Governo da Gestão de Risco

Transcrição

1 Governo da Gestão de Risco A gestão de risco no Grupo é governada por um modelo de controlo transversal e multidoméstico, no qual cabe ao Conselho de Administração (CA) do Millennium bcp a responsabilidade última pela gestão de risco, sendo a mesma supervisionada pela Comissão de Auditoria (órgão que emana do CA). Graficamente, o modelo de governo da gestão de risco pode ser representado da seguinte forma: Modelo de gestão de riscos Gestão diária Política de gestão e controlo de riscos Medição, monitorização e controlo de riscos Conselho de Administração Responsabilidades pela supervisão ao nível do Grupo Comissão de Avaliação de Riscos Comissão de Auditoria Comissão Executiva Responsabilidades pela execução ao nível do Grupo Group CALCO Group Treasurer Comissão de Risco, SCARC e SCRFP Group Risk Officer Comissão Executiva Responsabilidades pela execução ao nível de cada Entidade CALCO Comissão de Controlo de Risco Risk Officer local Nos parágrafos seguintes apresentam-se sucintamente os órgãos de governo da gestão de risco. Comissão de Auditoria À Comissão de Auditoria (são cometidas, designadamente, as matérias de fiscalização da gestão, dos documentos de reporte financeiro e ainda das medidas qualitativas de aperfeiçoamento dos sistemas de controlo interno, da política de gestão de risco e da política de compliance, competindo-lhe ainda supervisionar a atividade de auditoria interna, bem como zelar pela independência do Revisor Oficial de Contas e emitir recomendação sobre a contratação de Auditores Externos, formulação da respetiva proposta de eleição e condições contratuais de prestação de serviços por parte destes e receber as comunicações de irregularidades apresentadas por Acionistas, Colaboradores ou outros, assegurando o seu acompanhamento pela Direção de Auditoria Interna ou pela Provedoria do Cliente. Compete ainda à Comissão de Auditoria emitir parecer sobre os créditos concedidos sob qualquer forma ou modalidade, incluindo prestação de garantias, bem como qualquer outro contracto que o Banco ou qualquer sociedade do Grupo celebre com membros dos seus corpos sociais, detentores de participações superiores a 2% no capital social do Banco, bem como com entidades que, nos termos do Regime Geral das Instituições de Crédito e Sociedades Financeiras, estejam com qualquer um destes relacionados. A Comissão de Auditoria é a primeira destinatária dos Relatórios da Direção de Auditoria Interna e do Revisor Oficial de Contas e Auditores Externos, reunindo regularmente com o Administrador 1

2 executivo responsável pela área financeira, o Group Risk Officer, o Compliance Officer e o Responsável pela Auditoria Interna. Comissão de Avaliação de Riscos A Comissão de Avaliação de Riscos, composta por uma maioria de membros não executivos do Conselho de Administração, tem as seguintes competências: Acompanhar os níveis globais de risco de crédito, de mercado, de liquidez e operacional, assegurando que os mesmos são compatíveis com os objetivos, recursos financeiros disponíveis e estratégias aprovados para o desenvolvimento da atividade do grupo. Aconselhar o Conselho de Administração em matérias relacionadas com a definição da estratégia do risco, da gestão de capital e liquidez e da gestão dos riscos de mercado. Comissão de Risco É responsável por acompanhar os níveis globais de risco (riscos de crédito, de mercado, de liquidez e operacional), assegurando que os mesmos são compatíveis com os objetivos, os recursos financeiros disponíveis e as estratégias aprovadas para o desenvolvimento da atividade do Grupo. Integram esta Comissão todos os membros da Comissão Executiva, o Group Risk Officer, o Compliance Officer e os primeiros responsáveis das direções de Auditoria, Tesouraria e Mercados, Planeamento e Controlo Orçamental, Participações Financeiras, Crédito, Rating, Gabinete de Estudos e Assets and Liabilities Management. Subcomissão de Acompanhamento do Risco de Crédito Tem as seguintes funções e responsabilidades: Acompanhar a evolução da exposição de crédito e do processo de contratação; Acompanhar a evolução da qualidade da carteira e dos principais indicadores de performance e risco; Acompanhar o risco de contraparte e o risco de concentração das maiores exposições; Acompanhar a evolução da imparidade e dos principais casos de análise individual de imparidade; Análise da performance dos processos de recuperação de crédito; Acompanhamento do desinvestimento da carteira de imóveis; Propostas para definição das políticas e normativos de concessão de crédito; Acompanhamento dos modelos de PD (Probability of Default) e LGD (Loss Given Default); Acompanhamento dos modelos subjacentes ao cálculo da imparidade; Acompanhamento dos processos automáticos de decisão e de recuperação de crédito. Subcomissão de Risco dos Fundos de Pensões Esta Subcomissão especializada tem por missões a monitorização da performance e do risco dos Fundos de Pensões do BCP (o Fundo de Benefício Definido e o Fundo Complementar) e o estabelecimento de políticas de investimento adequadas e das respetivas estratégias de cobertura. Group CALCO É responsável pela gestão do capital global do Grupo, gestão de ativos e passivos e definição de estratégias de gestão da liquidez ao nível consolidado. Em concreto, o Group CALCO (igualmente designado por Comissão de Planeamento e Alocação de Capital e Gestão de Ativos e Passivos) é responsável pela gestão estrutural dos riscos de mercado e liquidez, incluindo, entre outros, os seguintes aspetos: Monitorização e gestão dos riscos de mercado associados à estrutura de ativos e 2

3 passivos; Planeamento e propostas de alocação de capital; Elaboração de propostas para definição das políticas adequadas à gestão dos riscos de liquidez e de mercado, no balanço consolidado do Grupo. O Group CALCO é presidido pelo membro da Comissão Executiva responsável pela área financeira, sendo também membros mais quatro elementos dessa Comissão. Os restantes membros do Group CALCO são nomeados pela Comissão Executiva. Group Risk Officer É responsável pela função de controlo de risco para todas as entidades do Grupo. Assim, por forma a assegurar a monitorização e alinhamento de conceitos, práticas e objectivos transversalmente, compete ao Group Risk Officer informar a Comissão de Risco do nível geral de risco e propor medidas para melhorar o ambiente de controlo e implementar os limites aprovados. O Group Risk Officer tem poder de veto em qualquer decisão que não esteja sujeita a aprovação pelo CA ou pela Comissão Executiva e que possa ter impacto nos níveis de risco do Grupo (exemplo: lançamento de novos produtos ou alterações de processos). De forma a cumprir a sua missão, as funções do Group Risk Officer incluem: Suportar o estabelecimento de políticas e metodologias de gestão de risco para a identificação, medição, limitação, monitorização, mitigação e reporte dos diversos tipos de risco; Propor e implementar um conjunto de métricas aplicável aos vários tipos de risco; Assegurar a existência de um corpo de regras e procedimentos para suportar a gestão de risco; Controlar, numa base permanente, a evolução de diferentes riscos e a conformidade com as políticas, regulações e limites aplicáveis; Assegurar a existência de uma plataforma de IT efectiva e uma base de dados de informação para a gestão de risco robusta e completa; Participar em todas as decisões com relevância no risco e com impacto no sistema de controlo interno, tendo autoridade para assegurar a conformidade com os regulamentos e objectivos de risco do Grupo; Preparar informação relativamente à gestão de risco para ser divulgada, internamente e ao mercado. O Group Risk Officer é nomeado pelo CA e apoia os trabalhos da Comissão de Risco. 3

4 Função de gestão de riscos, tipologias de risco e respectivo controlo/gestão O Aviso n.º 5/2008 do Banco de Portugal define o sistema (ou função) de gestão de riscos enquanto parte integrante do sistema de controlo interno das instituições financeiras, destinando-se a identificar, avaliar, acompanhar e controlar todos os riscos que possam influenciar a estratégia e os objectivos definidos pela instituição, assegurando o seu cumprimento bem como as acções necessárias para responder adequadamente a desvios não desejados. O Grupo encontra-se dotado de um sistema de gestão de riscos que cumpre estas disposições e gere o conjunto das tipologias de risco definidas igualmente no Aviso n.º 5/2008, agrupadas da seguinte forma: Risco de crédito; Riscos de mercado (nos quais se inclui a gestão e controlo do risco de mercado, do risco de taxa de juro e do risco de taxa de câmbio); Risco de liquidez; Risco operacional (no qual se inclui a gestão e controlo do risco de sistemas de informação e o risco de compliance); Outros riscos (risco de estratégia, risco de reputação e risco do Fundo de Pensões). Por outro lado, é importante referir que o Grupo gere também o tema da continuidade de negócio, em duas vertentes do planeamento de contingência face a eventos de extrema gravidade que possam afectar de forma muito significativa ou mesmo pôr em causa a própria sobrevivência da instituição: o DRP (Disaster Recovery Plan) e o PCN (Plano de Continuidade de Negócios). Em seguida, descrevem-se sucintamente as principais características e abordagens relativas ao controlo e gestão destas vertentes de risco. Risco de crédito O Banco está dotado de uma adequada estrutura de gestão do risco de crédito, que abarca a análise de risco, a decisão da concessão de crédito, o acompanhamento das operações de crédito e a recuperação de crédito (em incumprimento ou vencido). A avaliação do risco de crédito é feita através de um conjunto de sistemas e modelos de rating, adequados aos diversos segmentos de negócio, que atribuem uma notação interna aos clientes, representativa da respectiva capacidade creditícia, sendo que é utilizada uma única escala de graus de risco (Rating Masterscale), comum a todos os segmentos. Compete à Unidade de Controlo de Modelos (integrada no Risk Office do Grupo) o acompanhamento e validação independente dos modelos de risco de crédito, sendo no primeiro caso igualmente acompanhados e validados os próprios sistemas de rating em que os modelos em causa se integram. A estrutura de acompanhamento e validação implementada envolve ainda os responsáveis pelo modelos (Model Owners), os responsáveis pelos sistemas de rating (Rating System Owners), o Comité de Validação, a Comissão de Risco e a Direcção de Auditoria. Por outro lado, a cada operação de crédito é atribuída uma notação o Nível de Protecção que entra em linha de conta com as características da operação, nomeadamente, com o valor dos colaterais afectos à operação e a relação entre esse valor e o valor do crédito. Neste sentido, o Banco cumpre plenamente os princípios de Basileia II, avaliando o risco de crédito relativamente aos clientes e a cada operação em concreto. Para apuramento dos requisitos de capital regulamentar relativo às suas actividades em Portugal, o Banco utiliza, mediante autorização do Banco de Portugal, metodologias baseadas nas notações internas acima referidas (IRB Internal Ratings Based). A concessão desta autorização pelo 4

5 Supervisor resulta da adequação dos processos e sistemas do Banco dedicados à identificação, avaliação, acompanhamento e controlo do risco de crédito. O acompanhamento do risco de crédito do Grupo é feito mensalmente, através de diversos indicadores da qualidade da carteira de crédito, sendo o Risk Office (a estrutura encabeçada pelo Group Risk Officer) responsável pelo reporte regular desses dados, nos quais se incluem, por exemplo, os valores relativos à imparidade e sinistralidade presentes na carteira. O reporte é feito internamente aos órgãos de administração e supervisão e também externamente, cumprindo a regulamentação em vigor sobre estas matérias. Existem, também, estruturas independentes entre si, dedicadas à análise de crédito (5 unidades de análise, integradas na Direcção de Crédito) e à recuperação de crédito (2 Direcções de Recuperação e a Direcção de Contencioso), as quais estão definidas, em termos organizacionais, de acordo com os diferentes segmentos de clientes ou de negócio. Quanto à notação interna dos clientes, a mesma é da exclusiva responsabilidade de uma unidade de estrutura específica e independente das demais (a Direcção de Rating) embora, para os clientes de retalho, essa avaliação seja feita por modelos automáticos. Finalmente, no que se refere à decisão de concessão crédito, esta função é assegurada por diferentes níveis de decisão, claramente definidos e hierarquizados por regulamentação interna, em função dos montantes e tipos de operações de crédito em causa. Riscos de mercado Para os riscos de mercado da carteira de negociação (Trading Book), o Banco utiliza uma medida integrada de riscos de mercado que permite uma monitorização de todas as sub-tipologias de risco consideradas relevantes. Esta medida integra a avaliação dos seguintes tipos de risco: risco genérico, risco específico, risco não linear e risco de mercadorias. Para a medição diária do risco genérico de mercado relativo a risco de taxa de juro, risco cambial, risco de acções e risco de preço dos Credit Default Swaps (CDS) - é utilizado um modelo de VaR (Value-at-risk). Em complemento ao apuramento do VaR, visando a identificação de concentrações de risco não capturadas por essa métrica e, também, por forma a testar outras possíveis dimensões de perda, o Grupo testa de forma contínua um conjunto alargado de cenários de esforço (stress scenarios) sobre a carteira de negociação, analisando os resultados desses testes de esforço. Para além disso, De modo a assegurar que o modelo interno de VaR é adequado para avaliar os riscos envolvidos nas posições assumidas, são efectuadas diversas validações ao longo do tempo, com diferentes âmbitos e frequências, nos quais se incluem o backtesting, a estimação dos efeitos de diversificação e a análise da abrangência dos factores de risco. Note-se que utilização do modelo interno de VaR para o apuramento dos requisitos de capital para o risco genérico de mercado do Grupo (relativamente à sua actividade em Portugal) foi aprovada pelo Banco de Portugal. No que se refere ao risco específico e ao risco de mercadorias, estes são medidos através das metodologias standard definidas na regulamentação aplicável (decorrente do Acordo de Basileia II), com a correspondente alteração do horizonte temporal considerado. As posições de tesouraria são medidas diariamente e intra-diariamente com base nas métricas definidas para as diversas tipologias de risco de mercado, monitorizando-se, assim, os níveis de risco incorridos. Estes níveis são controlados a partir de um conjunto de limites prudenciais definidos internamente que reflectem a apetite ao risco do Grupo. Qualquer ultrapassagem desses limites obriga à respectiva ratificação superior. Existem igualmente limites de stop-loss para estas posições, definidas com base no referido conjunto de limites, que visam limitar, numa base trimestral e anual, as perdas máximas acumuladas nestas carteiras. A avaliação do risco de taxa de juro originado por operações da carteira bancária (Banking Book) é efectuada através de um processo de análise de sensibilidade ao risco, realizado todos os meses, para o universo de operações que integram o Balanço consolidado do Grupo. 5

6 As variações das taxas de juro de mercado têm efeito ao nível da margem financeira do Grupo, tanto numa óptica de curto como de médio/longo prazo, afectando o valor económico da mesma numa perspectiva de longo prazo. Os principais factores de risco advêm do mismatch de repricing das posições da carteira (risco de repricing) e do risco de variação do nível das taxas de juro de mercado (yield curve risk). Para além disso embora com menor impacto - existe o risco de variações desiguais em diferentes indexantes com o mesmo prazo de repricing (basis risk). Por forma a identificar a exposição da carteira bancária do Grupo a estes riscos, a monitorização do risco de taxa de juro entra em consideração com as características financeiras das posições registadas nos sistemas de informação, sendo efectuada uma projecção dos respectivos cash-flows esperados de acordo com as datas de repricing, calculando-se assim o impacto no valor económico resultante de cenários alternativos de alteração nas curvas de taxas de juro de mercado. Risco de liquidez O controlo do risco de liquidez do Grupo, para horizontes temporais de curto prazo (até 3 meses), é efectuado diariamente com base em métricas internamente definidas o indicador de liquidez imediata e o indicador de liquidez trimestral - as quais medem as necessidades máximas de tomada de fundos que podem ocorrer cumulativamente nos respectivos horizontes temporais, considerandose as projecções de cashflows para períodos de, respectivamente. No que se refere à liquidez estrutural, o Grupo efectua o controlo do respectivo perfil através de um acompanhamento regular, por parte das suas estruturas e órgãos de gestão, de um conjunto de indicadores definidos tanto internamente como pela regulamentação, que visam caracterizar o risco de liquidez, como sejam o rácio de transformação de depósitos em crédito, os gaps de liquidez a médio prazo e os rácios de cobertura de financiamentos em mercados de wholesale funding por Activos Altamente Líquidos (HLA - Highly Liquid Assets). Ainda no âmbito da gestão e controlo do risco de liquidez, o Grupo estabeleceu um Plano de Contingência de Capital e Liquidez (PCCL), no qual se definem as prioridades, responsabilidades e medidas específicas a tomar na ocorrência de uma situação de contingência de liquidez. O PCCL define, enquanto objectivo, a manutenção de uma estrutura de liquidez e capital equilibrada, estabelecendo também a necessidade de uma contínua monitorização das condições de mercado, bem como linhas de acção e triggers que visam a tomada de decisões atempada perante cenários de adversidade antecipados ou verificados. Risco operacional Para a gestão e controlo deste tipo de risco, o Grupo tem vindo a adoptar, de forma crescente e muito relevante, um conjunto de princípios, práticas e mecanismos de controlo claramente definidos, documentados e implementados, de que são exemplos a segregação de funções, a definição de linhas de responsabilidade e respectivos níveis de autorização, a definição de limites de tolerância e de exposição aos riscos, os códigos deontológicos e de conduta, os indicadores-chave de risco (KRI key risk indicators), os controlos de acessos (físicos e lógicos), as actividades de reconciliação, os relatórios de excepção, os planos de contingência, a contratação de seguros e a formação interna sobre processos, produtos e sistemas. Assim, visando-se uma cada vez maior eficiência na identificação, avaliação, controlo e mitigação das exposições ao risco operacional, o Grupo tem vindo a reforçar o seu sistema de gestão de risco operacional e a alargar a sua abrangência às principais operações no exterior. A gestão do risco operacional assenta numa estrutura de processos end-to-end, definida para todas as subsidiárias do Grupo, beneficiando-se, dessa forma, de uma percepção mais abrangente dos riscos, decorrente de uma visão integrada das actividades desenvolvidas ao longo da cadeia de actividades de cada processo. O conjunto dos processos definidos para cada entidade é dinâmico, sendo ajustado e diferenciado em função das práticas operacionais e de negócio de cada uma, por forma a cobrir todas as actividades relevantes desenvolvidas. Em Portugal, por exemplo, estão definidos cerca de 100 processos de negócio e de suporte ao negócio, sobre os quais é feita a gestão do risco operacional. 6

7 A responsabilidade pela gestão dos processos foi atribuída a process owners que têm por missão: caracterizar as perdas operacionais capturadas no contexto dos seus processos; realizar a auto-avaliação dos riscos (RSA risks self-assessment), no âmbito de 20 subtipologias definidas para o risco operacional; identificar e implementar as acções adequadas para mitigar exposições ao risco, contribuindo para o reforço do ambiente de controlo interno; monitorizar os indicadores de risco (KRI). O objectivo da auto-avaliação dos riscos é o de promover a identificação e a mitigação (ou mesmo eliminação) de riscos, actuais ou potenciais, no âmbito de cada processo. A classificação de cada risco é obtida através do seu posicionamento numa matriz de tolerância, para três cenários diferentes, o que permite: determinar o risco operacional sem considerar a influência dos controlos existentes (Risco Inerente); avaliar a influência do ambiente de controlo existente na redução do nível das exposições (Risco Residual); identificar o impacto das oportunidades de melhoria na redução das exposições mais significativas (Risco Objectivo). O reconhecimento da política de gestão e controlo de risco operacional delineada resultou na aprovação do Banco de Portugal relativa à utilização do Método Standard (TSA) para o cálculo dos requisitos de fundos próprios para a cobertura do risco operacional. Continuidade de negócio O Grupo tem vindo a reforçar e aperfeiçoar a sua gestão da continuidade de negócio, destinada a assegurar a continuidade da execução das principais actividades - de negócio ou suporte ao negócio - em caso de catástrofe ou de contingência importante. No Grupo, esta temática é abordada por via de duas vertentes distintas mas complementares: o Disaster Recovery Plan (DRP), para os sistemas e as infra-estruturas de comunicações e o Plano de Continuidade de Negócio (PCN), para as pessoas, instalações e equipamentos requeridos para o suporte mínimo dos processos seleccionados, considerados como críticos. A título de exemplo, refira-se que em Portugal há 36 processos críticos abrangidos pelo PCN, nos quais estão envolvidas 62 unidades de estrutura. O desenho destes planos e a gestão desta área específica, muito ligada ao risco operacional, é efectivada, promovida e coordenada por uma unidade de estrutura específica, transversal ao Grupo: a Unidade de Continuidade de Negócio. Em Portugal, na Polónia, na Grécia e na Roménia estão definidos e implementados os respectivos PCN, estando já definidos e aprovados, em Portugal, a estratégia e o programa regular de exercícios, que abrange todas as equipas operacionais que intervêm nos processos críticos. O programa estabelece o treino de todas as unidades referidas até ao final de 2011, em exercícios e simulações com complexidade e realismo crescentes. O tema da continuidade de negócio encontra-se divulgado em termos de comunicação interna, sendo disso exemplo a criação de sites na intranet do Millennium bcp dedicados à continuidade de negócio enquanto uma das vertentes da prevenção e segurança - e ao DRP. Outros riscos O risco de estratégia é gerido ao mais alto nível, pelo Conselho de Administração Executivo do Millennium bcp, sendo que os órgãos homólogos em cada subsidiária actuam em consonância com as políticas e estratégias definidas pela casa-mãe. 7

8 Relativamente ao risco de reputação, a respectiva gestão é feita, sobretudo, pela Direcção de Comunicação do Banco embora, no âmbito da auto-avaliação de riscos operacionais (RSA) atrás referida, esse exercícios sejam igualmente utilizados para capturar informação sobre o impacto na reputação que advém da ocorrência dos riscos operacionais avaliados. Resta referir que o Banco também enquadra, na sua gestão de riscos, o referente ao Fundo de Pensões de Benefício Definido do BCP, o qual decorre da desvalorização potencial dos respectivos activos ou da diminuição dos retornos esperados do Fundo que impliquem a efectivação de contribuições não previstas. A regular monitorização deste risco e o acompanhamento da respectiva gestão cabe à Sub-Comissão de Acompanhamento do Risco do Fundo de Pensões. 8