ESTUDO SOBRE BOAS PRÁTICAS PARA

GERENCIAMENTO DO RISCO

OPERACIONAL NO MERCADO

BRASILEIRO DE CAPITAIS

Julho/2009

O presente estudo técnico analisa e conceitua o risco

operacional aplicável ao mercado de capitais

brasileiro, relaciona a regulamentação vigente no país

à época de sua elaboração e apresenta recomendações

técnicas para estruturação do gerenciamento deste

risco no País

2

I - Introdução

Fatores como a globalização, a maior complexidade das operações, inovações

tecnológicas, o uso de serviços terceirizados, aliados à crescente competitividade no

mercado financeiro e de capitais, têm aumentado a exposição das instituições a riscos

operacionais. Adicionalmente, as vultosas perdas sofridas por importantes Instituições

na última década, resultantes de fraudes, erros humanos e falhas técnicas, chamaram a

atenção dos órgãos supervisores e das próprias instituições para a importância e

necessidade de gerenciar e controlar o risco operacional.

Embora seja um dos riscos que mais impacto podem causar a uma instituição, a gestão

do risco operacional ganhou maior visibilidade nos últimos anos, com a publicação do

Novo Acordo de Capitais de Basiléia (Basiléia II) em 2004. Elemento essencial para um

sólido processo de gestão de riscos, hoje o risco operacional equipara-se, em

importância, aos riscos de crédito e de mercado.

Deficiências na identificação e no monitoramento das perdas operacionais, bem como o

tratamento inadequado de suas causas, tiveram como conseqüência prejuízos

substanciais às instituições, aos acionistas e à sociedade em geral. Com a publicação de

Basiléia II, os órgãos supervisores de diversos países reforçaram suas regras prudenciais

de alocação de capital, determinando às instituições a adoção de métodos de alocação

mais susceptíveis aos riscos, fundamentados, entre outros, no registro das perdas e suas

causas e em uma avaliação mais adequada e criteriosa da eficácia dos controles internos

adotados para reduzir os riscos. As novas exigências legais requerem das instituições,

portanto, um conhecimento mais aprofundado e uma atuação efetiva sobre os riscos, daí

a necessidade de manterem uma sólida estrutura de gestão e controle dos riscos

compatível com seu porte, natureza e complexidade dos negócios.

Uma estrutura de gestão inadequada possibilita a materialização de riscos operacionais

como fraudes, por exemplo, que podem causar danos irreparáveis à reputação de uma

instituição, levando à perda de confiança por parte do público e dos investidores e

comprometendo os objetivos do negócio. Por outro lado, além de promover a redução

de perdas operacionais e atender requisitos legais de alocação de capital, uma estrutura

de gestão alinhada ao apetite a risco tem demonstrado contribuir para o processo de

3

tomada de decisões e melhoria do desempenho, representando uma vantagem

competitiva para o negócio. Portanto, é de vital importância que a preocupação com a

gestão do risco operacional transcenda a questão regulatória, buscando benefícios para o

negócio como vantagem competitiva e maior transparência e favorecendo a governança

corporativa. Assim, um efetivo gerenciamento dos riscos operacionais deve possibilitar

às Instituições maximizar receitas, otimizar os custos e alocar capital de forma mais

eficiente, resultando em criação de valor para os stakeholders.

A eficácia do processo de gerenciamento do risco operacional depende do

comprometimento da alta administração e de todo o quadro de funcionários. Através da

disseminação da política de risco operacional, a alta administração define a

responsabilidade e o papel de cada colaborador no processo e reforça a cultura de

controle, demonstrando o compromisso da instituição com o interesse dos acionistas,

clientes e da sociedade em geral.

Tendo em vista a importância e o valor da gestão do risco operacional para o negócio e

da observância à regulamentação, o presente estudo foi elaborado por um grupo

formado por profissionais das áreas de risco e compliance de Instituições associadas à

ANBID visando à divulgação das boas práticas adotadas pelas instituições para o

gerenciamento e controle de seus riscos. Para efeito deste estudo, conceitua-se como

risco operacional o risco de perdas resultantes de falha ou inadequação de processos

internos, pessoas e sistemas ou eventos externos.

Uma estrutura adequada de gerenciamento do risco operacional deve estar

fundamentada na combinação de informações qualitativas e quantitativas. As primeiras

baseiam-se no mapeamento dos processos, na identificação, análise e monitoramento

dos riscos e controles e na adoção de ações mitigatórias. As informações quantitativas,

por sua vez, compreendem as bases de dados de perdas por riscos operacionais e os

cálculos para alocação de capital. O enfoque deste estudo está nos aspectos qualitativos

do sistema de gerenciamento do risco operacional, essenciais a qualquer instituição,

independentemente de seu porte e natureza das operações.

4

II – Melhores Práticas

Apresentamos a seguir às instituições em geral, entre elas bancos, administradores de

fundos, distribuidores, agentes autônomos e gestores independentes, uma relação de

boas práticas para gerenciamento dos riscos operacionais.

Essas práticas têm por objetivo criar uma sólida estrutura de controles no ambiente de

trabalho para dar segurança e transparência na forma de conduzir as atividades dentro

das instituições e minimizar os impactos causados por erros operacionais.

Cabe ressaltar que cada instituição, baseada nas recomendações deste documento, deve

implementar uma estrutura compatível com o seu negócio, abrangendo todas as áreas e

níveis hierárquicos. Os itens descritos adiante não são exaustivos, cabendo assim, a cada

instituição, definir e adotar outros procedimentos que julgar necessários e adequados.

1. Estrutura de Gestão

Um sólido gerenciamento do risco operacional deve estar fundamentado no

comprometimento da alta administração e de todos os funcionários da instituição, de

forma a assegurar que o processo seja priorizado diante das graves conseqüências que

essa matéria pode causar às instituições e ao mercado em geral.

É importante ressaltar que o risco operacional está presente em todas as etapas dos

processos realizados em uma instituição e provêm de falhas operacionais, daí a

necessidade de se manter atualizados os procedimentos existentes e seus respectivos

controles de avaliação e mitigação dos riscos.

A seguir, será apresentado um conjunto de boas práticas que podem trazer maior

eficiência e acurácia na gestão dos riscos operacionais:

Nomear um diretor que não desempenhe atividades relativas à administração de

recursos de terceiros, como responsável pela estrutura do gerenciamento do risco

operacional;

5

Criar estrutura capaz de identificar, avaliar, monitorar, controlar e mitigar os riscos

operacionais da instituição;

Manter registros das informações referentes às perdas associadas ao risco

operacional;

Estabelecer processos que permitam identificar e corrigir tempestivamente as

deficiências de controle e de gerenciamento do risco operacional;

Realizar testes de avaliação dos sistemas de controle de riscos operacionais, com

periodicidade mínima anual;

Formalizar estrutura e procedimentos em manuais de políticas internas e disseminar

a cultura de risco operacional a todos da instituição;

Prover treinamentos voltados a capacitar os funcionários em suas atividades;

Estabelecer os papéis e as responsabilidades dos funcionários e diretoria, inclusive

dos prestadores de serviços terceirizados relevantes;

Implantar plano de contingência que contemple as estratégias adotadas para

assegurar condições de continuidade das atividades e limitar graves perdas

decorrentes de riscos operacionais;

Implementar, manter e divulgar processo estruturado de comunicação e informação;

Criar fórum interno para tratar dos assuntos relacionados aos riscos operacionais e

registrar decisões através de comitês de risco operacional.

2. Metodologia de Avaliação de Risco

O gerenciamento do risco operacional está diretamente relacionado ao conhecimento

dos processos existentes. Todos os processos críticos devem ter seus riscos operacionais

identificados, avaliados, monitorados e, quando necessário, mitigados. Diante da

importância do assunto, uma adequada metodologia deverá abordar os seguintes

aspectos:

Os riscos e controles relativos às operações e atividades devem ser identificados,

avaliados e monitorados, garantindo um gerenciamento eficaz;

A cultura de risco e controle deve ser fortalecida através da divulgação de

políticas e de treinamento a todos os funcionários;

6

A metodologia deve permitir aos funcionários o adequado entendimento e o

monitoramento constante das informações relacionadas aos riscos operacionais e

controles internos.

O Novo Acordo de Capitais, em conjunto com legislações nacionais publicadas

posteriormente, propôs um modelo para o mapeamento e a alocação das perdas

operacionais em linhas de negócio. O modelo é composto de oito (8) linhas de negócio,

assim divididas com o objetivo de possibilitar às instituições mensurar a alocação de

capital de acordo com seus negócios e atividades:

1. Varejo

Inclui as operações classificadas da carteira de crédito correspondentes àquelas de

varejo de crédito imobiliário residencial.

2. Comercial

Inclui as operações classificadas da carteira de crédito não consideradas na linha de

negócio Varejo; e as operações com títulos e valores mobiliários não classificados na

carteira de negociação.

3. Finanças Corporativas

Inclui as operações relacionadas a fusões e aquisições; reestruturação financeira e

societária; subscrição de capital; privatizações; colocação pública ou privada de títulos

e valores mobiliários; securitização; emissão própria; financiamento de projetos de

longo prazo; serviços de pesquisa e assessoria; receita de serviços de empréstimos

sindicalizados; e consultoria em gestão de caixa.

4. Negociação e Vendas

Inclui operações relacionadas a captações e empréstimos internacionais; corretagens de

valores mobiliários não classificados na linha de negócio Corretagem de Varejo;

tesouraria internacional; participações societárias e outros investimentos; títulos e

valores mobiliários classificados na carteira de negociação; depósitos interfinanceiros;

e instrumentos financeiros derivativos.

7

5. Pagamentos e Liquidações

Inclui operações relacionadas à transferência de ativos; compensação e liquidação;

sistemas de pagamentos; folha salarial; recebimento de tributos; e cobrança.

6. Serviço de Agente Financeiro

Inclui operações relacionadas à custódia de títulos e valores mobiliários; serviços a

ligadas; e carta de crédito, fiança, aval e garantia.

7. Administração de Ativos

Inclui operações relacionadas à administração de recursos de terceiros

8. Corretagem de Varejo

Inclui operações relacionadas à corretagem de ações, de títulos e valores mobiliários e

de mercadorias.

No caso de administradores de carteira, a linha de negócio correspondente é,

exclusivamente, Administração de Ativos.

2.1. Risco

O processo de gerenciamento de riscos deve contemplar a identificação, análise e

categorização dos riscos operacionais presentes nos negócios e atividades. Sua

efetividade depende da participação e comprometimento dos gestores das áreas

envolvidas.

(a) Identificação

O processo de identificação deverá proporcionar aos responsáveis pelos levantamentos

dos riscos operacionais, esclarecimentos e transparência nos processos, bem como aos

gestores, as respectivas fragilidades envolvidas.

(i) Antes de qualquer levantamento, deve ser definido o escopo do projeto que

será desenvolvido, devendo ser levada em consideração a abrangência do

8

trabalho de risco operacional, ou seja, se todos os riscos serão analisados ou

somente aqueles de grande probabilidade/freqüência/potencialidade ou

severidade e/ou que tenham sido solicitados pela alta administração;

(ii) Para ser o mais completo possível, o processo de identificação dos riscos

operacionais requer a participação ativa da área envolvida no mapeamento de

suas atividades. Algumas técnicas podem contribuir para a eficácia desse

levantamento, entre as quais:

Entrevistas com os gestores e funcionários envolvidos nos processos,

das quais os responsáveis pelos levantamentos devem extrair todos os

riscos potenciais existentes. Por exemplo, atividades que podem

acarretar demandas trabalhistas ou cíveis; ações que podem propiciar

fraudes internas; erro não intencional na execução das atividades, etc;

Diagramação dos processos por meio de fluxograma, método que tem

se mostrado bastante eficiente no levantamento de riscos operacionais

potenciais.

(b) Classificação

É importante efetuar uma adequada descrição dos riscos detectados bem como detalhar

as possíveis causas e suas conseqüências, com o objetivo de dar transparência e

proporcionar um entendimento mais aprofundado do risco. Diante dessa necessidade,

Basiléia II recomenda categorizar os riscos com base em suas causas, divididas em oito

eventos de perdas:

Fraudes Internas: perdas ocasionadas por atos com intenção de

fraudar, apropriar-se indevidamente ou burlar regulamentos, leis ou as

políticas da empresa, que envolvam pelo menos uma parte interna,

excluindo diversidade/acontecimentos discriminatórios. ¹

9

Fraudes Externas: perdas ocasionadas por atos com intenção de

fraudar, apropriar-se indevidamente ou burlar leis, praticados por um

terceiro. ¹

Demandas trabalhistas e segurança deficiente do local de trabalho:

perdas decorrentes de atos inconsistentes com contratos ou leis

trabalhistas, saúde, segurança, pagamento de reclamações por lesões

corporais, ou de diversidade/eventos discriminatórios. ¹

Práticas inadequadas relativas a clientes, produtos e serviços: perdas

decorrentes de uma falha não-intencional ou negligente para cumprir

uma obrigação profissional com clientes específicos (incluindo

exigências fiduciárias e de adequação ao perfil do cliente), ou da

natureza ou desenho de um produto. ¹

Danos a ativos físicos próprios ou em uso pela instituição: prejuízos

decorrentes de perdas ou danos aos ativos físicos ocasionados por

desastres naturais ou outros acontecimentos. ¹

Falhas em sistemas de tecnologia da informação: perdas decorrentes

de falhas em sistema. ¹

Falhas na execução, cumprimento de prazos e gerenciamento das

atividades na instituição: perdas decorrentes na administração de

processos ou processamento de transação com problemas, relações

com contrapartes comerciais e fornecedores. ¹

Interrupção das atividades da instituição: perdas decorrentes de

ruptura nos negócios. ¹1

1 BIS – Bank for International Settlements – Tradução livre

10

(c) Avaliação

Uma vez identificados, os riscos operacionais devem passar por uma criteriosa

avaliação que assegure que todos os processos, atividades e sistemas estejam adequados

aos objetivos do negócio. Essa etapa contempla a análise da possibilidade de ocorrência

do risco e o impacto nos negócios caso o risco se materialize, sempre levando em

consideração a efetividade dos controles internos existentes.

O resultado dessa avaliação deve propiciar aos gestores análises da viabilidade de

alternativas para limitação do risco e/ou estratégias de controle para mitigá-lo, além de

fornecer dados à alta administração para tomada de decisão.

O resultado das avaliações deverá demonstrar o grau de exposição a riscos à alta

administração caso se materializem, devendo abranger não apenas os riscos que

representam perdas financeiras diretas, como também aqueles não passíveis de

mensuração financeira. A exposição final deverá ser calculada de acordo com critérios

pré-estabelecidos e com o apetite a risco de cada instituição. Exemplo: os riscos podem

ser classificados em exposições baixas, médias e altas.

2.2. Controle

Como definição, controles internos são ações, atividades e procedimentos que

asseguram o atingimento dos objetivos, de maneira correta e tempestiva, com uma

utilização de recursos eficientes. Políticas e procedimentos de controle necessitam ser

estabelecidos e executados para ajudar a garantir que as ações identificadas pela

gerência, necessárias para mitigar os riscos da instituição, estão sendo efetivamente

cumpridas.

Conceitualmente, podemos categorizar os controles internos:

(a) Por sua natureza de identificação:

- Preventivo: com a função de evitar que o risco se materialize;

- Detectivo: com a função de identificar eventos de falha ou erro.

11

(b) Pelo modo de processamento:

- Automatizado: processado por sistema informatizado;

- Não automatizado: processado manualmente ou por planilhas.

(c) Por sua periodicidade ou freqüência: as periodicidades mais usuais são:

- Anual – como exemplo, podemos citar a execução de teste de contingência;

- Semestral – por exemplo, a recertificação de acessos aos sistemas informatizados;

- Mensal – como a aprovação dos resultados no mês;

- Diária - podendo ser uma vez ou muitas vezes ao dia. Como exemplo, citamos a

reconciliação das contas contábeis e confirmação dos negócios com a contraparte;

- Eventual ou sob demanda – por exemplo, aprovação de relatórios de despesas de

viagem.

Vale enfatizar que os exemplos citados neste documento são apenas ilustrativos,

cabendo a cada instituição adotar o modelo que julgar necessário.

Todo controle deve obedecer a uma adequada documentação e segregação de funções,

permitindo que sejam evidenciados e testados de forma independente.

Os controles são ferramentas extensamente utilizadas na mitigação de riscos. Sua

avaliação pode ser realizada na forma de auto-avaliação ou revisão independente. É

fundamental que tenha a participação do gestor e dos colaboradores responsáveis pela

execução do controle para que a avaliação quanto à sua efetividade possa ser o mais

fidedigna possível.

Nessa etapa, é importante que a instituição possua o completo mapeamento das áreas de

suporte e de negócios, bem como de seus riscos potenciais/inerentes, para que possa

iniciar a identificação dos controles que os mitigam, e então, concluir sobre a existência

de riscos residuais.

Por definição, o risco residual segue a seguinte equação:

RISCO POTENCIAL/INERENTE – CONTROLE = RISCO RESIDUAL

12

Ou seja, uma vez identificados os controles que visam mitigar o risco inerente, é

possível que a instituição ainda esteja exposta aos riscos residuais. Isso porque um

controle interno, uma vez implementado e plenamente efetivo, ainda assim não garante

ou não elimina a possibilidade de que o risco se materialize. Portanto, é importante

estabelecer uma revisão/avaliação periódica dos controles internos existentes, cabendo a

cada instituição definir a melhor periodicidade.

Ainda sobre o risco residual, é recomendável que a instituição defina uma estratégia

para tratá-lo. Geralmente, a estratégia para o risco residual pauta-se na relação custo-

benefício quando da decisão de implementação de um controle interno. É comum que as

instituições adotam as seguintes estratégias:

- Reduzir: como plano de ação, controles internos adicionais são implementados no

intuito de reduzir a níveis aceitáveis pela instituição o impacto e/ou a possibilidade

da materialização do risco residual. Como exemplo, podemos citar controles como

limite de alçadas de aprovação, procedimento de feito/conferido, entre outros;

- Transferir: mesmo com seus controles internos plenamente efetivos, a instituição

ainda está exposta a eventos que não tem como controlar/evitar. Como exemplo,

cabe citar as catástrofes naturais ou não, como enchentes, vendavais/furacões,

incêndios, entre outras. Nesse caso, geralmente as empresas buscam a contratação de

seguros como artifício de mitigação do impacto de eventos dessa natureza;

- Aceitar: considerando os controles internos operantes, a instituição está exposta a

um risco residual aceitável por seus administradores. Nesse cenário, usualmente o

impacto e/ou a possibilidade do risco residual não justificam a implementação de um

novo controle, isto é, um plano de ação, para mitigá-lo (relação custo vs. benefício).

13

2.3. Evento

Conforme citado anteriormente, Basiléia II recomenda registrar as ocorrências de risco

operacional de acordo com os eventos que as geraram. Para isso a instituição deve

manter uma estrutura adequada que possibilite a captura, identificação, registro,

avaliação e categorização dos eventos de perda associadas aos riscos operacionais.

(a) Banco de Dados - Histórico de Eventos

A criação de um banco de dados centralizado consolidando todos os eventos associados

aos riscos e perdas operacionais, permite a padronização das informações e

consequentemente uma análise adequada dentro de critérios uniformizados. Além disso,

o banco de dados pode propiciar uma análise histórica dos eventos permitindo conhecer

tendências e os riscos materializados de maior frequência ou severidade, gerando

diferentes cenários que podem ser utilizados na gestão estratégica do risco operacional

das Instituições.

(b) Captura, identificação e registro

Nas situações em que a perda operacional é claramente identificada através do adequado

registro contábil, controles devem ser implementados de forma que a totalidade dos

eventos com impacto financeiro seja registrada.

Contudo, notadamente existem ocorrências que não são automaticamente identificadas

como perdas, sem a apropriada intervenção do gestor/usuário, e ocorrências em que o

evento não gera uma perda operacional. Além disso, existem eventos de quase perda.

Nesse caso o erro ocorre, existe uma falha na estrutura de controles, mas a perda é

evitada.

Podemos citar ainda situações de perda potencial, nas quais o evento acontece, mas não

há necessariamente uma perda. E em muitas situações, se a perda ocorrer, dificilmente

ela poderá ser relacionada ao evento primário.

14

Finalmente, cabe destacar que as perdas podem ser recuperadas e seus eventos também

devem ser registrados.

Os seguintes exemplos podem ser utilizados para ilustrar as definições acima:

b1) Eventos que geram perda claramente identificada através de registro contábil

Roubo de numerário;

Fraude nos sistemas de Internet Banking;

Clonagem de cartão;

Divulgação incorreta de cotas (a maior) em fundos massificados

(problema pode ser identificado no dia seguinte gerando prejuízo aos

cotistas que não resgataram no dia anterior);

Especificação incorreta na compra de ações em Corretora (cliente solicita

compra de determinado papel e trader opera de forma diferente; quando

a transação é desfeita, a Corretora deve contabilizar o prejuízo).

Nessas situações o valor perdido é claramente demonstrado e tem a sua

contabilização efetuada. Assim, é possível identificar tais contas contábeis e, sempre

que um novo registro for contabilizado, o evento poderá ser mapeado.

b2) Eventos em que a perda não é identificada se não houver intervenção do gestor/

usuário ou eventos sem perda

Operação cujo erro operacional faz com que a receita gerada seja menor;

Envio de extrato incorreto ao cliente;

Atraso na execução de transferência financeira;

Pedido de reserva para participar em oferta pública de valores mobiliários

solicitado pelo cliente, porém corretora não cadastra o pedido. Se o preço do

papel cair, cliente pode comprar mais barato sem prejuízo às partes.

Neste caso, o gestor/usuário deve fazer o registro do fato.

15

b3) Eventos de Quase Perda

Tentativa de Roubo de numerário impedida pela polícia ou pela segurança

interna;

Tentativa de fraude no internet banking bloqueada pelos sistemas de

segurança;

Cartão clonado que é bloqueado na primeira tentativa de utilização;

Erro em operação de aluguel de ações, em que o trader passa instrução

indevida, mas o evento é identificado quando da conferência com a outra

corretora;

Divulgação de cota incorreta de fundo restrito, onde o erro é verificado no

mesmo dia e ajustado.

Nas situações acima o evento ocorre, mas os controles são suficientemente robustos

para evitar a perda.

b4) Eventos de Perda Potencial

Um exemplo é o roubo de malote com documentações de diversos clientes.

Podemos ter diversas ocorrências, como por exemplo:

O material pode ser descartado pelos infratores e nenhuma conta

será fraudada;

Todas as contas podem ser fraudadas;

Apenas algumas podem ser fraudadas e em tempos

indeterminados.

Ou seja, nesse caso o evento gera uma perda potencial que pode ocorrer a qualquer

momento ou não.

Enfim, é importante citar que as perdas registradas contabilmente não representam

por si só o resultado total do ambiente de controles das Instituições. Outros eventos

de perda, quase perdas e perdas potenciais completam a fotografia da qualidade do

ambiente de controles internos. Quanto mais hábil for a instituição em capturar

todos estes eventos, melhor será a identificação e avaliação dos riscos operacionais e

o aprimoramento de seus processos.

16

A melhor forma de aprimorar a captura desses outros eventos é através da

apropriada disseminação da cultura e treinamento aos funcionários conforme detalha

este documento em tópico posterior.

(c) Avaliação, categorização, identificação das causas e planos de ação

Após a captura e o registro dos eventos de perdas relevantes, estes devem ser

submetidos a análises periódicas de forma a acompanhar a implementação de ações

corretivas e de ações preventivas, quando necessário. O apropriado

acompanhamento dessas ações proporcionará automaticamente a melhoria contínua

do ambiente de controles internos.

(d) Indicadores de Risco Operacional

Indicadores de risco operacional completam a função exercida pelo registro de

eventos para o aprimoramento contínuo do ambiente de controles internos. A

diferença é que os eventos registrados nos trazem a fotografia do passado para

aprimorarmos o modelo. Já os indicadores de risco operacional têm o papel de

sinalizar tendências e potenciais incrementos de risco.

Cada Instituição pode definir alguns indicadores críticos de acordo com seus

processos e estabelecer limites para os mesmos. Sempre que algum limite for

excedido, é recomendável ter alguma ação em curso para que o indicador retorne

aos níveis normais.

É importante salientar que não necessariamente é preciso ter muitos indicadores.

Apenas os críticos devem ser definidos e eles precisam representar efetivamente

uma variável que esteja relacionada à possibilidade de incremento de risco e perda

operacional. Quanto maior o nível de automação do processo de coleta e medição,

maior a acurácia dos dados.

17

3. Avaliação anual do sistema de gestão

A diretoria responsável pela estrutura de gerenciamento de risco operacional deve

revisar o modelo de gestão e controle dos riscos operacionais, no mínimo anualmente,

visando identificar a evolução e o aperfeiçoamento do modelo implementado.

Os resultados obtidos nessa avaliação devem ser consolidados em relatório,

preferencialmente destinado à Alta Administração, apresentando os resultados a seguir:

Eventuais deficiências identificadas, bem como as medidas adotadas para

oportuna correção;

Principais realizações e projetos voltados ao fortalecimento e melhoria do

modelo de gestão.

O relatório deverá permitir à alta administração concluir sobre a eficácia do modelo

implementado para o adequado gerenciamento e controle dos riscos operacionais a

que a instituição está exposta.

4. Informações ao público

Segundo o “Código das Melhores Práticas de Governança Corporativa”, publicado

pelo Instituto Brasileiro de Governança Corporativa (IBGC), a transparência é um

dos princípios básicos que norteiam a construção de uma estrutura efetiva de

governança, uma vez que a gestão transparente de informações contribui para criar

uma estrutura e um fluxo de informações confiáveis.

Ser transparente é um dos facilitadores na obtenção de fontes de capital. Empresas

que buscam seus recursos no mercado de capitais tornam-se mais atrativas quanto

mais confiáveis forem, mostrando-se sólidas, atraindo acionistas e assim, maiores

investimentos.

18

Com o intuito de reforçar a transparência da gestão e controle dos riscos

operacionais é importante divulgar em relatórios de acesso ao público, as principais

deliberações adotadas quanto à gestão e controle dos riscos operacionais.

As informações apresentadas ao público devem incluir a estrutura para o

gerenciamento e controle dos riscos operacionais, ferramentas, políticas e diretrizes

utilizadas.

5. Treinamento

O treinamento continuado é um fator preponderante para a eficácia do sistema de

gestão de risco operacional. Condição necessária à formação e aperfeiçoamento

profissional, favorece o desenvolvimento das competências necessárias ao

desempenho das atribuições em conformidade com os objetivos da Instituição,

contribuindo para resguardar o cumprimento das normas e regulamentos, para o

fortalecimento da cultura de controle e, conseqüentemente, para a melhoria contínua

do sistema de gestão de riscos.

A Instituição deve identificar as necessidades de treinamento para assegurar que as

atividades sejam conduzidas por um quadro de funcionários qualificado.

6. Atuação do Compliance

A atuação de compliance em parceria com a estrutura de gestão dos riscos

operacionais fortalece o gerenciamento, controle, prevenção e mitigação dos riscos

e perdas operacionais e reputacionais relacionados ao cumprimento das normas

vigentes.

A gestão qualitativa de riscos operacionais é um subsídio à função de compliance

para avaliar a aderência dos processos e dos controles internos às políticas,

diretrizes e regulamentos aplicáveis.

19

7. Atuação da Auditoria Interna

É recomendável que a auditoria interna revise de forma independente a estrutura para

gestão e controle do risco operacional, avaliando a efetividade de todos os mecanismos

de gestão utilizados pela instituição. Essa revisão deve fazer parte do plano da auditoria

interna.

Adicionalmente, é recomendável que os relatórios de auditoria, interna ou externa, ou

de órgãos reguladores/fiscalizadores sejam utilizados e acompanhados também pela

área gestora do risco operacional da instituição.

8. Plano de Contingência

Para complementar uma adequada gestão de riscos operacionais, é fundamental que a

instituição estabeleça e implemente um Plano de Continuidade de Negócios (PCN), com

o objetivo de minimizar impactos de qualquer evento que possa colocar em perigo a

continuidade das operações e que seja capaz de avaliar, identificar e priorizar o impacto

de interrupções em seus processos, estabelecendo um critério de aceitação de risco.

Para a efetividade de um PCN, é imprescindível que a instituição assegure-se de que

seus fornecedores relevantes tenham condições de continuar a prover seus

produtos/serviços, bem como de se recuperar, em caso de crise ou interrupção causada

por motivos diversos.

É recomendável também que no PCN esteja previsto a realização de teste periódico de

modo a garantir a efetividade do plano.

A implantação de procedimentos dessa natureza contribui para a continuidade dos

negócios e do atendimento aos clientes.

20

III – Conclusão

Conhecer os riscos operacionais, tanto os efetivamente ocorridos como aqueles

possíveis de acontecer, mensurar seu impacto financeiro e possibilidade de ocorrência,

desenvolver ações para sua mitigação e fazer sua adequada gestão, proporcionam às

instituições mais segurança para que não ocorram eventos inesperados que possam

interromper seus negócios e afetar seus resultados.

Um sistema de gestão dos riscos operacionais contribui para o fortalecimento dos

controles internos da Instituição e, consequentemente, aprimora sua Governança

Corporativa, proporcionando aos acionistas, investidores, reguladores, governo e à

sociedade em geral, maior transparência, melhores informações e segurança sobre a

continuidade da empresa.

IV – Legislação

ANEXO I

Legislação vigente – Banco Central (glossário)

Comunicado nº 12.746, 09 de dezembro de 2004 - Comunica os

procedimentos e cronograma para a implementação da nova estrutura de capital -

Basiléia II.

Resolução nº 3.380, 29 de junho de 2006 - Dispõe sobre a implementação de

estrutura de gerenciamento do risco operacional:

Exige a implementação de estrutura de gerenciamento do risco

operacional

Define o conceito de risco operacional

Define a classificação das perdas de riscos operacionais

21

Define e estrutura de gerenciamento de riscos operacionais e o

cronograma de implementação

Resolução nº 3.444, 28 de fevereiro de 2007 - Definição e apuração do

Patrimônio de Referência para fins da verificação do cumprimento dos limites

operacionais das instituições financeiras.

Circular nº 3.343, 1º de março de 2007 - Dispõe sobre os procedimentos a

serem adotados na solicitação para que instrumentos de captação integrem o

Nível I e o Nível II do Patrimônio de Referência (PR), de que trata a Resolução

nº 3.444

Carta-Circular nº 3.269, 13 de março de 2007 - Cria rubricas no Cosif para

registro de informações sobre o cálculo do Patrimônio de Referência (PR), de

que trata a Resolução nº 3.444, de 2007.

Resolução nº 3.490, 29 de agosto de 2007 - Dispõe sobre a apuração do

Patrimônio de Referência Exigido (PRE) que inclui o POPR (parcela referente

ao risco operacional). O PRE tem a finalidade de dar ferramentas ao Banco

Central para verificar o cumprimento dos limites operacionais das instituições

financeiras.

Comunicado nº 16.137, 27 de setembro de 2007 – Atualiza o cronograma

definido no Comunicado 12.746 (09/12/04).

Circular nº 3.383, 30 de abril de 2008 - Estabelece os procedimentos para o

cálculo da parcela do Patrimônio de Referência Exigido (PRE) referente ao risco

operacional (POPR), de que trata a Resolução nº 3.490, de 2007. Define

indicadores de apuração e as linhas de negócio –e sua composição- a serem

utilizadas em sua apuração.

Carta-Circular nº 3.316, 30 de abril de 2008 - Detalha a composição do

Indicador de Exposição ao Risco Operacional (IE), índice citado na Circular

3.383 (30/04/08) como um dos fatores a serem utilizados para o cálculo do

22

POPR (parcela referente ao risco operacional) que integra o PRE (Patrimônio de

Referência Exigido) definido na Resolução 3.490 (29/08/07).

Carta-Circular nº 3.315, 30 de abril de 2008 - Esclarece sobre os

procedimentos para o cálculo da parcela do Patrimônio de Referência Exigido

(PRE) referente ao risco operacional (POPR), de que trata a Circular nº 3.383, de

2008.

ANEXO II

GLOSSÁRIO

Basiléia II – O documento “Convergência Internacional de Mensuração de Capital e

Padrões de Capital – Novo Acordo de Capitais de Basiléia” (International

Convergence of Capital Measurement and Capital Standards: a Revised Framework),

conhecido como Novo Acordo de Capitais de Basiléia ou Basiléia II, é um compêndio

de boas práticas para gestão de riscos e alocação de capital, publicado em junho de

2004. Suas recomendações estão fundamentadas em três pilares: Pilar I – Alocação de

Capital; Pilar II – Supervisão Bancária; Pilar III – Transparência. Documento disponível

no site do Bank for International Settlements: http://www.bis.org.

BIS (Bank for International Settlements) - O Banco de Compensações Internacionais é

uma organização com sede na cidade de Basiléia, Suíça, responsável por promover a

cooperação entre os bancos centrais e órgãos reguladores de diversos países com o

objetivo de manter a estabilidade do sistema financeiro mundial. Considerado o banco

central dos bancos centrais, entre outras atividades, o BIS divulga recomendações e

boas práticas para a indústria bancária.

Impacto – Refere-se à extensão dos danos que um evento pode causar ao negócio,

sejam eles de natureza reputacional, financeira e/ou comercial, entre outras. Exemplo de

grau de impacto: mínimo, baixo, médio, alto, máximo.

23

Indicador de Risco - Medida que fornece informações sobre o nível de risco das

atividades e a possibilidade de um impacto futuro, servindo como um alerta para um

evento potencial que possa afetar os objetivos do negócio. Os indicadores devem ser

monitorados regularmente como uma ferramenta de alerta sobre alterações que

indiquem um aumento ou redução do nível de risco.

Plano de ação - No âmbito do processo de gestão de riscos, o plano de ação representa

a adoção de um conjunto de medidas destinadas à correção de deficiências em controles

ou ao seu aprimoramento, e requer a definição de responsabilidades e de um

cronograma de implementação. Até a implantação do plano de ação, devem ser

adotados controles compensatórios que possibilitem a redução do grau de exposição a

riscos a níveis aceitáveis pela Instituição.

Ponderação do risco – Resultado da relação entre a possibilidade de ocorrência do

evento de risco com o impacto correspondente.

Risco inerente – Risco do negócio na ausência ou inadequação de controles internos

que poderiam reduzir a probabilidade do risco se materializar ou o seu impacto, caso se

concretize.

Risco residual – Parcela de risco remanescente após a adoção de controles destinados a

mitigar o risco inerente. Uma instituição pode assumir o risco residual quando concluir

que o custo do controle necessário para mitigar o risco suplanta o benefício

correspondente. Por outro lado, pode não aceitá-lo, adotando as medidas corretivas

necessárias para reduzir os riscos a níveis aceitáveis, transferi-lo ou até decidir pela

descontinuidade do produto ou serviço.

24

Documento elaborado pelos seguintes profissionais do mercado de capitais:

João Luiz Varga (Banco Votorantim)

Rinaldo Martins (Banco Votorantim)

Carlos Antonio Vergara Cammas (Banco Santander)

Marcelo Agostini (HSBC)

Fabio Rodrigues Franco do Amaral (Duna Asset)

Renata Simões de Souza Yamada (Banco Bradesco BBI)

Alessandra Visiolli Konda (Banco J.P. Morgan)

Este documento reflete as opiniões dos autores e não necessariamente das Instituições às quais eles estão

vinculados e/ou ANBID.

Este material tem caráter meramente informativo e não deve ser utilizado como ferramenta isolada no

processo de gerenciamento do risco operacional.