Política de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015

Transcrição

1 Política de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015

2 1. OBJETIVO Esta política tem como objetivo estabelecer as diretrizes necessárias para o adequado gerenciamento dos riscos operacionais existentes nas empresas do conglomerado financeiro do Banco Opportunity S.A., que engloba a Opportunity DTVM Ltda. Sendo assim, esta política evidencia a Estrutura de Gerenciamento de Riscos Operacionais das empresas do conglomerado, estabelecendo (a) a estrutura tecnológica e as ferramentas utilizadas, (b) as metas relacionadas, (c) a metodologia e os processos de gestão, (d) as informações geradas e (e) as funções e responsabilidades dos envolvidos. A Estrutura de Gerenciamento de Riscos Operacionais deve controlar e monitorar os riscos operacionais inerentes ao negócio, buscando minimizá-los com o objetivo de proteger o patrimônio da instituição e, consequentemente, o patrimônio de seus sócios e clientes. 2. DEFINIÇÃO DE RISCO OPERACIONAL Conforme estabelecido no Art. 2º da Resolução 3.380, define-se como risco operacional a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Internamente, classificamos os riscos operacionais em três grandes áreas: a) Risco Organizacional - está relacionado com uma organização ineficiente e pode ser evidenciado pelos seguintes riscos: (1) administração inconsistente e sem objetivos de longo prazo bem definidos, (2) fluxos de informações internos/externos deficientes, (3) responsabilidades não ou mal atribuídas, (4) fraudes, (5) acesso à informações internas por pessoas indevidas, dentre outras. b) Risco de Operações - está relacionado com problemas com a integridade das operações e pode ser evidenciado pelos seguintes riscos: (1) overloads de sistemas (telefonia, elétrico, computacional, etc.), (2) processamento e armazenamento de dados passíveis de fraudes e erros, (3) confirmações incorretas ou sem verificação criteriosa, dentre outros. c) Risco Humano - está relacionado ao material humano e pode ser evidenciado pelos seguintes riscos: inconsistências geradas por empregados (1) não-qualificados, (2) pouco motivados, (3) sem comprometimento, dentre outros. 3. ATUALIZAÇÃO E APROVAÇÃO DA POLÍTICA Esta Política deverá ser atualizada e aprovada, pelo menos, anualmente pelo pelo Diretor de Riscos Operacionais do Banco Opportunity. Sempre que esta Política for atualizada, também deverão ser atualizadas, imediatamente, as versões que se encontram disponibilizadas na intranet e no site do Banco Opportunity. 4. ESTRUTURA DE GERENCIAMENTO DE RISCOS OPERACIONAIS A estrutura de gestão de riscos operacionais formalizada na Política de Gerenciamento de Risco Operacional está devidamente capacitada para identificar, avaliar, monitorar, controlar e mitigar os riscos associados às empresas do conglomerado financeiro. A responsabilidade pela adequação e monitoramento da referida estrutura está a cargo da área de Risco Operacional, que atua de forma independente das áreas operacionais. O cumprimento das diretrizes estabelecidas na Política em questão é assegurado pela atuação direta da área de Risco Operacional junto aos demais componentes da estrutura interna das empresas do conglomerado financeiro. Março/2015 Para uso exclusivo dos funcionários do Opportunity 2

3 Na montagem da estrutura de gerenciamento do Risco Operacional foi utilizado o framework COSO Committee of Sponsoring Organizations. A área de Risco Operacional é uma unidade organizacional independente, segregada da Auditoria Interna e subordinada a um Diretor Estatutário da instituição. Estrutura Tecnológica A estrutura de Risco Operacional do Conglomerado Financeiro do Banco Opportunity conta com sistema interno de registro e acompanhamento de eventos de risco operacional. 4.1 Metas A implantação da Estrutura de Gerenciamento do Risco Operacional tem como objetivo assegurar o cumprimento, pelo menos, das metas descritas abaixo: Identificar e monitorar os principais riscos operacionais envolvidos nos processos das empresas do conglomerado financeiro; Melhorar a eficiência dos processos e controles internos; Possuir uma Estrutura de Risco Operacional detalhada, cuja eficiência seja devidamente aprovada pelos órgãos reguladores; Possuir uma cultura de preocupação com os riscos extremamente difundida em todos os níveis hierárquicos dentro das empresas do conglomerado financeiro; Apresentar base histórica de erros operacionais com processos, procedimentos e documentos padronizados; Para cada risco identificado, possuir pelo menos um controle mapeado e implementado; Para cada risco identificado, possuir respectiva avaliação (classificação do risco); Definição de periodicidade máxima para avaliação dos riscos e controles existentes. 4.2 Fases da Gestão de Risco Operacional a) Mapeamento de Processos, Riscos e Controles Levantamento de Informações: - Entrevistas com os gestores dos processos operacionais; - Entrevistas com os funcionários diretamente ligados às rotinas operacionais; - Entrevistas com os gestores das áreas de controle (Auditoria Interna, Compliance, PDLD, Risco de Mercado e Risco de Crédito). Mapeamento dos processos: Março/2015 Para uso exclusivo dos funcionários do Opportunity 3

4 - Descrição detalhada dos processos; - Elaboração de Fluxos Operacionais; - Definição de Macro-Processos, Processos e Sub-Processos. Identificação e mapeamento dos riscos e controles: - Descrição detalhada dos riscos e controles; - Evidenciação dos riscos e controles nos Fluxos Operacionais; - Definição de periodicidade máxima para avaliação dos riscos e controles. Discussão dos processos, riscos e controles mapeados com os gestores responsáveis. Inclusão dos dados nas matrizes de Risco Operacional. b) Matriz de Riscos e Controles As Matrizes de Riscos e Controles foram construídas a partir das características e peculiaridades das empresas do conglomerado financeiro. A estrutura das matrizes foi projetada para visualizar as informações consolidadas de acordo com as necessidades existentes no conglomerado, dentre as quais citamos: Tipos de riscos existentes; Graus de impacto nos negócios; Probabilidade de ocorrência dos riscos; Tipos de controles existentes; Responsáveis pela execução dos controles; Graus de eficiência/eficácia dos controles; Formas e freqüências de execução dos controles; Grau de exposição ao risco. Março/2015 Para uso exclusivo dos funcionários do Opportunity 4

5 c) Validação dos Controles Os controles descritos na Matriz de Controle são validados periodicamente pelos gestores das áreas operacionais. Tal validação é solicitada pela área de Risco Operacional que, com base numa avaliação interna, estabelece a periodicidade máxima para que cada controle seja reavaliado. Todo o processo de validação dos controles é feito sistemicamente, cujo fluxo de aprovações é pré-configurado dentro do sistema de Risco Operacional. d) Identificação e Registro das Ocorrências As ocorrências identificadas em qualquer nível hierárquico das empresas do conglomerado financeiro são registradas no sistema interno de Risco Operacional pela área de Risco Operacional. A Alta Administração aplica os esforços necessários para difundir a Política de Gerenciamento de Risco Operacional, inclusive com sua publicação na intranet da Instituição, de modo que exista o adequado comprometimento de todos os funcionários das empresas do conglomerado. Os processos de identificação, registro e tratamento das ocorrências são estruturados com base em uma metodologia padronizada e são suportados por documentação específica dentro do sistema de Risco Operacional. Cabe ressaltar que os relatórios contendo as recomendações de auditorias internas/externas e de órgãos fiscalizadores (Banco Central, CVM, dentre outros) também são fontes de ocorrências registradas no sistema de Risco Operacional. e) Planos de Ação/Melhorias (se aplicáveis) Após a identificação e registro da ocorrência, a área de Risco Operacional busca avaliar a necessidade da elaboração de um plano de ação/melhoria para a respectiva ocorrência. Caso o plano seja necessário, o mesmo é registrado no sistema de Risco Operacional. Neste tipo de documento, estão contidas informações padronizadas, tais como: Data da ocorrência; Origem (área / processo / produto /órgão); Aspecto a ser melhorado (ponto / item / vulnerabilidade); Causa Principal; Nível de prioridade; Área responsável pela melhoria; Descrição do Plano de Ação; Existência de perda financeira; Data de implantação. A área de Risco Operacional deve gerenciar as datas estabelecidas para implantação, com cobranças aos responsáveis e ciência de seus superiores de acordo com pré-configuração definida dentro do sistema de Risco Operacional. Cabe ressaltar que são permitidas postergações de datas para conclusão do Plano de Ação/Melhorias, desde que acompanhadas de justificativas plausíveis dos gestores das áreas envolvidas. Março/2015 Para uso exclusivo dos funcionários do Opportunity 5

6 5. INFORMAÇÕES GERADAS Com o objetivo de prover a Alta Administração com as informações geradas pela Estrutura de Gerenciamento do Risco Operacional, a área de Risco Operacional emite, anualmente, o relatório de Risco Operacional consolidando o histórico de perdas registradas no período, bem como informando um resumo das ocorrências identificadas no período. 6. ATRIBUIÇÕES DOS ENVOLVIDOS 1 - Diretoria Divulgar e apoiar internamente a área de Risco Operacional como gestor dos riscos operacionais existentes nas empresas do conglomerado financeiro; Indicar Diretor responsável pelo gerenciamento do risco operacional e informar ao Bacen via registro no UNICAD; Divulgar na intranet do Banco Opportunity a Política de Gerenciamento de Risco Operacional e assegurar acesso ao referido documento a qualquer interessado; Analisar e aprovar os relatórios emitidos pela área de Risco Operacional. 2 - Área de Risco Operacional Participar na formulação e atualização da Política de Gerenciamento de Risco Operacional; Definir papéis e responsabilidades de cada área integrante da estrutura de gerenciamento de risco operacional; Mapear os processos operacionais, riscos e controles inerentes às empresas do conglomerado financeiro e registrá-los no sistema de Risco Operacional; Monitorar os processos operacionais, riscos e controles registrados no sistema de Risco Operacional com o objetivo de verificar a aplicabilidade dos mesmos; Desenvolver processos, procedimentos e ferramentas para a Gestão do Risco Operacional; Assegurar a integridade da documentação de todas as implementações que compõem a estrutura de risco operacional; Estabelecer critérios padronizados para o gerenciamento de riscos operacionais a partir da avaliação de medidas de probabilidade e impacto; Identificar e registrar as ocorrências no sistema de Risco Operacional, monitorando o prazo para implementação dos Planos de Ação/Melhorias gerados, se aplicáveis; Definir periodicidade máxima para a validação dos controles registrados no sistema de Risco Operacional; Participar efetivamente na disseminação da cultura de risco operacional em todos os níveis hierárquicos das empresas do conglomerado financeiro; Enviar anualmente para a Diretoria Estatutária da instituição relatório contendo resumo dos resultados obtidos com o gerenciamento do risco operacional das empresas do conglomerado financeiro. Março/2015 Para uso exclusivo dos funcionários do Opportunity 6

7 3 - Área de Compliance Assegurar que as determinações estabelecidas nos dispositivos legais e regulamentares estão registradas no sistema de Risco Operacional; Participar efetivamente na disseminação da cultura de risco operacional em todos os níveis hierárquicos das empresas do conglomerado financeiro; Informar à área de Risco Operacional os erros identificados pelos demais funcionários do conglomerado financeiro; Enviar os relatórios de Compliance à área de Risco Operacional com o objetivo de alimentar o sistema de Riscos Operacionais com novas ocorrências; Reportar-se diretamente ao Diretor-Presidente, a fim de garantir isenção e autonomia no exercício de suas atividades. 4 - Área de Auditoria Interna Assegurar (i) que os procedimentos realizados pela estrutura de risco operacional estão de acordo com a Política de Gerenciamento do Risco Operacional do conglomerado financeiro e (ii) que o risco operacional está sendo avaliado adequadamente; Verificar o nível de aderência das metodologias e procedimentos de avaliação, mensuração e gestão dos riscos operacionais; Atestar que existe um comprometimento adequado de todos os funcionários do conglomerado financeiro; Enviar os relatórios de Auditoria Interna à área de Risco Operacional com o objetivo de alimentar o sistema de Risco Operacional com novas ocorrências; Reportar-se diretamente ao Diretor-Presidente, a fim de garantir isenção e autonomia no exercício de suas atividades. 5 - Auditoria Independente Certificar que todos os procedimentos implementados estão enquadrados aos dispositivos legais e regulamentares; Enviar os relatórios emitidos à área de Risco Operacional com o objetivo de alimentar o sistema de Risco Operacional com novas ocorrências. 6 - Gestores das áreas operacionais Identificar e reportar os erros operacionais à área de Risco Operacional; Informar à área de Risco Operacional eventuais alterações dos processos relacionados à sua área, reavaliando a aplicabilidade dos riscos e controle existentes, bem como a necessidade de mapeamento de novos riscos e controles; Informar à área de Risco Operacional os erros identificados por seus funcionários diretos. 7 Diretor de Risco Operacional/Compliance Officer Aprovar e revisar periodicamente (no mínimo anualmente) a Estrutura de Gerenciamento do Risco Operacional e a Política de Gerenciamento de Risco Operacional; Março/2015 Para uso exclusivo dos funcionários do Opportunity 7

8 8 - Demais funcionários Identificar e reportar os erros operacionais aos respectivos gestores e/ou a área de Compliance/Risco Operacional. 5. DISPOSIÇÕES GERAIS 5.1 Aprovação da Política de Gerencimaneto de Risco Operacional Esta Política foi aprovada pelo Diretor de Risco Operacional. 5.2 Responsabilidades das Informações As políticas internas que versam sobre Gerenciamento de Risco Operacional são de responsabilidade de todos os colaboradores da instituição, independente do nível hierárquico. ******* Março/2015 Para uso exclusivo dos funcionários do Opportunity 8