: a) no encerramento do preenchimento da Lista de Verificação de Conformidades (LVC); b) após o registro de perdas operacionais identificadas no decorrer do bimestre em avaliação; c) após o registro de determinado evento em decorrência da materialização do risco operacional. 5. A Matriz de Exposição ao Risco Operacional mede o grau de exposição ao risco operacional ao qual os processos e atividades estão sujeitos. 6. Esse grau é determinado pelas respostas negativas dos pontos de controle da Lista de Verificação de Conformidade (LVC), conforme o peso (impacto) e a frequência. 7. A combinação dos fatores impacto e frequência dos pontos de controle negativos relacionados ao risco operacional determina a classificação final da cooperativa, que pode ser de baixo, médio ou alto risco. 19/74

20 Título 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 2 Avaliação do Risco Operacional 8. O eixo impacto informa o nível de risco das questões negativas, conforme o peso de cada questão na LVC (o peso corresponde ao impacto na exposição ao risco da cooperativa, sendo que, quanto maior o peso, maior o impacto), conforme apresentado a seguir: a) insignificante: quando o peso da questão da LVC é igual a 1; b) menor: quando o peso da questão da LVC é igual a 2; c) moderado: quando o peso da questão da LVC é igual a 3; d) maior: quando o peso da questão da LVC é igual a 4; e) catastrófico: quando o peso da questão da LVC é igual a O eixo frequência informa a percentagem de vezes que as questões da Lista de Verificação de Conformidade (LVC) foram negativadas no período de preenchimento, conforme apresentado a seguir: a) rara: quando a ocorrência negativa da questão da LVC, no período, for igual a 0% ou menor ou igual a 20% do total de ocorrências possíveis; b) improvável: quando a ocorrência negativa da questão da LVC, no período, for maior que 20% e menor ou igual a 40% do total de ocorrências possíveis; c) possível: quando a ocorrência da questão da LVC, no período, for maior que 40% e menor ou igual a 60% do total de ocorrências possíveis; d) provável: quando a ocorrência da questão da LVC, no período, for maior que 60% e menor ou igual a 80% do total de ocorrências possíveis; e) quase certa: quando a ocorrência da questão da LVC, no período, for maior que 80% e menor ou igual a 100% do total de ocorrências possíveis. 10. A base de dados que compõe o eixo frequência é sempre acumulativa, isto é, utiliza a base de dados gerada desde o primeiro preenchimento da LVC pela cooperativa. 20/74

21 Título 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 2 Avaliação do Risco Operacional 11. O processo de avaliação do risco operacional será demonstrado por meio do exemplo a seguir: em uma cooperativa sem Ponto de Atendimento (PA), cuja Lista de Verificação de Conformidade (LVC) totaliza 100 questões, os pesos são distribuídos da seguinte forma: a) 20 questões com peso 1 (insignificante); b) 10 questões com peso 2 (menor); c) 40 questões com peso 3 (moderado); d) 10 questões com peso 4 (maior); e) 20 questões com peso 5 (catastrófico). 12. O período analisado, no exemplo anterior, é o equivalente a 10 bimestres, ou seja, cada questão terá no máximo 10 ocorrências. 13. Caso a questão , de peso (impacto) 1, tenha sido respondida negativamente 5 vezes durante o período, ou seja, em 10 ocorrências possíveis foram registradas 5 negativas, o cálculo para avaliar o risco relacionado à questão, no eixo frequência seria: 5 (negativas)/10 (preenchimentos da LVC) = 0,50 x 100 = 50% (frequência de negativas registradas). 14. Nesse momento, aplicam-se os resultados de impacto 1 e de frequência 50% na matriz apresentada a seguir: 15. A combinação impacto x frequência da questão é: a) eixo impacto: insignificante devido ao peso 1; b) eixo frequência: possível, pois a ocorrência foi > 40% ou < 60%; 16. A classificação do risco ficou apresentada na primeira linha e terceira coluna da matriz, sendo que a célula de cor amarela equivale ao médio risco. 21/74

22 Título 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 2 Avaliação do Risco Operacional 17. Essa análise será feita para as outras 19 questões de impacto insignificante, de modo que, ao final, a 1ª linha terá 20 questões. 18. Nos outros níveis de impacto, o procedimento será o mesmo, de modo que cada linha terá como total a respectiva quantidade máxima de questões por impacto. 19. A última célula, que remete ao total geral, será equivalente ao total de questões da Lista de Verificação de Conformidade (LVC), que é igual a O percentual de combinações de todas as questões determinará o grau de exposição ao risco operacional da cooperativa, variando de risco baixo (verde),a risco alto (vermelho). 22/74

23 Título Subseção 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 3 Monitoramento, Controle e Mitigação 1 Tratamento dos Riscos 1. O tratamento dos riscos compreende as etapas de monitoramento, controle e mitigação do risco operacional. 2. Podem ser implementadas ações para o monitoramento, controle e mitigação, na forma apresentada a seguir: a) monitoramento: ações que possibilitam manter o risco sob supervisão, inclusive a performance dos controles aplicados, de forma que qualquer variação que possa redundar em perdas, além daquelas aprovadas pela Diretoria Executiva, sejam tempestivamente identificadas; b) controle: arranjo ou conjunto de arranjos aplicados ao risco com o objetivo de mantê-lo dentro de um determinado parâmetro; c) mitigação: ações que possibilitam reduzir a probabilidade e (ou) do impacto do risco. 3. Na etapa de identificação dos riscos ou das perdas operacionais, após o cruzamento das combinações de Evento e Fator e, consequentemente, do Subevento e Subfator, o risco poderá ser Controlável pela LVC, Não Controlável pela LVC ou Controlável Sem Eficácia pela LVC. 4. Os riscos e as perdas operacionais classificadas como não controláveis ou controláveis sem eficácia na LVC deverão ser tratados por meio de planos de ação cadastrados pela cooperativa no aplicativo do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir). 5. O gestor, sob a coordenação do Agente de Controles Internos e Riscos (ACIR), deve apresentar plano de ação para o tratamento do risco operacional classificado com prioridade média e alta, e para aqueles que, independente da classificação matricial apresentar possibilidade de sanção por órgãos de regulação e de fiscalização. 6. No tratamento dos riscos operacionais devem ser empreendidas as seguintes ações: a) implementação pelos gestores de cada área, das ações determinadas em planos de ação para tratamento dos riscos operacionais identificados e avaliados; b) acompanhamento pelo Agente de Controles Internos Riscos (ACIR) da efetividade e tempestividade na implantação de cada ação; 23/74

24 Título Subseção 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 3 Monitoramento, Controle e Mitigação 1 Tratamento dos Riscos c) avaliação, pela Diretoria Executiva, dos controles existentes e ações a serem implementadas, principalmente dos riscos classificados como Médio e Alto; d) enquadramento dos riscos nos parâmetros definidos na Política Institucional de Risco Operacional; e) aplicação, pelo Agente de Controles Internos e Riscos (ACIR), de testes regulares nos controles dos riscos mais severos. 7. A responsabilidade operacional para implementação dos planos de ação é do gestor da área em que o risco operacional foi identificado e avaliado. 8. O Agente de Controles Internos e Riscos (ACIR) deve assessorar os gestores da cooperativa na implementação das ações necessárias ao tratamento dos riscos operacionais, assim como acompanhar a implementação dessas ações, com as consequentes comunicações, de forma tempestiva, à Diretoria Executiva e ao Conselho de Administração. 9. A regularização das deficiências detectadas deve ser comunicada ao ACIR, por meio de instrumento de comunicação específico, o qual comunicará à Diretoria Executiva e ao Conselho de Administração. 10. Eventuais determinações e os prazos que não poderão ser cumpridos no tempo fixado deverão ser comunicados pelo gestor ao ACIR, o qual comunicará à Diretoria Executiva e ao Conselho de Administração sobre o ocorrido. 11. Para monitorar o risco, a Diretoria Executiva e o Conselho de Administração devem supervisionar a execução das ações e o cumprimento dos prazos estabelecidos para regularização das deficiências detectadas e avaliar eventuais descumprimentos, para determinar as providências aplicáveis. 12. O resultado da deliberação dos órgãos de administração referente ao item anterior deve ser registrado na ata da reunião em que o tema foi pautado. 13. Os empregados devem adotar os procedimentos de monitoramento, controle e mitigação informados em planos de ação. 14. O Agente de Controles Internos e Riscos (ACIR) deve utilizar o aplicativo Ações de regularização do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir), para gestão, monitoramento e encerramento dos planos de ação registrados, referentes às perdas ou riscos operacionais não controláveis ou controláveis sem eficácia pela LVC. 24/74

25 Título Subseção 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 3 Monitoramento, Controle e Mitigação 1 Tratamento dos Riscos 15. A documentação que evidencia a implementação das ações de tratamento dos riscos deve ser arquivada pelas cooperativas e deve ficar à disposição da estrutura de controle (agente, monitor, auditorias, central, Sicoob Confederação e Banco Central). 16. A deliberação da Diretoria Executa e do Conselho de Administração quanto a forma de tratar o risco deve ser transparente e estar alinhada à Política Institucional de Risco Operacional e a este Manual. 25/74

26 Título Subseção 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 3 Monitoramento, Controle e Mitigação 2 Reporte Interno e Externo 1. A implementação dos planos de ação é de responsabilidade operacional dos gestores dos processos em que o risco operacional for identificado e deve ser supervisionada pelo Agente de Controles Internos e Riscos (ACIR), ao qual compete reportar periodicamente a situação à Diretoria Executiva e ao Conselho de Administração. 2. Eventuais determinações e prazos que não forem possíveis de ser cumpridos pelas áreas da cooperativa deverão ser reportados ao ACIR, o qual encaminhará a informação à Diretoria Executiva e ao Conselho de Administração. 3. Para mitigar o risco, a Diretoria Executiva e o Conselho de Administração devem supervisionar a execução das ações e o cumprimento dos prazos fixados às áreas da cooperativa, avaliando eventuais descumprimentos e determinando as providências aplicáveis. 4. O resultado das atividades descritas no item 3 anterior deve estar registrado na ata da reunião em que o tema foi pautado. 5. Os gestores da cooperativa informarão ao ACIR, por meio de memorando, a regularização das deficiências detectadas, o qual irá comunicá-las à Diretoria Executiva e ao Conselho de Administração. 26/74

27 Título Subseção 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 3 Monitoramento, Controle e Mitigação 3 Testes de Avaliação dos Sistemas de Controle de Riscos Operacionais 1. Entende-se por testes de avaliação dos sistemas de controle de riscos operacionais a verificação da eficácia (se funciona de acordo com os objetivos propostos) dos controles implementados nos riscos identificados e avaliados. 2. Essa avaliação deve ser realizada pelo Agente de Controles Internos e Riscos, no mínimo, anualmente, pelo menos nos controles dos riscos classificados como de níveis médio e alto. 3. O resultado dos testes de avaliação deve estar expresso em relatório e ser apresentado à Diretoria Executiva da cooperativa. 4. A Auditoria Interna verificará e avaliará os procedimentos adotados pela entidade auditada para mensurar, monitorar e controlar a exposição ao risco operacional, bem como verificará se os testes de avaliação estão sendo realizados. 5. Os resultados dos testes de avaliação devem ser submetidos à Diretoria Executiva e ao Conselho de Administração. 27/74

28 Título 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 4 Comunicação 1. A etapa de comunicação deve ser ralizada de forma adequada para que possa atender à necessidade operacional da cooperativa e às normas internas e externas aplicáveis. 2. Essa etapa deve assegurar, por meio de relatórios estruturados de periodicidade bimestral, o conhecimento das deficiências de controle e do gerenciamento de risco operacional ao Conselho de Administração e à Diretoria Executiva, permitindo a correção tempestiva e conferindo transparência ao processo. 3. O Conselho de Administração e a Diretoria Executiva devem se manifestar expressamente acerca das ações a serem implementadas, para correção tempestiva das deficiências apresentadas. 4. O Agente de Controles Internos e Riscos (ACIR) encaminhará bimestralmente à Diretoria Executiva, devidamente assinada, a seguinte documentação: a) Matriz de Exposição ao Risco Operacional (Matriz de Impacto X Frequência); b) Relatório de Providências por Área/Responsável do aplicativo Ações de Regularização das Perdas, do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir), utilizado no monitoramento dos planos de ação registrados, referentes às perdas e riscos operacionais não controláveis ou controláveis sem eficácia pela Lista de Verificação de Conformidade (LVC); c) Relatório de Ações de Regularização de Perdas, do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir), o qual possui a função de informar por meio de relatórios (individual ou consolidado) a área/responsável pela regularização dos planos de ação cadastrados, bem como complementar o aplicativo Ações de Regularização, que disponibiliza relatórios de acompanhamento bimestrais, semestrais e anuais dos planos de ações e das perdas e riscos operacionais registrados; d) Relatório Consolidado de Riscos e Perdas Operacionais do aplicativo Relatório Consolidado de Perdas e Riscos Operacionais do Módulo IV do Scir; e) Relatório de Plano de Contingência, do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir), o qual será encaminhado apenas quando houver alteração no relatório emitido anteriormente; 28/74

29 Título 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 4 Comunicação f) Relatório de Fornecedores Críticos, do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir), o qual será encaminhado apenas quando houver alteração no relatório emitido no bimestre anterior, ou quando ocorrer novas inserções. 5. Após análise da documentação entregue pelo Agente de Controles Internos e Riscos (ACIR), a Diretoria Executiva analisará as proposições e os prazos para tratar o risco operacional apresentado no Relatório de Providências por Área/Responsável. 6. Caso a Diretoria Executiva considere as proposições apropriadas, encaminhará os relatórios aos gestores das áreas responsáveis para que os procedimentos constantes dos relatórios sejam tempestivamente implementados. 7. Caso a Diretoria Executiva considere as recomendações propostas pelos gestores inapropriadas, as adequações julgadas necessárias deverão ser solicitadas. 8. O posicionamento da Diretoria Executiva deve ser lavrado em ata e encaminhado para apreciação do Conselho de Administração. 9. Na reunião em que houver análises, bem como conclusões da Diretoria Executiva e do Conselho de Administração, o Agente de Controles Internos e Riscos (ACIR) apresentará as situações relatadas e o seu posicionamento sobre as ações encaminhadas. 10. Na necessidade de informações adicionais sobre a operacionalidade do processo em que o risco for identificado, a Diretoria Executiva e o Conselho de Administração podem convidar o gestor do processo e os empregados que realizam as atividades para participar da discussão. 11. O Agente de Controles Internos e Riscos (ACIR) é responsável por acompanhar a implementação das ações, assim como manter a Diretoria Executiva e o Conselho de Administração informados por meio de relatórios. 12. Na ausência de manifestação formal da Diretoria Executiva a respeito das ações adotadas para tratar o risco operacional, no prazo máximo de 10 (dez) dias contados da data de entrega dos relatórios de deficiências, o Agente de Controles Internos e Riscos (ACIR) encaminhará os relatórios ao Conselho de Administração, mediante informação prévia à Diretoria Executiva. 13. As orientações e recomendações apresentadas pelo Conselho de Administração deverão constar da ata da reunião em que o assunto foi pautado. 29/74

30 Título 2 Gerenciamento Do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 4 Comunicação 14. A identificação, pelo Monitor de Controles Internos e Riscos (MCIR), do descumprimento de lei e (ou) normas, internas e (ou) sistêmicas, aplicável ao gerenciamento de risco operacional, do não-cumprimento dos prazos de implementação das ações mitigadoras, bem como de questionamento quanto à qualidade do trabalho executado, será objeto de comunicação à Diretoria Executiva, para que determine as providências cabíveis. 15. Caso ocorram as situações mencionadas no item anterior e, ainda, manifestação do monitor a respeito da inadequação do trabalho executado, a Diretoria Executiva deve se posicionar e submeter as constatações à apreciação do Conselho de Administração. 30/74

31 Título 2 Gerenciamento do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 5 Documentação e Armazenamento de Informações 1. A documentação e os registros que dão suporte ao gerenciamento dos riscos operacionais evidenciando a efetividade, tempestividade e conformidade das ações, bem como das informações referentes às perdas associadas ao risco operacional, devem ser arquivados pelas cooperativas e estar à disposição para consultas e análise da estrutura de controle (agente, monitor, auditorias, Central, Sicoob Confederação e Banco Central). 2. As informações relativas à implementação dos planos de ação devem ser arquivadas pelas cooperativas, para comprovação das ações implementadas. 3. As perdas operacionais, mesmo aquelas que apresentarem dificuldade de mensuração, devem ser registradas no Sistema de Controles Internos e Riscos Operacionais (Scir). 4. Com a comunicação da perda de difícil mensuração é possível analisar as ocorrências para desenvolvimento de metodologia adequada. 5. O Sicoob Confederação manterá ferramenta que propicie o armazenamento das informações relativas ao risco operacional, possibilitando a formação de base histórica para adoção futura de metodologia probabilística de análise dos dados e geração de Valor em Risco (VaR). 31/74

32 Título 2 Gerenciamento do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 6 Registro das Perdas Operacionais 1. A regulamentação do Banco Central do Brasil em vigor estabelece a obrigatoriedade de documentar e armazenar as informações referentes às perdas associadas ao risco operacional. 2. Entende-se por perda operacional a despesa, a perda de oportunidade de negócio ou de baixa de ativo, motivada por um dos fatores listados a seguir: a) falha, deficiência ou inadequação de processos internos, de pessoas e (ou) de sistemas; b) eventos externos; c) deficiência ou inadequação em contratos firmados pelas cooperativas; d) sanções em razão de descumprimento de dispositivos legais e regulamentares; e) indenizações pagas a terceiros decorrentes de serviços oferecidos pelas cooperativas. 3. Devem ser registrados: a) desembolsos para a cooperativa decorrente de multa, indenização, sanção, ressarcimento a associados, etc; b) eventos que gere baixa total ou parcial de ativos da cooperativa (computadores, periféricos, móveis, automóveis etc.), exceto se por depreciação legal ou venda; c) perdas de oportunidade negocial, tal como deixar de realizar negócios por falhas ou interrupção de sistemas, ausência de pessoas, perda de prazos estipulados para registro de transações ( janelas ) ou de momentos de prática de melhores taxas, etc. 4. Com o registro das perdas operacionais é possível avaliar a qualidade do processo e, especialmente: a) verificar se o risco foi identificado e se foram aplicados os controles necessários. Caso não tenha sido identificado, avaliado e tratado, a cooperativa deve providenciar para que isso aconteça; b) identificar as causas da ocorrência da perda, o que possibilita direcionamento de ações específicas aos pontos certos; 32/74

33 Título 2 Gerenciamento do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 6 Registro das Perdas Operacionais c) estabelecer cronograma de plano de ação para implementação de ações mitigadoras (que minimizam novas ocorrências), observando sempre a relação benefício/custo (os recursos despendidos na ação mitigadora não devem ser superiores ao montante da perda potencial); d) monitorar a efetividade se os controles têm, ou seja, avaliar se funcionam adequadamente, mantendo as perdas nos patamares determinados pela Diretoria e pelo Conselho de Administração. 5. As causas das perdas operacionais são relacionadas a eventos de riscos, que são classificados em eventos e subeventos, conforme apresentado no título 4, deste manual. 6. Visando atender aos objetivos estratégicos e ao adequado gerenciamento de riscos, os gestores da cooperativa devem comunicar ao Agente de Controles Internos e Riscos (ACIR) toda perda e recuperação de perda operacional identificada nas áreas pelas quais sejam responsáveis. 7. O valor comunicado deve ser o total por perda original identificada, devendo as recuperações realizadas serem comunicadas também, não podendo ser deduzidas do valor da perda original. 8. Não podem ser informados valores resultantes da soma de mais de um evento de perda, mesmo que eles pertençam à mesma subcategoria e ocorram na mesma data. 9. A recuperação da perda ocorre quando a cooperativa consegue reaver parte ou a totalidade do valor identificado. 10. As perdas operacionais identificadas pelas cooperativas devem ser registradas no aplicativo Registro de Perdas e Riscos Operacionais, do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir). 11. As perdas mensuráveis devem ser contabilizadas e a conta de registro do lançamento deve ser informada no ato do registro da perda no Módulo IV do SCIR, possibilitando a conciliação por órgãos de controle (Banco Central do Brasil, Agente de Controles Internos e Riscos e Auditoria). 12. As perdas registradas poderão ser controláveis, não controláveis ou controláveis sem eficácia, conforme segue: 33/74

34 Título 2 Gerenciamento do Risco Operacional 2 Processos de Gerenciamento de Risco Operacional 6 Registro das Perdas Operacionais a) controláveis pela LVC: o cruzamento evento e fator de risco operacional registrado é controlado por uma ou mais questões da LVC. Nesse caso, a cooperativa não seguiu o controle proposto para o risco, acarretando a perda. O cruzamento buscará automaticamente todas as questões da LVC que possuem alguma relação com o evento e o fator selecionado; b) não controlável pela LVC: o cruzamento do evento e fator de risco operacional registrado não é controlado por nenhuma questão da LVC. Dessa forma, o cruzamento não buscará questões da LVC. Nesse caso, não existem pontos de controle na LVC para o risco operacional identificado e, consequentemente, para a perda ocorrida; c) controlável pela LVC sem eficácia: o cruzamento do evento e fator de risco operacional registrado apresenta controle em uma ou mais questões da LVC. Embora os pontos de controle sejam efetivos (todas as questões respondidas como sim ), a perda, ainda assim, ocorreu. 13. As perdas controláveis pela Lista de Verificação de Conformidade (LVC), ou seja, aquelas que são adequadamente controladas por meio dos controles implementados e por ações registradas no Módulo II do Sistema de Controles Internos e Riscos Operacionais (Scir), não necessitarão de outras ações. 14. As perdas registradas como não controláveis ou controláveis sem eficácia na Lista de Verificação de Conformidade (LVC) serão tratadas por meio de planos de ação a serem registrados pela cooperativa no aplicativo do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir). 15. Após o registro das perdas no aplicativo Registro de Perdas e Riscos Operacionais do Módulo IV do Sistema de Controles Internos e Riscos Operacionais (Scir), o Agente de Controles Internos e Riscos (ACIR) encaminhará os relatórios impressos das perdas à Diretoria Executiva, para que tome conhecimento das providências adotadas e das ações corretivas a serem implementadas. 16. A Diretoria Executiva deverá certificar de que foram adotados os procedimentos para contabilização das perdas. 17. A Diretoria Executiva, assessorada pelo Agente de Controles Internos e Riscos (ACIR), deve apresentar ao Conselho de Administração, no mínimo bimestralmente, informações sobre as perdas decorrentes do risco operacional e ações mitigadoras adotadas, registrando as discussões na ata da reunião em que o assunto foi pautado. 34/74