estudo sobre boas prÁticas para gerenciamento … · acarretar demandas trabalhistas ou cíveis;...
TRANSCRIPT
ESTUDO SOBRE BOAS PRÁTICAS PARA
GERENCIAMENTO DO RISCO
OPERACIONAL NO MERCADO
BRASILEIRO DE CAPITAIS
Julho/2009
O presente estudo técnico analisa e conceitua o risco
operacional aplicável ao mercado de capitais
brasileiro, relaciona a regulamentação vigente no país
à época de sua elaboração e apresenta recomendações
técnicas para estruturação do gerenciamento deste
risco no País
2
I - Introdução
Fatores como a globalização, a maior complexidade das operações, inovações
tecnológicas, o uso de serviços terceirizados, aliados à crescente competitividade no
mercado financeiro e de capitais, têm aumentado a exposição das instituições a riscos
operacionais. Adicionalmente, as vultosas perdas sofridas por importantes Instituições
na última década, resultantes de fraudes, erros humanos e falhas técnicas, chamaram a
atenção dos órgãos supervisores e das próprias instituições para a importância e
necessidade de gerenciar e controlar o risco operacional.
Embora seja um dos riscos que mais impacto podem causar a uma instituição, a gestão
do risco operacional ganhou maior visibilidade nos últimos anos, com a publicação do
Novo Acordo de Capitais de Basiléia (Basiléia II) em 2004. Elemento essencial para um
sólido processo de gestão de riscos, hoje o risco operacional equipara-se, em
importância, aos riscos de crédito e de mercado.
Deficiências na identificação e no monitoramento das perdas operacionais, bem como o
tratamento inadequado de suas causas, tiveram como conseqüência prejuízos
substanciais às instituições, aos acionistas e à sociedade em geral. Com a publicação de
Basiléia II, os órgãos supervisores de diversos países reforçaram suas regras prudenciais
de alocação de capital, determinando às instituições a adoção de métodos de alocação
mais susceptíveis aos riscos, fundamentados, entre outros, no registro das perdas e suas
causas e em uma avaliação mais adequada e criteriosa da eficácia dos controles internos
adotados para reduzir os riscos. As novas exigências legais requerem das instituições,
portanto, um conhecimento mais aprofundado e uma atuação efetiva sobre os riscos, daí
a necessidade de manterem uma sólida estrutura de gestão e controle dos riscos
compatível com seu porte, natureza e complexidade dos negócios.
Uma estrutura de gestão inadequada possibilita a materialização de riscos operacionais
como fraudes, por exemplo, que podem causar danos irreparáveis à reputação de uma
instituição, levando à perda de confiança por parte do público e dos investidores e
comprometendo os objetivos do negócio. Por outro lado, além de promover a redução
de perdas operacionais e atender requisitos legais de alocação de capital, uma estrutura
de gestão alinhada ao apetite a risco tem demonstrado contribuir para o processo de
3
tomada de decisões e melhoria do desempenho, representando uma vantagem
competitiva para o negócio. Portanto, é de vital importância que a preocupação com a
gestão do risco operacional transcenda a questão regulatória, buscando benefícios para o
negócio como vantagem competitiva e maior transparência e favorecendo a governança
corporativa. Assim, um efetivo gerenciamento dos riscos operacionais deve possibilitar
às Instituições maximizar receitas, otimizar os custos e alocar capital de forma mais
eficiente, resultando em criação de valor para os stakeholders.
A eficácia do processo de gerenciamento do risco operacional depende do
comprometimento da alta administração e de todo o quadro de funcionários. Através da
disseminação da política de risco operacional, a alta administração define a
responsabilidade e o papel de cada colaborador no processo e reforça a cultura de
controle, demonstrando o compromisso da instituição com o interesse dos acionistas,
clientes e da sociedade em geral.
Tendo em vista a importância e o valor da gestão do risco operacional para o negócio e
da observância à regulamentação, o presente estudo foi elaborado por um grupo
formado por profissionais das áreas de risco e compliance de Instituições associadas à
ANBID visando à divulgação das boas práticas adotadas pelas instituições para o
gerenciamento e controle de seus riscos. Para efeito deste estudo, conceitua-se como
risco operacional o risco de perdas resultantes de falha ou inadequação de processos
internos, pessoas e sistemas ou eventos externos.
Uma estrutura adequada de gerenciamento do risco operacional deve estar
fundamentada na combinação de informações qualitativas e quantitativas. As primeiras
baseiam-se no mapeamento dos processos, na identificação, análise e monitoramento
dos riscos e controles e na adoção de ações mitigatórias. As informações quantitativas,
por sua vez, compreendem as bases de dados de perdas por riscos operacionais e os
cálculos para alocação de capital. O enfoque deste estudo está nos aspectos qualitativos
do sistema de gerenciamento do risco operacional, essenciais a qualquer instituição,
independentemente de seu porte e natureza das operações.
4
II – Melhores Práticas
Apresentamos a seguir às instituições em geral, entre elas bancos, administradores de
fundos, distribuidores, agentes autônomos e gestores independentes, uma relação de
boas práticas para gerenciamento dos riscos operacionais.
Essas práticas têm por objetivo criar uma sólida estrutura de controles no ambiente de
trabalho para dar segurança e transparência na forma de conduzir as atividades dentro
das instituições e minimizar os impactos causados por erros operacionais.
Cabe ressaltar que cada instituição, baseada nas recomendações deste documento, deve
implementar uma estrutura compatível com o seu negócio, abrangendo todas as áreas e
níveis hierárquicos. Os itens descritos adiante não são exaustivos, cabendo assim, a cada
instituição, definir e adotar outros procedimentos que julgar necessários e adequados.
1. Estrutura de Gestão
Um sólido gerenciamento do risco operacional deve estar fundamentado no
comprometimento da alta administração e de todos os funcionários da instituição, de
forma a assegurar que o processo seja priorizado diante das graves conseqüências que
essa matéria pode causar às instituições e ao mercado em geral.
É importante ressaltar que o risco operacional está presente em todas as etapas dos
processos realizados em uma instituição e provêm de falhas operacionais, daí a
necessidade de se manter atualizados os procedimentos existentes e seus respectivos
controles de avaliação e mitigação dos riscos.
A seguir, será apresentado um conjunto de boas práticas que podem trazer maior
eficiência e acurácia na gestão dos riscos operacionais:
Nomear um diretor que não desempenhe atividades relativas à administração de
recursos de terceiros, como responsável pela estrutura do gerenciamento do risco
operacional;
5
Criar estrutura capaz de identificar, avaliar, monitorar, controlar e mitigar os riscos
operacionais da instituição;
Manter registros das informações referentes às perdas associadas ao risco
operacional;
Estabelecer processos que permitam identificar e corrigir tempestivamente as
deficiências de controle e de gerenciamento do risco operacional;
Realizar testes de avaliação dos sistemas de controle de riscos operacionais, com
periodicidade mínima anual;
Formalizar estrutura e procedimentos em manuais de políticas internas e disseminar
a cultura de risco operacional a todos da instituição;
Prover treinamentos voltados a capacitar os funcionários em suas atividades;
Estabelecer os papéis e as responsabilidades dos funcionários e diretoria, inclusive
dos prestadores de serviços terceirizados relevantes;
Implantar plano de contingência que contemple as estratégias adotadas para
assegurar condições de continuidade das atividades e limitar graves perdas
decorrentes de riscos operacionais;
Implementar, manter e divulgar processo estruturado de comunicação e informação;
Criar fórum interno para tratar dos assuntos relacionados aos riscos operacionais e
registrar decisões através de comitês de risco operacional.
2. Metodologia de Avaliação de Risco
O gerenciamento do risco operacional está diretamente relacionado ao conhecimento
dos processos existentes. Todos os processos críticos devem ter seus riscos operacionais
identificados, avaliados, monitorados e, quando necessário, mitigados. Diante da
importância do assunto, uma adequada metodologia deverá abordar os seguintes
aspectos:
Os riscos e controles relativos às operações e atividades devem ser identificados,
avaliados e monitorados, garantindo um gerenciamento eficaz;
A cultura de risco e controle deve ser fortalecida através da divulgação de
políticas e de treinamento a todos os funcionários;
6
A metodologia deve permitir aos funcionários o adequado entendimento e o
monitoramento constante das informações relacionadas aos riscos operacionais e
controles internos.
O Novo Acordo de Capitais, em conjunto com legislações nacionais publicadas
posteriormente, propôs um modelo para o mapeamento e a alocação das perdas
operacionais em linhas de negócio. O modelo é composto de oito (8) linhas de negócio,
assim divididas com o objetivo de possibilitar às instituições mensurar a alocação de
capital de acordo com seus negócios e atividades:
1. Varejo
Inclui as operações classificadas da carteira de crédito correspondentes àquelas de
varejo de crédito imobiliário residencial.
2. Comercial
Inclui as operações classificadas da carteira de crédito não consideradas na linha de
negócio Varejo; e as operações com títulos e valores mobiliários não classificados na
carteira de negociação.
3. Finanças Corporativas
Inclui as operações relacionadas a fusões e aquisições; reestruturação financeira e
societária; subscrição de capital; privatizações; colocação pública ou privada de títulos
e valores mobiliários; securitização; emissão própria; financiamento de projetos de
longo prazo; serviços de pesquisa e assessoria; receita de serviços de empréstimos
sindicalizados; e consultoria em gestão de caixa.
4. Negociação e Vendas
Inclui operações relacionadas a captações e empréstimos internacionais; corretagens de
valores mobiliários não classificados na linha de negócio Corretagem de Varejo;
tesouraria internacional; participações societárias e outros investimentos; títulos e
valores mobiliários classificados na carteira de negociação; depósitos interfinanceiros;
e instrumentos financeiros derivativos.
7
5. Pagamentos e Liquidações
Inclui operações relacionadas à transferência de ativos; compensação e liquidação;
sistemas de pagamentos; folha salarial; recebimento de tributos; e cobrança.
6. Serviço de Agente Financeiro
Inclui operações relacionadas à custódia de títulos e valores mobiliários; serviços a
ligadas; e carta de crédito, fiança, aval e garantia.
7. Administração de Ativos
Inclui operações relacionadas à administração de recursos de terceiros
8. Corretagem de Varejo
Inclui operações relacionadas à corretagem de ações, de títulos e valores mobiliários e
de mercadorias.
No caso de administradores de carteira, a linha de negócio correspondente é,
exclusivamente, Administração de Ativos.
2.1. Risco
O processo de gerenciamento de riscos deve contemplar a identificação, análise e
categorização dos riscos operacionais presentes nos negócios e atividades. Sua
efetividade depende da participação e comprometimento dos gestores das áreas
envolvidas.
(a) Identificação
O processo de identificação deverá proporcionar aos responsáveis pelos levantamentos
dos riscos operacionais, esclarecimentos e transparência nos processos, bem como aos
gestores, as respectivas fragilidades envolvidas.
(i) Antes de qualquer levantamento, deve ser definido o escopo do projeto que
será desenvolvido, devendo ser levada em consideração a abrangência do
8
trabalho de risco operacional, ou seja, se todos os riscos serão analisados ou
somente aqueles de grande probabilidade/freqüência/potencialidade ou
severidade e/ou que tenham sido solicitados pela alta administração;
(ii) Para ser o mais completo possível, o processo de identificação dos riscos
operacionais requer a participação ativa da área envolvida no mapeamento de
suas atividades. Algumas técnicas podem contribuir para a eficácia desse
levantamento, entre as quais:
Entrevistas com os gestores e funcionários envolvidos nos processos,
das quais os responsáveis pelos levantamentos devem extrair todos os
riscos potenciais existentes. Por exemplo, atividades que podem
acarretar demandas trabalhistas ou cíveis; ações que podem propiciar
fraudes internas; erro não intencional na execução das atividades, etc;
Diagramação dos processos por meio de fluxograma, método que tem
se mostrado bastante eficiente no levantamento de riscos operacionais
potenciais.
(b) Classificação
É importante efetuar uma adequada descrição dos riscos detectados bem como detalhar
as possíveis causas e suas conseqüências, com o objetivo de dar transparência e
proporcionar um entendimento mais aprofundado do risco. Diante dessa necessidade,
Basiléia II recomenda categorizar os riscos com base em suas causas, divididas em oito
eventos de perdas:
Fraudes Internas: perdas ocasionadas por atos com intenção de
fraudar, apropriar-se indevidamente ou burlar regulamentos, leis ou as
políticas da empresa, que envolvam pelo menos uma parte interna,
excluindo diversidade/acontecimentos discriminatórios. ¹
9
Fraudes Externas: perdas ocasionadas por atos com intenção de
fraudar, apropriar-se indevidamente ou burlar leis, praticados por um
terceiro. ¹
Demandas trabalhistas e segurança deficiente do local de trabalho:
perdas decorrentes de atos inconsistentes com contratos ou leis
trabalhistas, saúde, segurança, pagamento de reclamações por lesões
corporais, ou de diversidade/eventos discriminatórios. ¹
Práticas inadequadas relativas a clientes, produtos e serviços: perdas
decorrentes de uma falha não-intencional ou negligente para cumprir
uma obrigação profissional com clientes específicos (incluindo
exigências fiduciárias e de adequação ao perfil do cliente), ou da
natureza ou desenho de um produto. ¹
Danos a ativos físicos próprios ou em uso pela instituição: prejuízos
decorrentes de perdas ou danos aos ativos físicos ocasionados por
desastres naturais ou outros acontecimentos. ¹
Falhas em sistemas de tecnologia da informação: perdas decorrentes
de falhas em sistema. ¹
Falhas na execução, cumprimento de prazos e gerenciamento das
atividades na instituição: perdas decorrentes na administração de
processos ou processamento de transação com problemas, relações
com contrapartes comerciais e fornecedores. ¹
Interrupção das atividades da instituição: perdas decorrentes de
ruptura nos negócios. ¹1
1 BIS – Bank for International Settlements – Tradução livre
10
(c) Avaliação
Uma vez identificados, os riscos operacionais devem passar por uma criteriosa
avaliação que assegure que todos os processos, atividades e sistemas estejam adequados
aos objetivos do negócio. Essa etapa contempla a análise da possibilidade de ocorrência
do risco e o impacto nos negócios caso o risco se materialize, sempre levando em
consideração a efetividade dos controles internos existentes.
O resultado dessa avaliação deve propiciar aos gestores análises da viabilidade de
alternativas para limitação do risco e/ou estratégias de controle para mitigá-lo, além de
fornecer dados à alta administração para tomada de decisão.
O resultado das avaliações deverá demonstrar o grau de exposição a riscos à alta
administração caso se materializem, devendo abranger não apenas os riscos que
representam perdas financeiras diretas, como também aqueles não passíveis de
mensuração financeira. A exposição final deverá ser calculada de acordo com critérios
pré-estabelecidos e com o apetite a risco de cada instituição. Exemplo: os riscos podem
ser classificados em exposições baixas, médias e altas.
2.2. Controle
Como definição, controles internos são ações, atividades e procedimentos que
asseguram o atingimento dos objetivos, de maneira correta e tempestiva, com uma
utilização de recursos eficientes. Políticas e procedimentos de controle necessitam ser
estabelecidos e executados para ajudar a garantir que as ações identificadas pela
gerência, necessárias para mitigar os riscos da instituição, estão sendo efetivamente
cumpridas.
Conceitualmente, podemos categorizar os controles internos:
(a) Por sua natureza de identificação:
- Preventivo: com a função de evitar que o risco se materialize;
- Detectivo: com a função de identificar eventos de falha ou erro.
11
(b) Pelo modo de processamento:
- Automatizado: processado por sistema informatizado;
- Não automatizado: processado manualmente ou por planilhas.
(c) Por sua periodicidade ou freqüência: as periodicidades mais usuais são:
- Anual – como exemplo, podemos citar a execução de teste de contingência;
- Semestral – por exemplo, a recertificação de acessos aos sistemas informatizados;
- Mensal – como a aprovação dos resultados no mês;
- Diária - podendo ser uma vez ou muitas vezes ao dia. Como exemplo, citamos a
reconciliação das contas contábeis e confirmação dos negócios com a contraparte;
- Eventual ou sob demanda – por exemplo, aprovação de relatórios de despesas de
viagem.
Vale enfatizar que os exemplos citados neste documento são apenas ilustrativos,
cabendo a cada instituição adotar o modelo que julgar necessário.
Todo controle deve obedecer a uma adequada documentação e segregação de funções,
permitindo que sejam evidenciados e testados de forma independente.
Os controles são ferramentas extensamente utilizadas na mitigação de riscos. Sua
avaliação pode ser realizada na forma de auto-avaliação ou revisão independente. É
fundamental que tenha a participação do gestor e dos colaboradores responsáveis pela
execução do controle para que a avaliação quanto à sua efetividade possa ser o mais
fidedigna possível.
Nessa etapa, é importante que a instituição possua o completo mapeamento das áreas de
suporte e de negócios, bem como de seus riscos potenciais/inerentes, para que possa
iniciar a identificação dos controles que os mitigam, e então, concluir sobre a existência
de riscos residuais.
Por definição, o risco residual segue a seguinte equação:
RISCO POTENCIAL/INERENTE – CONTROLE = RISCO RESIDUAL
12
Ou seja, uma vez identificados os controles que visam mitigar o risco inerente, é
possível que a instituição ainda esteja exposta aos riscos residuais. Isso porque um
controle interno, uma vez implementado e plenamente efetivo, ainda assim não garante
ou não elimina a possibilidade de que o risco se materialize. Portanto, é importante
estabelecer uma revisão/avaliação periódica dos controles internos existentes, cabendo a
cada instituição definir a melhor periodicidade.
Ainda sobre o risco residual, é recomendável que a instituição defina uma estratégia
para tratá-lo. Geralmente, a estratégia para o risco residual pauta-se na relação custo-
benefício quando da decisão de implementação de um controle interno. É comum que as
instituições adotam as seguintes estratégias:
- Reduzir: como plano de ação, controles internos adicionais são implementados no
intuito de reduzir a níveis aceitáveis pela instituição o impacto e/ou a possibilidade
da materialização do risco residual. Como exemplo, podemos citar controles como
limite de alçadas de aprovação, procedimento de feito/conferido, entre outros;
- Transferir: mesmo com seus controles internos plenamente efetivos, a instituição
ainda está exposta a eventos que não tem como controlar/evitar. Como exemplo,
cabe citar as catástrofes naturais ou não, como enchentes, vendavais/furacões,
incêndios, entre outras. Nesse caso, geralmente as empresas buscam a contratação de
seguros como artifício de mitigação do impacto de eventos dessa natureza;
- Aceitar: considerando os controles internos operantes, a instituição está exposta a
um risco residual aceitável por seus administradores. Nesse cenário, usualmente o
impacto e/ou a possibilidade do risco residual não justificam a implementação de um
novo controle, isto é, um plano de ação, para mitigá-lo (relação custo vs. benefício).
13
2.3. Evento
Conforme citado anteriormente, Basiléia II recomenda registrar as ocorrências de risco
operacional de acordo com os eventos que as geraram. Para isso a instituição deve
manter uma estrutura adequada que possibilite a captura, identificação, registro,
avaliação e categorização dos eventos de perda associadas aos riscos operacionais.
(a) Banco de Dados - Histórico de Eventos
A criação de um banco de dados centralizado consolidando todos os eventos associados
aos riscos e perdas operacionais, permite a padronização das informações e
consequentemente uma análise adequada dentro de critérios uniformizados. Além disso,
o banco de dados pode propiciar uma análise histórica dos eventos permitindo conhecer
tendências e os riscos materializados de maior frequência ou severidade, gerando
diferentes cenários que podem ser utilizados na gestão estratégica do risco operacional
das Instituições.
(b) Captura, identificação e registro
Nas situações em que a perda operacional é claramente identificada através do adequado
registro contábil, controles devem ser implementados de forma que a totalidade dos
eventos com impacto financeiro seja registrada.
Contudo, notadamente existem ocorrências que não são automaticamente identificadas
como perdas, sem a apropriada intervenção do gestor/usuário, e ocorrências em que o
evento não gera uma perda operacional. Além disso, existem eventos de quase perda.
Nesse caso o erro ocorre, existe uma falha na estrutura de controles, mas a perda é
evitada.
Podemos citar ainda situações de perda potencial, nas quais o evento acontece, mas não
há necessariamente uma perda. E em muitas situações, se a perda ocorrer, dificilmente
ela poderá ser relacionada ao evento primário.
14
Finalmente, cabe destacar que as perdas podem ser recuperadas e seus eventos também
devem ser registrados.
Os seguintes exemplos podem ser utilizados para ilustrar as definições acima:
b1) Eventos que geram perda claramente identificada através de registro contábil
Roubo de numerário;
Fraude nos sistemas de Internet Banking;
Clonagem de cartão;
Divulgação incorreta de cotas (a maior) em fundos massificados
(problema pode ser identificado no dia seguinte gerando prejuízo aos
cotistas que não resgataram no dia anterior);
Especificação incorreta na compra de ações em Corretora (cliente solicita
compra de determinado papel e trader opera de forma diferente; quando
a transação é desfeita, a Corretora deve contabilizar o prejuízo).
Nessas situações o valor perdido é claramente demonstrado e tem a sua
contabilização efetuada. Assim, é possível identificar tais contas contábeis e, sempre
que um novo registro for contabilizado, o evento poderá ser mapeado.
b2) Eventos em que a perda não é identificada se não houver intervenção do gestor/
usuário ou eventos sem perda
Operação cujo erro operacional faz com que a receita gerada seja menor;
Envio de extrato incorreto ao cliente;
Atraso na execução de transferência financeira;
Pedido de reserva para participar em oferta pública de valores mobiliários
solicitado pelo cliente, porém corretora não cadastra o pedido. Se o preço do
papel cair, cliente pode comprar mais barato sem prejuízo às partes.
Neste caso, o gestor/usuário deve fazer o registro do fato.
15
b3) Eventos de Quase Perda
Tentativa de Roubo de numerário impedida pela polícia ou pela segurança
interna;
Tentativa de fraude no internet banking bloqueada pelos sistemas de
segurança;
Cartão clonado que é bloqueado na primeira tentativa de utilização;
Erro em operação de aluguel de ações, em que o trader passa instrução
indevida, mas o evento é identificado quando da conferência com a outra
corretora;
Divulgação de cota incorreta de fundo restrito, onde o erro é verificado no
mesmo dia e ajustado.
Nas situações acima o evento ocorre, mas os controles são suficientemente robustos
para evitar a perda.
b4) Eventos de Perda Potencial
Um exemplo é o roubo de malote com documentações de diversos clientes.
Podemos ter diversas ocorrências, como por exemplo:
O material pode ser descartado pelos infratores e nenhuma conta
será fraudada;
Todas as contas podem ser fraudadas;
Apenas algumas podem ser fraudadas e em tempos
indeterminados.
Ou seja, nesse caso o evento gera uma perda potencial que pode ocorrer a qualquer
momento ou não.
Enfim, é importante citar que as perdas registradas contabilmente não representam
por si só o resultado total do ambiente de controles das Instituições. Outros eventos
de perda, quase perdas e perdas potenciais completam a fotografia da qualidade do
ambiente de controles internos. Quanto mais hábil for a instituição em capturar
todos estes eventos, melhor será a identificação e avaliação dos riscos operacionais e
o aprimoramento de seus processos.
16
A melhor forma de aprimorar a captura desses outros eventos é através da
apropriada disseminação da cultura e treinamento aos funcionários conforme detalha
este documento em tópico posterior.
(c) Avaliação, categorização, identificação das causas e planos de ação
Após a captura e o registro dos eventos de perdas relevantes, estes devem ser
submetidos a análises periódicas de forma a acompanhar a implementação de ações
corretivas e de ações preventivas, quando necessário. O apropriado
acompanhamento dessas ações proporcionará automaticamente a melhoria contínua
do ambiente de controles internos.
(d) Indicadores de Risco Operacional
Indicadores de risco operacional completam a função exercida pelo registro de
eventos para o aprimoramento contínuo do ambiente de controles internos. A
diferença é que os eventos registrados nos trazem a fotografia do passado para
aprimorarmos o modelo. Já os indicadores de risco operacional têm o papel de
sinalizar tendências e potenciais incrementos de risco.
Cada Instituição pode definir alguns indicadores críticos de acordo com seus
processos e estabelecer limites para os mesmos. Sempre que algum limite for
excedido, é recomendável ter alguma ação em curso para que o indicador retorne
aos níveis normais.
É importante salientar que não necessariamente é preciso ter muitos indicadores.
Apenas os críticos devem ser definidos e eles precisam representar efetivamente
uma variável que esteja relacionada à possibilidade de incremento de risco e perda
operacional. Quanto maior o nível de automação do processo de coleta e medição,
maior a acurácia dos dados.
17
3. Avaliação anual do sistema de gestão
A diretoria responsável pela estrutura de gerenciamento de risco operacional deve
revisar o modelo de gestão e controle dos riscos operacionais, no mínimo anualmente,
visando identificar a evolução e o aperfeiçoamento do modelo implementado.
Os resultados obtidos nessa avaliação devem ser consolidados em relatório,
preferencialmente destinado à Alta Administração, apresentando os resultados a seguir:
Eventuais deficiências identificadas, bem como as medidas adotadas para
oportuna correção;
Principais realizações e projetos voltados ao fortalecimento e melhoria do
modelo de gestão.
O relatório deverá permitir à alta administração concluir sobre a eficácia do modelo
implementado para o adequado gerenciamento e controle dos riscos operacionais a
que a instituição está exposta.
4. Informações ao público
Segundo o “Código das Melhores Práticas de Governança Corporativa”, publicado
pelo Instituto Brasileiro de Governança Corporativa (IBGC), a transparência é um
dos princípios básicos que norteiam a construção de uma estrutura efetiva de
governança, uma vez que a gestão transparente de informações contribui para criar
uma estrutura e um fluxo de informações confiáveis.
Ser transparente é um dos facilitadores na obtenção de fontes de capital. Empresas
que buscam seus recursos no mercado de capitais tornam-se mais atrativas quanto
mais confiáveis forem, mostrando-se sólidas, atraindo acionistas e assim, maiores
investimentos.
18
Com o intuito de reforçar a transparência da gestão e controle dos riscos
operacionais é importante divulgar em relatórios de acesso ao público, as principais
deliberações adotadas quanto à gestão e controle dos riscos operacionais.
As informações apresentadas ao público devem incluir a estrutura para o
gerenciamento e controle dos riscos operacionais, ferramentas, políticas e diretrizes
utilizadas.
5. Treinamento
O treinamento continuado é um fator preponderante para a eficácia do sistema de
gestão de risco operacional. Condição necessária à formação e aperfeiçoamento
profissional, favorece o desenvolvimento das competências necessárias ao
desempenho das atribuições em conformidade com os objetivos da Instituição,
contribuindo para resguardar o cumprimento das normas e regulamentos, para o
fortalecimento da cultura de controle e, conseqüentemente, para a melhoria contínua
do sistema de gestão de riscos.
A Instituição deve identificar as necessidades de treinamento para assegurar que as
atividades sejam conduzidas por um quadro de funcionários qualificado.
6. Atuação do Compliance
A atuação de compliance em parceria com a estrutura de gestão dos riscos
operacionais fortalece o gerenciamento, controle, prevenção e mitigação dos riscos
e perdas operacionais e reputacionais relacionados ao cumprimento das normas
vigentes.
A gestão qualitativa de riscos operacionais é um subsídio à função de compliance
para avaliar a aderência dos processos e dos controles internos às políticas,
diretrizes e regulamentos aplicáveis.
19
7. Atuação da Auditoria Interna
É recomendável que a auditoria interna revise de forma independente a estrutura para
gestão e controle do risco operacional, avaliando a efetividade de todos os mecanismos
de gestão utilizados pela instituição. Essa revisão deve fazer parte do plano da auditoria
interna.
Adicionalmente, é recomendável que os relatórios de auditoria, interna ou externa, ou
de órgãos reguladores/fiscalizadores sejam utilizados e acompanhados também pela
área gestora do risco operacional da instituição.
8. Plano de Contingência
Para complementar uma adequada gestão de riscos operacionais, é fundamental que a
instituição estabeleça e implemente um Plano de Continuidade de Negócios (PCN), com
o objetivo de minimizar impactos de qualquer evento que possa colocar em perigo a
continuidade das operações e que seja capaz de avaliar, identificar e priorizar o impacto
de interrupções em seus processos, estabelecendo um critério de aceitação de risco.
Para a efetividade de um PCN, é imprescindível que a instituição assegure-se de que
seus fornecedores relevantes tenham condições de continuar a prover seus
produtos/serviços, bem como de se recuperar, em caso de crise ou interrupção causada
por motivos diversos.
É recomendável também que no PCN esteja previsto a realização de teste periódico de
modo a garantir a efetividade do plano.
A implantação de procedimentos dessa natureza contribui para a continuidade dos
negócios e do atendimento aos clientes.
20
III – Conclusão
Conhecer os riscos operacionais, tanto os efetivamente ocorridos como aqueles
possíveis de acontecer, mensurar seu impacto financeiro e possibilidade de ocorrência,
desenvolver ações para sua mitigação e fazer sua adequada gestão, proporcionam às
instituições mais segurança para que não ocorram eventos inesperados que possam
interromper seus negócios e afetar seus resultados.
Um sistema de gestão dos riscos operacionais contribui para o fortalecimento dos
controles internos da Instituição e, consequentemente, aprimora sua Governança
Corporativa, proporcionando aos acionistas, investidores, reguladores, governo e à
sociedade em geral, maior transparência, melhores informações e segurança sobre a
continuidade da empresa.
IV – Legislação
ANEXO I
Legislação vigente – Banco Central (glossário)
Comunicado nº 12.746, 09 de dezembro de 2004 - Comunica os
procedimentos e cronograma para a implementação da nova estrutura de capital -
Basiléia II.
Resolução nº 3.380, 29 de junho de 2006 - Dispõe sobre a implementação de
estrutura de gerenciamento do risco operacional:
Exige a implementação de estrutura de gerenciamento do risco
operacional
Define o conceito de risco operacional
Define a classificação das perdas de riscos operacionais
21
Define e estrutura de gerenciamento de riscos operacionais e o
cronograma de implementação
Resolução nº 3.444, 28 de fevereiro de 2007 - Definição e apuração do
Patrimônio de Referência para fins da verificação do cumprimento dos limites
operacionais das instituições financeiras.
Circular nº 3.343, 1º de março de 2007 - Dispõe sobre os procedimentos a
serem adotados na solicitação para que instrumentos de captação integrem o
Nível I e o Nível II do Patrimônio de Referência (PR), de que trata a Resolução
nº 3.444
Carta-Circular nº 3.269, 13 de março de 2007 - Cria rubricas no Cosif para
registro de informações sobre o cálculo do Patrimônio de Referência (PR), de
que trata a Resolução nº 3.444, de 2007.
Resolução nº 3.490, 29 de agosto de 2007 - Dispõe sobre a apuração do
Patrimônio de Referência Exigido (PRE) que inclui o POPR (parcela referente
ao risco operacional). O PRE tem a finalidade de dar ferramentas ao Banco
Central para verificar o cumprimento dos limites operacionais das instituições
financeiras.
Comunicado nº 16.137, 27 de setembro de 2007 – Atualiza o cronograma
definido no Comunicado 12.746 (09/12/04).
Circular nº 3.383, 30 de abril de 2008 - Estabelece os procedimentos para o
cálculo da parcela do Patrimônio de Referência Exigido (PRE) referente ao risco
operacional (POPR), de que trata a Resolução nº 3.490, de 2007. Define
indicadores de apuração e as linhas de negócio –e sua composição- a serem
utilizadas em sua apuração.
Carta-Circular nº 3.316, 30 de abril de 2008 - Detalha a composição do
Indicador de Exposição ao Risco Operacional (IE), índice citado na Circular
3.383 (30/04/08) como um dos fatores a serem utilizados para o cálculo do
22
POPR (parcela referente ao risco operacional) que integra o PRE (Patrimônio de
Referência Exigido) definido na Resolução 3.490 (29/08/07).
Carta-Circular nº 3.315, 30 de abril de 2008 - Esclarece sobre os
procedimentos para o cálculo da parcela do Patrimônio de Referência Exigido
(PRE) referente ao risco operacional (POPR), de que trata a Circular nº 3.383, de
2008.
ANEXO II
GLOSSÁRIO
Basiléia II – O documento “Convergência Internacional de Mensuração de Capital e
Padrões de Capital – Novo Acordo de Capitais de Basiléia” (International
Convergence of Capital Measurement and Capital Standards: a Revised Framework),
conhecido como Novo Acordo de Capitais de Basiléia ou Basiléia II, é um compêndio
de boas práticas para gestão de riscos e alocação de capital, publicado em junho de
2004. Suas recomendações estão fundamentadas em três pilares: Pilar I – Alocação de
Capital; Pilar II – Supervisão Bancária; Pilar III – Transparência. Documento disponível
no site do Bank for International Settlements: http://www.bis.org.
BIS (Bank for International Settlements) - O Banco de Compensações Internacionais é
uma organização com sede na cidade de Basiléia, Suíça, responsável por promover a
cooperação entre os bancos centrais e órgãos reguladores de diversos países com o
objetivo de manter a estabilidade do sistema financeiro mundial. Considerado o banco
central dos bancos centrais, entre outras atividades, o BIS divulga recomendações e
boas práticas para a indústria bancária.
Impacto – Refere-se à extensão dos danos que um evento pode causar ao negócio,
sejam eles de natureza reputacional, financeira e/ou comercial, entre outras. Exemplo de
grau de impacto: mínimo, baixo, médio, alto, máximo.
23
Indicador de Risco - Medida que fornece informações sobre o nível de risco das
atividades e a possibilidade de um impacto futuro, servindo como um alerta para um
evento potencial que possa afetar os objetivos do negócio. Os indicadores devem ser
monitorados regularmente como uma ferramenta de alerta sobre alterações que
indiquem um aumento ou redução do nível de risco.
Plano de ação - No âmbito do processo de gestão de riscos, o plano de ação representa
a adoção de um conjunto de medidas destinadas à correção de deficiências em controles
ou ao seu aprimoramento, e requer a definição de responsabilidades e de um
cronograma de implementação. Até a implantação do plano de ação, devem ser
adotados controles compensatórios que possibilitem a redução do grau de exposição a
riscos a níveis aceitáveis pela Instituição.
Ponderação do risco – Resultado da relação entre a possibilidade de ocorrência do
evento de risco com o impacto correspondente.
Risco inerente – Risco do negócio na ausência ou inadequação de controles internos
que poderiam reduzir a probabilidade do risco se materializar ou o seu impacto, caso se
concretize.
Risco residual – Parcela de risco remanescente após a adoção de controles destinados a
mitigar o risco inerente. Uma instituição pode assumir o risco residual quando concluir
que o custo do controle necessário para mitigar o risco suplanta o benefício
correspondente. Por outro lado, pode não aceitá-lo, adotando as medidas corretivas
necessárias para reduzir os riscos a níveis aceitáveis, transferi-lo ou até decidir pela
descontinuidade do produto ou serviço.
24
Documento elaborado pelos seguintes profissionais do mercado de capitais:
João Luiz Varga (Banco Votorantim)
Rinaldo Martins (Banco Votorantim)
Carlos Antonio Vergara Cammas (Banco Santander)
Marcelo Agostini (HSBC)
Fabio Rodrigues Franco do Amaral (Duna Asset)
Renata Simões de Souza Yamada (Banco Bradesco BBI)
Alessandra Visiolli Konda (Banco J.P. Morgan)
Este documento reflete as opiniões dos autores e não necessariamente das Instituições às quais eles estão
vinculados e/ou ANBID.
Este material tem caráter meramente informativo e não deve ser utilizado como ferramenta isolada no
processo de gerenciamento do risco operacional.