POLÍTICA DE RISCO OPERACIONAL

Transcrição

1 Informação Pública 13/5/2016

2 ÍNDICE 1 OBJETIVO ABRANGÊNCIA REFERÊNCIA CONCEITOS DIRETRIZES RESPONSABILIDADES INFORMAÇÕES DE CONTROLE /5/2016 Informação Pública 2

3 1 OBJETIVO Esta política tem por objetivo estabelecer princípios, diretrizes e responsabilidades a serem observados no processo de gestão de riscos operacionais, de forma a possibilitar a identificação, avaliação, tratamento, monitoramento e comunicação dos riscos inerentes às atividades de negócio e de tecnologia da informação que suportam a operação dos ambientes e sistemas de negociação, de registro, da central depositária, das câmaras de compensação e liquidação e dos processos corporativos. 2 ABRANGÊNCIA Aplica-se à BM&FBOVESPA S.A. Bolsa de Valores, Mercadorias e Futuros e às suas controladas e coligadas, no Brasil e no exterior (Companhia), com exceção do Banco BM&FBOVESPA, regido por política própria. 3 REFERÊNCIA COSO ERM: Committee of Sponsoring Organizations of the Treadway Commission Enterprise Risk Management Framework. Norma ABNT Standard NBR ISO 31000:2009 Gestão de Riscos: Princípios e Diretrizes. 4 CONCEITOS Risco: possibilidade de evento que afeta negativamente a realização dos objetivos da Companhia ou de seus processos. Risco operacional: possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e ambiente tecnológico, ou de eventos externos. Inclui o risco legal, associado à inadequação ou deficiência em contratos firmados pela Companhia, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das 13/5/2016 Informação Pública 3

4 atividades desenvolvidas pela Companhia. Entre os eventos de risco operacional, incluem-se fraudes internas e externas; demandas trabalhistas e segurança deficiente do local de trabalho; práticas inadequadas relativas a clientes, produtos e serviços; danos a ativos físicos; aqueles que acarretem a interrupção das atividades da Companhia; e falhas em sistemas e infraestruturas de tecnologia da informação. Risco inerente: risco associado ao negócio e que existe independentemente de qualquer ação tomada para sua redução. Dono do processo: gestor responsável por assegurar que os objetivos e controles dos processos operem satisfatoriamente. Risco residual: risco remanescente após a implementação de atividades de controle que visam a reduzir sua probabilidade e/ou impacto. Dono do risco: gestor responsável por monitorar o risco e assegurar que o plano de ação para tratamento do risco seja implantado ou o controle opere satisfatoriamente. Apetite ao risco: está associado ao nível de Risco que a Companhia estaria disposta a aceitar na definição e na execução de sua estratégia. 5 DIRETRIZES As diretrizes apresentadas nesta política definem as macroetapas do processo de gestão de riscos operacionais. 5.1 Seção A Comunicação e Consulta A comunicação durante todas as estapas do processo de gestão de riscos operacionais atinge todas as partes interessadas, sendo realizada de maneira clara e objetiva. 13/5/2016 Informação Pública 4

5 5.2 Seção B Definição de Contexto Esta etapa consiste no entendimento dos processos e subprocessos alinhado à arquitetura de processos da Companhia, bem como na identificação dos riscos e controles da área, por meio de entrevistas com os donos dos processos e com os funcionários indicados por eles. 5.3 Seção C Avaliação de Riscos Seção C.1 Identificação de Riscos A identificação de riscos objetiva reconhecer e descrever os riscos aos quais a Companhia está exposta. Nesta etapa são definidos fatores e consequências de cada risco. A identificação dos riscos é realizada com a participação de todos os envolvidos nos negócios da Companhia nos diferentes níveis Seção C.2 Análise de Riscos Após a identificação dos riscos, são realizadas análises qualitativas e quantitativas, visando à definição dos atributos de impacto e probabilidade, utilizados na priorização dos riscos a serem tratados. Esta etapa conclui o levantamento e a análise dos controles já existentes, apurando-se, assim, os riscos residuais classificados entre: Extremo, Alto, Moderado, Baixo e Irrelevante Seção C.3 Apreciação de Riscos Considerando a classificação do risco, o apetite ao risco e os controles existentes no processo, a exposição final ao risco (risco residual) é avaliada e classificada entre: Monitorar, Atenção e Desconfortável, pela Diretoria de Controles Internos, Compliance e Risco Corporativo. 5.4 Seção D Tratamento de Riscos Posteriormente à avaliação de riscos, é definido o tratamento que será dado aos riscos e como estes devem ser monitorados e comunicados às diversas 13/5/2016 Informação Pública 5

6 partes envolvidas. Tratar os riscos consiste em decidir entre aceitá-lo, eliminálo ou transferi-lo. A decisão depende principalmente do grau de apetite ao risco da Companhia Seção D Aceitação de Riscos No processo de aceitação de riscos considera-se que o nível atual do risco está abaixo do apetite ao risco estabelecido e é assumido pela Companhia, não existindo ações definidas para seu tratamento. Nesse caso, a decisão deve ser submetida à aprovação de acordo com a alçada descrita a seguir: Tabela de alçadas para aceitação de riscos pela Administração Risco Residual Proposta de aceitação Alçada de aceitação 5. Extremo 4. Alto Diretoria Executiva Conselho de Administração 3. Moderado Diretor Diretoria Executiva 2. Baixo 1. Irrelevante Superintendente Diretor A aceitação de riscos residuais classificados como alto e extremo deverá ser avaliada pelo Conselho de Administração, em linha com o nível de apetite ao risco da Companhia. 5.5 Seção E Monitoramento e Revisão O processo de monitoramento consiste em acompanhar o desempenho dos indicadores de riscos, supervisionar a implantação e manutenção dos planos de ação e o alcance das metas estabelecidas, por meio de atividades gerenciais contínuas/e ou avaliações independentes. 13/5/2016 Informação Pública 6

7 6 RESPONSABILIDADES Conselho de Administração Deliberar sobre questões estratégicas do processo de gestão de riscos operacionais, tais como o grau de apetite ao risco da Companhia. Aprovar a Política de Risco Operacional e suas revisões. Aprovar a aceitação dos riscos classificados como Alto e Extremo. Comitê de Riscos e Financeiro do CA Analisar a Política de Risco Operacional da Companhia, assim como quaisquer revisões. Comitê de Auditoria Analisar a Política de Risco Operacional da Companhia, assim como quaisquer revisões, submetendo-a à aprovação do Conselho de Administração. Acompanhar de forma sistemática a gestão de riscos operacionais com o objetivo de garantir sua eficácia e o cumprimento de seus objetivos. Supervisionar as atividades da área de controles internos da Companhia e de suas controladas. Avaliar a efetividade e a suficiência dos sistemas de controles e de gerenciamento de riscos operacionais. Diretoria Executiva Patrocinar a implantação da gestão de riscos operacionais na Companhia. Para tanto, devem alocar recursos necessários ao processo 13/5/2016 Informação Pública 7

8 e definir a infraestrutura apropriada às atividades de gerenciamento de riscos. Validar os planos de ação para tratamento dos riscos. Propor a aceitação dos riscos classificados como Alto e Extremo ao Conselho de Administração. Aprovar a aceitação dos riscos classificados como Moderado. Diretoria Validar os riscos inerentes à operação da Companhia levando em consideração sua relevância e probabilidade de ocorrência. Validar os planos de ação para tratamento dos riscos. Propor a aceitação dos riscos classificados como Moderado à Diretoria Executiva. Aprovar a aceitação dos riscos classificados como Baixo e Irrelevante. Diretoria de Controles Internos, Compliance e Risco Corporativo Definir a metodologia a ser utilizada para condução do processo de gestão de riscos operacionais. Coordenar e definir os padrões a serem seguidos no que tange aos processos de gestão de riscos operacionais, aos sistemas de suporte e às formas e à periodicidade dos seus reportes. Consolidar a avaliação de riscos operacionais, por meio da elaboração de relatórios periódicos, e reportá-los à Diretoria Executiva, Comitê de Auditoria e Comitê de Riscos e Financeiro do CA. 13/5/2016 Informação Pública 8

9 Acompanhar a execução dos planos de ação. Contribuir para a definição do escopo e da abrangência da auditoria interna nos trabalhos relacionados a riscos. Superintendente Contribuir para as atividades de identificação e de avaliação dos riscos inerentes aos processos de negócios sob sua responsabilidade. Gerenciar os riscos inerentes aos processos de negócios sob sua responsabilidade, de forma a mantê-los em um nível de exposição aceitável. Avaliar os riscos inerentes à operação da Companhia levando em consideração sua relevância e probabilidade de ocorrência. Propor a aceitação dos riscos classificados como Baixo e Irrelevante à diretoria. Dono do Risco Comunicar tempestivamente riscos não mapeados, sejam eles novos ou não, identificados anteriormente. Monitorar os riscos sob ua responsabilidade. Apoiar os donos dos processos na definição dos planos de ação necessários para tratamento dos riscos. Assegurar a implementação dos planos de ação definidos para tratamento dos riscos sob sua responsabilidade. 7 INFORMAÇÕES DE CONTROLE Vigência: a partir de maio de /5/2016 Informação Pública 9

10 1ª Versão: 04/2013 Responsáveis pelo documento: Responsável Elaboração Revisão Area Superintendência de Processos e Riscos Corporativos Diretoria de Controles Internos, Compliance e Risco Corporativo Diretoria Jurídica Aprovação Conselho de Administração Registro de alterações: Versão Item modificado Modificação Motivo Mês de Referência Abril/ RESPONSABILIDADES Exclusão da seguinte responsabilidade: Aprovar a metodologia a ser utilizada para condução do processo de gestão de riscos operacionais do Comitê de Auditoria Revisão de responsabilidades Maio/ CONCEITOS Substituição de guidance de apetite de riscos de missão e visão para estratégia Evolução dos Riscos Corporativos Abril/ DIRETRIZES Seção C3 Alteração do tipo de apreciação de risco de Confortável para Monitorar Sugestão do Comitê de Auditoria Abril/ RESPONSABILIDADES Substituição do nome do cargo de Gerente para Superintendente Adequação a nova estrutura organizacional Abril/ CONCEITOS Seção D Aceitação de Riscos 6. RESPONSABILIDADES Inclusão de conceito de dono do processo ; Ajuste no conceito de risco operacional para contemplar ambientes tecnológicos e infraestruturas de tecnologia da informação; e Adequação do processo de aceitação ao risco de acordo com o nível de apetite ao risco da Companhia em consonância à Política de Gestão de Riscos Corporativos; e Maio/ /5/2016 Informação Pública 10

11 Alteração da seção relacionada à aceitação de riscos pela Companhia; e Adequação da nomenclatura do Comitê de Riscos e Financeiro do Conselho de Administração. Adequação de nomenclatura de acordo com o disposto no Estatuto Social e no Regimento Interno do Comitê de Riscos e Financeiro do Conselho de Administração. 13/5/2016 Informação Pública 11

12 13/5/2016 Informação Pública 12