1 POLÍTICA DE GERENCIAMENTO DO RISCO OPERACIONAL 1.1 Introdução O Banco Central do Brasil em 29/06/2006 editou a Resolução 3380, com vista a implementação da Estrutura de Gerenciamento do Risco Operacional. Para adequação a norma, a Diretoria Executiva da Grazziotin Financeira divulga sua estratégia de Gestão de Riscos Operacionais para orientar as ações de todas as unidades em suas atividades diárias, no que diz respeito aos processos de identificação, avaliação e mitigação do risco operacional, definindo responsabilidades e ações. 1.1. Objetivo Geral O objetivo fundamental do estabelecimento da Estrutura de Gerenciamento de Risco pelo Comitê Executivo é o de tornar a Grazziotin mais segura e rentável, através de ações preventivas e de monitoramento das possíveis perdas e falhas nos processos organizacionais, decorrentes de fatores internos ou externos, os quais poderão impactar negativamente o cumprimento da Missão e das Metas estabelecidas para a organização, possibilitando a adoção das medidas mitigadoras em tempo hábil. 1.2 Objetivos Específicos Complementam os objetivos da Estrutura de Gerenciamento de Risco Operacional os seguintes: Promover o entendimento dos processos envolvidos Reconhecer, identificar e avaliar os possíveis riscos; Definir políticas e diretrizes claras e objetivas Definir a unidade responsável pela gestão de riscos na instituição Promover a conscientização da práticas de atividades de controle; Assegurar a revisão periódica das políticas de acordo com os normativos legais; Utilizar metodologias e técnicas de monitoramento compatíveis com o porte e complexidade das operações da instituição 1.3 Conceitos e definições 1.3.1 Riscos Operacionais Para os fins desta política,de acordo com a Resolução CMN n.o 3380 de 29/06/2006 define-se como risco operacional a possibilidade de ocorrência de perdas resultantes
de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos,.tais como: Fraudes Internas Segurança deficiente no local de trabalho Práticas inadequadas relativas a clientes, produtos e serviços; Danos a ativos físicos, própios, ou em uso pela instituição; Falhas em sistemas de tecnologia da informação Falhas na execução, cumprimento de prazos e gerenciamento das atividades da instituição Riscos legais decorrentes de falhas, Indenizações por danos a terceiras decorrentes das atividades desenvolvidas pela instituição etc. Para a Diretoria Executiva da Grazziotin Financeira o risco operacional, é um risco inerente a todas unidades da instituição, tanto operacionais e administrativas e está inserida dentro das Políticas de Controles Internos da Grazziotin Financeira. 1.4 Papéis e responsabilidades Para fins desta política, ficam definidas a seguir as atribuições das unidades, comitês e colaboradores, sem prejuízo das demais, constantes nas respectivas descrições de cargos funcionais. 1.4.1 De todos colaboradores: _ conhecer, manter-se atualizado e estar em conformidade com as normas, procedimentos e demais regulamentos internos e externos inerentes às atividades desenvolvidas; _ executar corretamente os controles inerentes às suas atividades; _ comunicar prontamente ao gestor de sua unidade, as eventuais deficiências dos controles executados; _ gerar e transmitir prontamente ao gestor de sua unidade, informações que explicitem situações de exposição aos riscos operacionais, bem como as perdas decorrentes destes riscos; 1.4.2 Da Gerência de riscos:
_ apoiar as unidades organizacionais no que diz respeito à identificação, avaliação, monitoramento, controle e mitigação dos riscos operacionais, orientando-as quanto à adoção das boas práticas de gestão de riscos e controles internos; _ avaliar e atuar proativamente nas situações que exponham a Grazziotin Financeira a riscos; coordenar o processo de auto-avaliação dos riscos e controles internos; _ realizar o acompanhamento dos planos de ação para saneamento das deficiências de controles identificadas; _ manter arquivadas as informações sobre os riscos identificados e as medidas adotadas, disponibilizando-as às partes interessadas sempre que necessário; _ avaliar e propor à Diretoria Executiva, com periodicidade mínima anual, a revisão da política e estrutura de risco operacional; _ reportar ao Comitê de Gestão de Riscos, os riscos identificados e as propostas de planos de ação para mitigação dos mesmos, elaborados junto às áreas responsáveis; _ efetuar a análise dos registros de perda decorrentes de risco operacional; _ elaborar e disponibilizar na intranet o dicionário de riscos operacionais da Grazziotin Financeira; 1.4.3 Da Auditoria Interna _ proceder a verificação da aderência dos processos executados pelas áreas aos normativos internos e externos; _ recomendar a adoção de medidas preventivas ou de saneamento das deficiências identificadas nos trabalhos de auditoria; _ proceder periodicamente a certificação da implementação das medidas saneadoras das deficiências de controle, conforme planos de ação elaborados pelas áreas; _ realizar, com periodicidade mínima anual, a avaliação dos sistemas de controles de riscos operacionais implementados; 1.4.4 Do Comitê de Gestão de Riscos _ apreciar as propostas de planos de ação para mitigação dos riscos identificados;
_ recomendar ao Comitê Executivo /Diretoria Executiva as ações necessárias à mitigação dos riscos identificados, bem como a sua priorização; _ monitorar a implementação das medidas descritas nos planos de ação para saneamento das deficiências; 1.4.5 Dos gestores das unidades operacionais e administrativas _ garantir a plena execução dos controles internos de sua unidade organizacional; _ monitorar a efetividade dos controles internos dos processos executados em sua unidade organizacional; _ gerar e transmitir prontamente à Gerência de Riscos informações que explicitem situações de exposição aos riscos operacionais; _ interpretar as leis, resoluções, regulamentos e demais instrumentos expedidos pelos órgãos fiscalizadores e reguladores,maplicáveis à sua unidade, obtendo parecer da Gerência Jurídica do Grupo, nos casos que requeiram interpretação e posicionamento institucional, bem como apoio da Gerência de Riscos nos casos em que seja necessária a criação/atualização de norma interna; _ propor a criação/atualização dos normativos necessários à execução dos procedimentos referentes às atividades executadas em sua unidade, garantindo que os mesmos estejam de acordo com as políticas organizacionais, contemplando, inclusive, os planos de contingência para as possíveis perdas relevantes; _ garantir que os procedimentos executados em sua unidade estejam de acordo com as normas internas, leis, resoluções, regulamentos e demais instrumentos expedidos pelos órgãos fiscalizadores e reguladores; _ promover a implementação das recomendações de aprimoramentos de controles internos efetuadas pela Diretoria Executiva; _ promover a identificação do risco operacional relativo aos serviços terceirizados relevantes para o funcionamento da Grazziotin Financeira, quando necessário, os respectivos planos de contingência; _ promover a disseminação da política e das ações de gestão de riscos e controles internos a todos os membros de sua unidade organizacional; _ registrar e comunicar tempestivamente à Gerência de Riscos as perdas decorrentes de risco operacional;
1.4.6 Da Diretoria Executiva: A Diretoria Executiva é órgão máximo da instituição responsável pela aprovação das estratégias, políticas, processos, modelos de gestão, definição de limites de riscos, avaliação do ambiente interno e externo. Cabe à Diretoria Executiva: - Indicar o Diretor responsável pela Gestão de Risco Operacional perante o BACEN, - Manter os riscos dentro de padrões aceitáveis, _ garantir a capacitação do corpo funcional com o objetivo de prevenir eventuais falhas/perdas e estimular a cultura de gestão de riscos e controles internos; _ definir o grau de tolerância da Grazziotin Financeira aos riscos operacionais; _ revisar e aprovar, anualmente, a política de gerenciamento do risco operacional que ficará a disposição do Bacen; _ decidir sobre ações mitigadoras para os riscos operacionais relevantes identificados; _ garantir os recursos físicos, financeiros e humanos necessários à efetiva gestão dos riscos operacionais e ao aprimoramento dos controles internos; _ deliberar acerca dos relatórios de avaliação da qualidade e adequação do sistema de controles internos e de gerenciamento do risco operacional, _ apoiar as ações de disseminação de uma boa cultura de governança voltada para conscientização dos funcionários em relação a importância na prevenção e detectação dos riscos inerentes as atividades sob sua responsabilidade. - Assegurar que o modelo de gestão de riscos seja adequado e de que os controles inseridos nos processos sejam eficazes e eficientes. 1.5 Estrutura para gestão de risco operacional A Política de risco operacional, está inserida nas estratégias adotadas pela instituição, no estabelecimento de uma estrutura organizacional orientada para a gestão de riscos, envolvendo, melhores práticas de governança, políticas, descrição de processos, definição de responsabilidades e um sistema de monitoramento
A estrutura de gestão do risco operacional da Grazziotin é composta por: Diretoria Executiva - Gerencia de Riscos Comitê de Riscos As informações a respeito das políticas e procedimentos referentes ao risco operacional e controles internos deverão ser disseminadas pela Grazziotin Financeira a todos os colaboradores, considerando o nível hierárquico e a relevância das mesmas para as unidades organizacionais. Os componentes da estrutura de gestão do risco operacional devem estar permanentemente capacitados a identificar, avaliar, controlar, monitorar e mitigar os riscos operacionais da instituição. O gerenciamento do risco operacional da Grazziotin Financeira seguintes etapas: contempla as 1.5.1 Instrumentos de controle Complementando sua estratégia de gestão dos riscos operacionais, a administração utilizará as seguintes metodologias de controle. - Implantação do sistema de auto avaliação do controle onde cada gestor deverá reavaliar semestralmente, todos as atividades de sua unidade, avaliar os riscos inerentes a cada uma delas, identificar quais são os controles que inibem aqueles riscos e se os mesmos estão sendo eficazes. - Criação de Sistemas de Informações Gerenciais que atenda ao processo decisório da instituição, permita identificar as perdas decorrentes de falhas, deficiências ou inadequação dos processos e a sua quantificação ao longo do tempo e também monitorar as ameaças externas a organização. - Implantação de um Sistema de Avaliação de Desempenho que permita a avaliação periódica do performance de cada um de seus funcionários, permitindo estabelecer estratégias para o desenvolvimento e qualificação dos mesmos.
1.4.1 Identificação dos riscos operacionais A identificação dos riscos operacionais deve se basear, preferencialmente, em informações oriundas dos indicadores dos objetivos definidos no mapa estratégico, nos registros de perdas, nos relatórios de auditorias, no mapeamento de processos, nos relatórios gerenciais e de análise de riscos, bem como nos normativos internos e externos, ou em denúncias. A principal ferramenta utilizada para a identificação dos riscos operacionais é a autoavaliação dos riscos e controles internos, que consiste de um questionário, aplicado no mínimo anualmente a todas as unidades organizacionais, onde o gestor, com auxílio da Gerência de Riscos, descreve, para as principais atividades desenvolvidas, os riscos inerentes às mesmas e os controles existentes, classificando esses riscos quanto à sua probabilidade de ocorrência e impacto médio (em termos financeiros) a cada eventual ocorrência. O questionário de auto-avaliação dos riscos e controles internos será desenvolvido pela Gerência de Riscos de acordo com o levantamento prévio das atividades de cada área. 1.4.2 Avaliação dos riscos operacionais Os riscos identificados nos ciclos de auto-avaliação devem ser avaliados quanto à sua probabilidade de ocorrência e impacto médio por ocorrência. Para estimar a probabilidade de ocorrência, deve-se avaliar a possibilidade de perda, desconsiderando os controles existentes. A probabilidade de ocorrência será classificada e pontuada conforme tabela a seguir: Probabilidade Classificação Pontuação Até 1 evento por ano Raro 1 Mais do que 1 e até 12 eventos por ano. Eventual 2 Mais do que 12 e até 24 eventos por ano. Freqüente 3 Mais do que 24 eventos por ano. Muito freqüente 4 Para cada risco identificado na atividade será estimado o impacto médio por ocorrência em valores monetários. O impacto médio por ocorrência será classificado e pontuado conforme tabela a seguir: Impacto (R$) Classificação Pontuação
Até 10.000 Muito baixo 1 Acima de 10.000 até 100.000 Baixo 2 Acima de 100.000 até 500.000 Alto 3 Acima de 500.000 Muito alto 4 A avaliação global do risco operacional será realizada pela Gerência de RiscoI, a qual, com base nas respostas aos questionários de auto-avaliação, ou em novas demandas surgidas entre os ciclos de auto-avaliação, analisará a severidade dos riscos identificados e as conseqüências especificadas, definindo, em conjunto com as áreas responsáveis, a necessidade ou não de um tratamento para o risco. Para fins desta política, conceitua-se severidade como o produto de impacto x probabilidade. 1.4.3 Tratamento dos riscos operacionais O tratamento dos riscos identificados deve levar em consideração os limites de exposição estabelecidos e, caso sejam necessários planos de ação, estes devem ser elaborados em um prazo que permita a correção tempestiva do risco. A elaboração dos planos de ação é responsabilidade do gestor da unidade organizacional na qual se origina o risco. Os planos de ação para tratamento dos riscos devem definir responsabilidades, cronogramas e recursos necessários à sua efetiva implementação, levando em consideração critérios de economicidade, qualidade e eficiência, de acordo com as boas práticas de controles. A análise dos riscos, bem como os planos de ação propostos, serão submetidos ao Comitê de Gestão de Riscos,o qual recomendará a priorização das ações mitigadoras. As recomendações do Comitê de Gestão de Riscos - serão encaminhadas ao Comitê Executivo, a qual definirá as ações a serem implementadas. As estratégias de tratamento dos riscos operacionais identificados devem contemplar, prioritariamente, o aprimoramento ou implantação de controles internos, visando sua mitigação. Nos casos em que seja verificada a impossibilidade da adoção de medidas mitigadoras, poderão ser adotadas estratégias de transferência, ou compartilhamento dos riscos.
A aceitação do risco somente será admitida nas situações em que, de acordo com a avaliação realizada, sua severidade residual, ou seja, a severidade considerando os controles existentes, seja inferior a 4 (quatro). A Gerência de Risc, juntamente com as unidades organizacionais, elaborará Planos de Contingências para as atividades que possam representar riscos de perdas relevantes para a Grazziotin Financeira os quais serão submetidos ao Comitê de Gestão de Riscos e divulgados às unidades afins. 1.4.4 Monitoramento dos riscos operacionais A Gerência de Riscos é a unidade responsável pelo monitoramento do risco operacional, utilizando-se de ferramentas específicas que possibilitem o acompanhamento tempestivo dos riscos identificados, das ações adotadas, dos responsáveis e da situação vigente, bem como o desempenho dos indicadores-chave de riscos e os registros de perdas ou falhas. Os indicadores-chave de riscos são medidas quantitativas relacionadas a desvios no comportamento esperado dos processos operacionais, que auxiliam a identificação tempestiva de onde e como estão acontecendo situações que podem levar a perdas, além de permitir que a instituição seja pró-ativa na forma de lidar com os riscos. O processo de monitoramento deve fornecer informações gerenciais que contemplem o nível de exposição global da Grazziotin Financeira ao risco operacional, os riscos operacionais críticos e a eficácia dos planos de ação. Essas informações serão documentadas e divulgadas, considerando o nível hierárquico e a relevância das mesmas para as unidades organizacionais; Para garantir a efetividade e eficácia do monitoramento, a Gerência de Riscos avaliará o grau de correlação dos indicadores-chave de riscos definidos, com os eventos de perdas registrados. A Auditoria Interna deve verificar, com periodicidade mínima anual, o cumprimento da política e dos procedimentos de gerenciamento de riscos operacionais, a fim de atestar a eficácia da estrutura, garantindo que as medidas adotadas representem as boas práticas de controles internos e gestão de riscos. 1.4.5 Registros das perdas As unidades organizacionais são responsáveis pelo registro das perdas decorrentes de risco operacional e tempestiva comunicação à Gerência de Riscos, observando-se os procedimentos específicos.
As perdas incorridas devem ser avaliadas quanto às suas origens, cabendo à Gerência de Riscos conduzir o processo investigativo com apoio das unidades organizacionais, bem como arquivar a documentação relativa, após apreciação da Diretoria Executiva.. Após a identificação da origem das perdas, devem ser elaborados planos de ação para implementação ou aprimoramento de controles internos, com o objetivo de se evitar que novas perdas ocorram. O monitoramento das perdas serào efetuados com base nos registros contábeis que evidenciem a ocorrência das mesmas, tais como; Prejuizos, Multas, Penalidades Judiciais, através de planilhas especificas caracterizando a ocorrência, valor etc. 1.4.6 Alocação de capital para Risco Operacional A Diretoria executiva da Grazziotin Financeira, decidiu que a alocação de Capital para Risco de Perdas Operacionais, em função do porte da instituição, será efetuada através do modelo básico e tratada na respectiva Política de Gestão de Capital. 1.5 Planos de Contingência O Plano de contingência previsto no artigo 3.o - item VI - da resolução 3380 esta descrito em tópico especifico definido pela Diretoria Executiva. 1.6 Transparência 1.6.1 Disponibilização da Estrutura de Gerenciamento de Risco Operacional no site da Instituição Esta política esta disponível em página específica no site da Grazziotin Financeira a todos os cliente da instituição órgãos interessados. 1.6.2 - Nota nas Demonstrações Financeiras Nas notas explicativas constantes nas Demonstrações Financeiras está explicita a responsabilidade do Comitê Executivo sobre a mesma e o endereço do site eletrônico para consulta na integra. 1.7 Aprovação pelo Comitê Executivo Esta política foi aprovada na reunião do Comitê Executivo de / / 2014