Sumário: 01. OBJETIVO:... 3 02. CONCEITUAÇÃO / DEFINIÇÃO:... 3 03. ABRANGÊNCIA / ÁREAS ENVOLVIDAS:... 3 03.01. Estrutura Organizacional... 3 04. RESPONSABILIDADES:... 3 04.01. Responsáveis pela execução das atribuições desta política... 3 04.01.01. Conselho de Administração / Diretoria / Comitê de Risco... 3 04.01.02. Comitê de Risco Operacional e Controles Internos... 3 04.01.03. Compliance... 3 04.01.04. Risco Operacional... 3 04.01.05. Controles Internos... 4 04.01.06. Gestores dos processos... 4 04.01.07. Demais funcionários da Instituição... 4 04.02. Responsáveis pelo monitoramento da execução das atribuições desta política... 4 04.03. Responsáveis pela manutenção desta política... 4 05. ALÇADAS:... 4 06. DIRETRIZES:... 5 06.01. Gestão Reativa... 5 06.01.01. Objetivo... 5 06.01.02. Detalhamento do processo de gestão... 5 06.02. Gestão Preventiva... 5 06.02.01. Objetivo... 5 06.02.02. Detalhamento do processo de gestão... 6 06.03. Monitoramento... 6 06.03.01. Monitoramento por meio de avaliações periódicas (Ciclos de Control Risk Self Assessment)... 6 07. CONSIDERAÇÕES FINAIS:... 6 08. LEGISLAÇÃO/REGULAÇÃO RELACIONADA:... 6 1/7
09. REFERÊNCIA INTERNA... 6 010. BIBLIOGRAFIA:... 6 11. GLOSSÁRIO:... 7 12. CONTROLE DE VERSÕES:... 7 13. APROVAÇÕES:... 7 14. ANEXOS:... 7 2/7
01. OBJETIVO: Esta política constitui um conjunto de princípios que norteiam a estratégia do Conglomerado Financeiro BBM ( BBM ) no controle e no gerenciamento de Risco Operacional. 02. CONCEITUAÇÃO / DEFINIÇÃO: Risco Operacional é a possibilidade de perda direta ou indireta, resultante de inadequação ou falhas de processos internos, pessoas e sistemas, ou de eventos externos. Soma-se à definição de risco operacional, o risco legal que está associado à inadequação ou inobservância da regulamentação em vigor no que se refere aos produtos/serviços oferecidos pelo BBM, bem como às indenizações por danos a terceiros decorrentes de atividades desenvolvidas pela instituição, e às sanções advindas de descumprimento de dispositivos legais. 03. ABRANGÊNCIA / ÁREAS ENVOLVIDAS: A política abrange todos os funcionários e estagiários do BBM. 03.01. Estrutura Organizacional Compõem a estrutura organizacional de risco operacional o Comitê de Risco, o Comitê de Risco Operacional e Controles Internos e as áreas de Risco Operacional, Controles Internos e Compliance. 04. RESPONSABILIDADES: 04.01. Responsáveis pela execução das atribuições desta política Quanto à execução, as áreas têm as seguintes responsabilidades: 04.01.01. Conselho de Administração / Diretoria / Comitê de Risco Tomada de decisões estratégicas para o controle de Risco Operacional. 04.01.02. Comitê de Risco Operacional e Controles Internos Analisar os eventuais incidentes operacionais que tenham ocorrido, reforçando a cultura de controle de risco operacional e caso necessário, decidindo ações a serem tomadas no sentido de mitigar riscos incorridos; Analisar situações relevantes de exposição da instituição a riscos operacionais, propondo adequações necessárias à organização. 04.01.03. Compliance Atuar como canal de divulgação da entrada em operação de novos produtos, serviços, processos e sistemas ou alteração nos mesmos para a área de Risco Operacional. 04.01.04. Risco Operacional Avaliar os potenciais efeitos dos riscos operacionais aos quais o BBM está exposto e reportar suas conclusões interna e externamente, quando necessário; 3/7
Desenvolver estudos de quantificação e/ou mitigação de riscos operacionais. Propor uma política de gerenciamento de riscos operacionais e sugerir alterações quando forem necessárias para serem aprovadas junto ao Conselho de Administração e Diretoria; e Definir papéis e responsabilidades de cada integrante da estrutura de Risco Operacional. 04.01.05. Controles Internos Realizar o mapeamento dos processos e procedimentos existentes no BBM, tendo em vista a identificação de riscos operacionais inerentes aos mesmos; Receber e armazenar em base de dados as boletas de incidente operacional; Realizar o monitoramento periódico dos riscos operacionais identificados com objetivo de verificar se eventuais mitigadores adotados estão sendo efetivos e/ou se há aumento de frequência de incidentes relativos a estes riscos; Elaborar os relatórios de avaliação de riscos, controles e perdas com informações relevantes aos riscos identificados e os planos de ação propostos; e Estruturar a continuidade dos negócios contemplando as estratégias a serem adotadas para assegurar condições de contingência das atividades mais críticas e mitigar graves perdas decorrentes de risco operacional. 04.01.06. Gestores dos processos Manter a ciência dos riscos inerentes aos seus processos, avaliando-os quanto à probabilidade de ocorrência e seus possíveis impactos. Auxiliar na elaboração dos mapeamentos de processos; e Informar sobre alterações em processos, procedimentos e controles que possam eventualmente causar mudanças na avaliação de exposição a risco. 04.01.07. Demais funcionários da Instituição Identificar e reportar os riscos operacionais aos gestores. 04.02. Responsáveis pelo monitoramento da execução das atribuições desta política É de responsabilidade do Gestor da área de Risco Operacional o monitoramento da execução das atribuições desta política. 04.03. Responsáveis pela manutenção desta política É de responsabilidade da área de Risco Operacional a manutenção desta política. 05. ALÇADAS: O Comitê de Risco Operacional e Controle Internos, a Diretoria e o Conselho de Administração devem aprovar esta política. 4/7
O Conselho de Administração deve analisar situações não previstas nessa política. 06. DIRETRIZES: O processo de gestão do risco operacional do BBM está dividido metodologicamente em Preventivo e Reativo. 06.01. Gestão Reativa 06.01.01. Objetivo A gestão reativa do Risco Operacional busca o tratamento de eventos de perda e/ou problemas operacionais já ocorridos. Ela consiste no registro do Problema/Perda Operacional e na análise das suas causas e dos impactos sobre os processos de negócio, bem como na orientação acerca das ações que deverão ser tomadas, proporcionando, ainda, a criação de uma base de perdas. 06.01.02. Detalhamento do processo de gestão Definição de Funcionário Responsável pelo Registro de Ocorrência Ocorrido um incidente operacional, qualquer funcionário pode fazer o registro do mesmo. O registro será feito em formulário eletrônico e estará sujeito à avaliação/aprovação do gestor da área, sendo também notificadas as áreas de Controles Internos, Auditoria Interna e o Comitê de Risco Operacional e Controles Internos. Cada um destes pode solicitar mais informações caso julgue necessário, quer aos envolvidos no incidente, quer ao funcionário que efetuar o registro. Para a formação da base de dados de perdas internas serão consideradas as perdas de risco operacional materializadas na forma de despesa. Reporte de fraudes O BBM tem como postura repudiar toda e qualquer forma de atividade fraudulenta por parte de seus funcionários, prestadores de serviços, agentes e corretores. Por atividade fraudulenta entende-se falsificação, desvio de recursos, roubo, uso pessoal de ativos, corrupção ativa e passiva, apropriação indébita, pagamentos e recebimentos questionáveis, improbidade administrativa, entre outras. Pensando sempre no objetivo de proporcionar bons resultados, com total confiabilidade, segurança e transparência, as fraudes devem ser comunicadas à Gerência de Compliance de forma que a mesma inicie as investigações pertinentes. Ressalta-se que, por seu teor sensível, as suspeitas de fraudes serão tratadas de forma sigilosa. 06.02. Gestão Preventiva 06.02.01. Objetivo A metodologia preventiva compreende a análise dos motivos/causas das perdas esperadas ou não esperadas e a criação de métodos que permitam evitar, mitigar, transferir ou aceitar o risco residual. 5/7
06.02.02. Detalhamento do processo de gestão A área de Controles Internos fará o mapeamento dos processos e procedimentos existentes no BBM, tendo em vista a identificação de riscos operacionais inerentes aos mesmos. O mapeamento deve também buscar identificar mitigadores de risco existentes implantados ou não. Os riscos devem ser avaliados com base em seu impacto e a vulnerabilidade do processo (probabilidade de ocorrência de falha). Uma vez mapeados os riscos, seus impactos e mitigadores se existentes, toma-se uma decisão quanto ao referido risco: evitar, mitigar, transferir ou aceitar. 06.03. Monitoramento 06.03.01. Monitoramento por meio de avaliações periódicas (Ciclos de Control Risk Self Assessment) Após a identificação de algum risco operacional, tomada a decisão quanto ao que fazer a seu respeito, será feito monitoramento periódico do mesmo pela área de Controles Internos com objetivo de verificar se eventuais mitigadores adotados estão sendo efetivos e/ou se há aumento de frequência de incidentes relativos a este risco. 07. CONSIDERAÇÕES FINAIS: Este documento é de uso estritamente interno, não devendo ser disponibilizado a terceiros sem que o Gestor da área de Risco Operacional seja consultado. 08. LEGISLAÇÃO/REGULAÇÃO RELACIONADA: Sound Practices for the Management and Supervision of Operational Risk; International Convergence of Capital Measurements and Capital Standards (Basiléia II); International Regulatory Framework for Banks (Basiléia III); Resolução 3.380 do Bacen de 29 de junho de 2006; Carta Circular 3640 do Bacen de 04 de março de 2013. Resolução 4193 do Bacen de 01 de março de 2013; 09. REFERÊNCIA INTERNA Política de Controles Internos; Política de Gestão da Continuidade Operacional; Política de Backup e Restore; Política de Aprovação de Produtos; e Política de Avaliação de Processos. 010. BIBLIOGRAFIA: N/A. 6/7
11. GLOSSÁRIO: N/A. 12. CONTROLE DE VERSÕES: Versão Data Histórico Autor 1. 27/06/2007 Criação do Documento Risco Operacional 2. 10/12/2008 Revisão do Documento Risco Operacional 3. 14/12/2009 Revisão do Documento Risco Operacional 4. 31/12/2010 Revisão do Documento Risco Operacional 5. 13/12/2011 Revisão do Documento Risco Operacional 6. 03/12/2012 Revisão do Documento Risco Operacional 7. 04/12/2013 Revisão do Documento Risco Operacional 8. 13/12/2014 Revisão do Documento Risco Operacional 9. 29/12/2015 Revisão do Documento Risco Operacional 10. 30/12/2016 Revisão do Documento Risco Operacional 13. APROVAÇÕES: Monique Verboonen Gerente de Risco Operacional Alexandre Lowenkron Diretor de Risco 14. ANEXOS: N/A 7/7