Gerenciamento do Risco Operacional
Controle do documento Data Autor Versão Outubro/2010 Compliance 001 Dezembro/2011 Compliance 002 Dezembro/2012 Compliance 003 Agosto/2014 Compliance 004 Revisão do documento Data Área Versão Alterações/Inclusões Outubro/2010 Risco Operacional 001 Criação do documento Novembro/2011 Risco Operacional 002 Atualização do documento Dezembro/2012 Risco Operacional 003 Atualização do documento Agosto /2014 Risco Operacional 004 Atualização do documento Aprovação do documento Data Aprovação Versão Gestor Responsável Outubro/2010 SCM 001 François-Xavier Gilliot Dezembro/2011 SCM 002 François-Xavier Gilliot Dezembro/2012 SCM 003 François-Xavier Gilliot Agosto /2014 Diretor Responsável 004 João Luiz Macedo Vigência Este manual de Políticas e Procedimentos de Gerenciamento de Risco Operacional tem caráter permanente. O conteúdo deste documento poderá ser modificado a qualquer momento de acordo com as necessidades vigentes. Página 2 de 11
Sumário Gerenciamento do Risco Operacional Introdução... 4 1. Sobre o manual... 5 1.1. OBJETIVO 5 1.2. PÚBLICO ALVO E RESPONSABILIDADES 5 1.3. MANUTENÇÃO E REVISÃO DO DOCUMENTO 5 1.4. REGISTRO DA QUALIDADE 5 1.5. CUMPRIMENTO E SANÇÕES 5 1.6. REGULAMENTAÇÃO ASSOCIADA 5 1.7. DIVULGAÇÃO 5 2. Política de Risco Operacional... 6 2.1. PRINCIPAIS DIRETRIZES DA POLÍTICA DE RISCO OPERACIONAL 6 2.2. METODOLOGIA PARA CÁLCULO DA PARCELA RWAOPAD 6 3. Estrutura e responsabilidades de gerenciamento de risco operacional... 7 3.1. ESTRUTURA DA ÁREA DE OR 7 3.2. ATRIBUIÇÕES E RESPONSABILIDADES 7 3.3. AGENTES DE RISCO OPERACIONAL 8 4. Estrutura de gestão de risco operacional... 8 4.1. COMUNICANDO INCIDENTES 8 4.2. INCIDENTES SÉRIOS 8 4.3. PROCEDIMENTO DE ALERTA 9 4.4. PROCESSO DE IDENTIFICAÇÃO E COMUNICAÇÃO DE INCIDENTE 9 4.5. PROCESSO DE AVALIAÇÃO DOS INDICADORES CHAVE DE RISCO 9 5. Mapeamento de risco... 10 5.1. REVISÃO DO MAPEAMENTO DE RISCO 10 5.2. QUANTIFICAÇÃO DO MAPEAMENTO DE RISCO 10 6. Plano de Continuidade... 10 6.1. OBJETIVO E ESCOPO 10 6.2. OBJETIVOS DE RECUPERAÇÃO DA INSTITUIÇÃO 10 7. Relatórios de Divulgação Externa... 11 7.1. GOVERNANÇA E TRANSPARÊNCIA 11 7.2. DIVULGAÇÃO 11 7.3. INFORMAÇÃO DE CONTROLE 11 Página 3 de 11
Introdução O Conselho Monetário Nacional (CMN), por intermédio da Resolução no. 3.380 do Banco Central do Brasil (BACEN), de 29/7/2006, determinou às instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil a implementação de uma estrutura de gestão de risco operacional. Compreendem-se por risco operacional as seguintes diretrizes determinadas pelo Banco Central do Brasil que estabelecem em sua Resolução nº 3.380 de 29 de junho de 2006 do CMN, consiste na possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, bem como de eventos externos. A definição de risco operacional inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição. A direção do Natixis e a estrutura de Risk Management reconhecem que o risco é um componente inevitável de todas as operações realizadas e estão comprometidos em estabelecer, manter e aprimorar de forma contínua o gerenciamento dos riscos da instituição. Junto a isso, risco legal e risco reputacional podem afetar o negócio do banco como um todo, trazendo impactos no resultado do negócio. Dessa forma, a instituição financeira visa estabelecer suas estratégias baseadas nos princípios de Governança Corporativa, pautadas por processos e comunicação transparentes, definição adequada de funções e responsabilidades sobre toda a organização. Página 4 de 11
1. Sobre o manual 1.1. OBJETIVO Esta política inclui os objetivos do departamento de Risco Operacional ( OR ) do Natixis Brasil S/A Banco Múltiplo ( NB ) e define os componentes para o gerenciamento do Risco Operacional. 1.2. PÚBLICO ALVO E RESPONSABILIDADES As informações constantes neste documento se aplicam a área de Gerenciamento de risco e aos demais colaboradores da instituição. 1.3. MANUTENÇÃO E REVISÃO DO DOCUMENTO Conforme a Resolução nº. 3.380/06 do Conselho Monetário Nacional, a revisão do manual de políticas e procedimentos da gestão de riscos operacionais deve ser efetuada no mínimo anualmente sendo a área de Compliance responsável pela revisão e a direção do banco responsável pela aprovação. Em caso de alterações nos procedimentos, é responsabilidade do gestor da área comunicar a área de Compliance para que seja realizada a manutenção e a atualização deste documento. Possíveis alterações somente serão efetuadas nos casos relevantes que justifiquem a emissão de uma nova versão. 1.4. REGISTRO DA QUALIDADE Todas as versões deste manual de política e procedimentos da gestão de Risco Operacional devem ser arquivadas pela área de Compliance pelo prazo mínimo de cinco anos a partir de sua data de alteração. 1.5. CUMPRIMENTO E SANÇÕES O cumprimento do manual de políticas e procedimentos da gestão de riscos operacionais será monitorado pelas áreas de Compliance, Auditoria Interna e Natixis US Wholesale Banking Operational Risk. 1.6. REGULAMENTAÇÃO ASSOCIADA Resolução 3.380 do Banco Central do Brasil, do dia 29 de Junho de 2006. 1.7. DIVULGAÇÃO O Manual deverá ser divulgado a todos os colaboradores pela área de Compliance através de meio eletrônico, no mínimo anualmente. Adicionalmente estará disponível para consultas no diretório público da instituição através do endereço: P:\Services\Division\Audit&Compliance\Public\Políticas e Procedimentos Natixis - Geral Página 5 de 11
2. Política de Risco Operacional 2.1. PRINCIPAIS DIRETRIZES DA POLÍTICA DE RISCO OPERACIONAL A área de Operational Risk (OR) do Natixis Brasil (NB) é responsável por identificar, monitorar e reportar o risco operacional que está inserido no NB. É responsável por implementar e gerenciar a estrutura de risco operacional estabelecido pelo Natixis Risk Department, US Wholesale Banking OR Department, cumprindo com a regulamentação local. Risco operacional, de acordo com a definição da Resolução nº 3.380 de 29 de junho de 2006 do CMN, consiste na possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, bem como de eventos externos. O gerenciamento de risco operacional do Natixis Brasil S.A. Banco Múltiplo segue as diretrizes globais, juntamente com as normas estabelecidas pela Resolução nº 3.380, e conta com suporte, ferramentas e supervisão do Natixis US Wholesale Banking do Departamento Risco Operacional. A estrutura de gerenciamento de risco operacional foi definida pelo Natixis US Wholesale Banking em conjunto com a alta administração local e é responsável pelo monitoramento e reporte dos riscos operacionais. As principais atribuições são: Monitoramento e reporte dos riscos operacionais; Manter atualizado o mapeamento de risco; Garantir efetiva coleta e reporte dos incidentes de risco; Estabelecer a cultura de sensibilização sobre o Risco Operacional; Gerenciar OSIRISK (ou aplicação de TI); Coordenar ações com outras funções de controle; Participar como um membro ativo do comitê de Novos Produtos. Entre os eventos de risco operacional, incluem-se: fraudes internas; fraudes externas; demandas trabalhistas e segurança deficiente do local de trabalho; práticas inadequadas relativas a clientes, produtos e serviços; danos a ativos físicos próprios ou em uso pela instituição; aqueles que acarretem a interrupção das atividades da instituição; falhas em sistemas de tecnologia da informação; falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição. 2.2. METODOLOGIA PARA CÁLCULO DA PARCELA RWAOPAD O Natixis Brasil adotou a metodologia de Abordagem do Indicador Básico (BIA), com o objetivo de apurar a parcela de capital para cobertura de Risco Operacional (RWAopad), conforme estabelecido pela Circular nº 3.640/13 publicada pelo Banco Central do Brasil. A metodologia de Abordagem do Indicador Básico estabelece que o capital a ser alocado para riscos operacionais deve ser calculado semestralmente, considerados os últimos três períodos anuais. O Indicador de Exposição ao Risco Operacional (IE) corresponde, para cada período anual, à soma dos valores semestrais das receitas de intermediação financeira e das receitas com prestação de serviços, deduzidas as despesas de intermediação financeira. Página 6 de 11
3. Estrutura e responsabilidades de gerenciamento de risco operacional 3.1. ESTRUTURA DA ÁREA DE OR A estrutura de Gerenciamento do Risco Operacional visa permitir adequada Governança nos controles e decisões estratégicas relacionadas ao risco operacional no Natixis, a saber: Natixis US Wholesale Banking (Operational Risk): Estabelece diretrizes e padrões sobre os mecanismos para a gestão do risco de operacional. O Natixis Brasil possui reporte funcional para a plataforma Americas do Natixis (Natixis US Wholesale Banking em NY); Diretoria Executiva do Natixis Brasil S/A Banco Múltiplo: Acompanha o monitoramento e reporte dos riscos operacionais. 3.2. ATRIBUIÇÕES E RESPONSABILIDADES A área de OR implementa a estrutura de gerenciamento de risco operacional definida pelo Natixis US Wholesale Banking em conjunto com a alta administração local e é responsável pelo monitoramento e reporte dos riscos operacionais. As principais atribuições são: Monitoramento e reporte dos riscos operacionais Garantir que os procedimentos de risco operacional são efetivos e estão aplicados consistentemente pelo NB; Gerenciar e atualizar o conjunto de plano de ações/ações corretivas para mitigar riscos atuais e potenciais; e Preparar relatórios consolidados (diretamente à Alta Administração do NB e US Chief OR Officer). Manter atualizado o mapeamento de risco Conduzir a completa análise de risco das linhas de negócio, suporte e funções de controle. Garantir efetiva coleta e reporte dos incidentes de risco Coletar e reportar os incidentes de risco do NB; Conduzir profundas investigações de incidentes de alta severidade, conforme o Procedimento de Incidentes Sérios; e Gerar e-mail de alerta para a Alta Administração do NB quando um evento de alta seriedade ocorrer. Estabelecer a cultura de sensibilização sobre o Risco Operacional Oferecer instruções sobre a estrutura de gerenciamento de Risco Operacional; e Organizar sessões de treinamento. Gerenciar OSIRISK (ou aplicação de TI) Atuar como primeiro contato para gestores de projeto administrando OSIRISK da matriz em Paris; Representar os Agentes de Risco Operacional através da comunicação de suas solicitações e priorizando necessidades junto ao head office; e Prover treinamento de sistema para os Agentes de Risco Operacional. Página 7 de 11
Coordenar ações com outras funções de controle Auditoria Interna; Jurídico; Compliance; e Inspeções gerais da Matriz. Participar como um membro ativo dos seguintes comitês New Product Committee 3.3. AGENTES DE RISCO OPERACIONAL A rede de Agentes de Risco Operacional é composta dos funcionários das linhas de negócio, suporte e funções de controle. Eles são responsáveis pela aplicação diária das políticas e procedimentos de Risco Operacional e devem garantir a coleta adequada e transferência de informação relacionada a incidentes. As principais atividades dos Agentes de Risco Operacional são: Organizar a coleta e captura dos incidentes no tempo adequado; Alertar a área de OR imediatamente na descoberta de uma séria incidência; Participar do mapeamento dos riscos nos processos; Reportar os Keys Risk Indicators para a área de OR; e Prover atualizações para a área de OR nos planos de ação/ações corretivas. 4. Estrutura de gestão de risco operacional Este procedimento define como e quando os incidentes são registrados pelos Agentes de Risco Operacional ao longo da instituição. Também descreve o conteúdo do relatório de incidentes do OSIRISK. 4.1. COMUNICANDO INCIDENTES Todos os incidentes que ocorrerem e são reconhecidos como risco operacional devem ser registrados pelo OSIRISK no momento de sua descoberta, independentemente do impacto financeiro. Junto a isso, incidentes que resultarem em ganhos ou perdas, incidentes que tiverem impactos não financeiros (exemplo: risco reputacional) devem ser capturados no OSIRISK. As áreas de negócio, suporte e funções de controle estão permitidas em reportar incidentes recorrentes com periodicidade mensal e de forma agregada. Contudo, devem indicar o número de ocorrências. 4.2. INCIDENTES SÉRIOS Um incidente pode ser considerado sério se: A realizada ou estimada perda financeira é ao menos 50.000 USD; O incidente causou elevado dano reputacional para o banco (exemplo: disseminação de informação não controlada ao público externo); Informação usada para o gerenciamento das atividades do banco não estão disponíveis (exemplos: dados incorretos, atraso no envio das informações); Ocorrência de fraude interna ou externa; Um incidente em potencial que pudesse causar sérias consequências; e A área de OR classificar o incidente como sério. Página 8 de 11
A classificação de um incidente como sério pode estar a critério do Chief US OR Officer ou Head of Risks. A área de OR pode, entre outros aspectos, solicitar o Alert Procedure para ser aplicado mesmo se o incidente não tenha impacto financeiro ou não permita classificação nos critérios adotados. 4.3. PROCEDIMENTO DE ALERTA Conforme o Agente de Risco Operacional determinar que o incidente possa ser considerado sério, um alerta deve ser transmitido para a área de OR pela obtenção do incidente no OSIRISK. Se o incidente é relacionado a uma fraude, a mensagem irá informar que os detalhes do incidente são confidenciais. 4.4. PROCESSO DE IDENTIFICAÇÃO E COMUNICAÇÃO DE INCIDENTE A área de OR conduz a investigação e elabora um relatório detalhado sobre o incidente. A investigação pode ser conduzida em conjunto com a Auditoria Interna, Jurídico e Compliance. Os Agentes de Risco Operacional indicados para a investigação devem auxiliar na coleta de informações das respectivas áreas que pertencem. A seção sobre a análise do incidente descrito no reporte deve conter a descrição da causa do incidente e a identificação das falhas do processo. Esta análise deve também descrever qualquer fator adicional que possa contribuir na resolução do incidente (exemplo: falha em controles, condições de mercado, eventos de crédito). A seção sobre os aspectos financeiros da ocorrência devem incluir o impacto financeiro em USD, e devem ser reconciliados com a área de OR. O reporte deve listar os planos de ação/ações corretivas (exemplo: ações de proteção no curto prazo, ações de longo prazo) que foram estabelecidos com os Agentes de Risco Operacional e os gestores das áreas. A área de OR deve verificar que o cenário potencial de risco correspondente ao incidente consta do mapeamento de risco para a área. Caso o cenário não conste, o gestor da área de OR adicionará este incidente como um novo cenário de risco em potencial ao mapeamento de risco e mencionar as medidas preventivas que devem ser tomadas baseadas no plano de ação/ações corretivas. O gestor da área de OR é responsável pela publicação do relatório do incidente. O relatório final é distribuído para o Agente de Risco Operacional responsável pela implementação do plano de ação, os membros que receberam o alerta inicial e aos relevantes Heads das áreas de negócio. Em decorrência de um desacordo sobre linhas de negócio e área de OR, a decisão sobre a distribuição do relatório será realizada pelo Head of Risks. Nota: Não é necessário aguardar pela confirmação exata do valor de impacto financeiro antes de reportar e distribuir o relatório de incidente e os planos de ação. Se necessário, um adendo pode ser distribuído posteriormente como complemento da análise do incidente. 4.5. PROCESSO DE AVALIAÇÃO DOS INDICADORES CHAVE DE RISCO A área de OR e os Agentes de Risco Operacional devem realizar anualmente a revisão da relação de todos os indicadores chaves de riscos em conjunto com a área de Risco Operacional do Natixis NY que deve avaliar a adequação dos indicadores sugeridos. Depois do processo de revisão dos indicadores, o CFO/CEO do Natixis Brasil deve avaliar se os indicadores estão de acordo com a realidade do Banco. Os indicadores aprovados devem ser avaliados pela área de OR e os Agentes de Risco Operacional em periodicidade mensal, na qual devem questionar as áreas responsáveis por cada indicador para posterior formalização do relatório denominado KRI (Key Risk Indicators). Ao termino do processo de levantamento de informações com as áreas responsáveis e respectiva formalização do relatório a área de OR e os Agentes de Risco Operacional devem enviar o relatório para análise e aprovação do CFO/CEO do Natixis Brasil. Página 9 de 11
5. Mapeamento de risco Gerenciamento do Risco Operacional A área de OR e os Agentes de Risco Operacional periodicamente revisam o mapeamento de risco para cada linha de negócio do NB, suporte e funções de controle. 5.1. REVISÃO DO MAPEAMENTO DE RISCO Mapeamentos de risco são revisados pelos Agentes de Risco Operacional e apresentados aos gestores das áreas de negócio, suporte e funções de controle. Mapeamentos de risco serão distribuídos para o US Wholesale Banking OR Department. 5.2. QUANTIFICAÇÃO DO MAPEAMENTO DE RISCO Não há atualmente uma equipe de OR para a quantificação alocada no NB. A quantificação do mapeamento de risco operacional é conduzida pela equipe de OR da matriz. 6. Plano de Continuidade Maiores detalhes a respeito do plano de continuidade podem ser encontrados no documento de continuidade de negócios. 6.1. OBJETIVO E ESCOPO O objetivo deste plano é fornecer estrutura e informações para ajudar a empresa a recuperar suas atividades críticas durante uma interrupção de negócios ou evento crise. O escopo de negócios deste plano é o seguinte: Local São Paulo, Brasil São Paulo, Brasil refere-se a linhas de negócio existentes, controles e funções de suporte do Natixis Brasil. 6.2. OBJETIVOS DE RECUPERAÇÃO DA INSTITUIÇÃO Em caso de interrupção de negócios, os objetivos principais do Natixis Brasil são: Garantir a segurança e bem-estar dos funcionários do Natixis Brasil, associados e visitantes; Gerenciar riscos financeiros e operacionais; Manter nossas obrigações contratuais com clientes e contrapartes; Proteger os livros da empresa (posições) e registros; Continuar a financiar os requisitos de negócios, e Manter aproximadamente 60-75% do total do volume de negócio. Página 10 de 11
O Natixis Brasil concentra-se na recuperação das funções críticas de negócios, conforme indicado pela Diretoria e não buscará ativamente novos negócios até que a recuperação dos negócios existentes e da situação esteja estabilizada. * 60-75% do volume total de negócios é uma diretriz, se o escopo da interrupção do negócio é tal que várias organizações de serviços financeiros foram afetadas, então um menor percentual de volume de negócios pode ser esperado devido às limitações do ambiente de negócios externo. 7. Relatórios de Divulgação Externa 7.1. GOVERNANÇA E TRANSPARÊNCIA Para promoção da transparência, conforme determina a Resolução 3.380/06, o Banco publicará relatório que contém a descrição da estrutura do gerenciamento do risco operacional em local de acesso público. Esse relatório deve ser revisado e aprovado pela diretoria do Natixis Brasil S/A Banco Múltiplo. Ademais, as informações divulgadas constantes nesse documento são de responsabilidade da diretoria do Natixis. 7.2. DIVULGAÇÃO A divulgação da descrição da estrutura de gerenciamento de risco operacional será efetuada por meio de relatório no site da instituição (www.br.natixis.com/), com periodicidade mínima anual e será de responsabilidade da área de Compliance. Adicionalmente, um resumo da descrição da estrutura de gerenciamento de risco operacional deve ser publicado em conjunto com as demonstrações contábeis, semestrais, no site da Instituição. 7.3. INFORMAÇÃO DE CONTROLE O relatório da estrutura de gerenciamento de risco operacional revisado e aprovado pelo Sr. João Luiz Macedo, CFO/COO da Instituição. Página 11 de 11