Investidores

Gestão de Riscos

Risco Operacional

POLÍTICA DE GERENCIAMENTO DO RISCO OPERACIONAL


1.1. INTRODUÇÃO

A Política de Gerenciamento do Risco Operacional é o conjunto de diretrizes emanadas da Alta Administração do BANDES para orientar as ações de todas as unidades em suas atividades diárias, no que diz respeito aos processos de identificação, avaliação e mitigação do risco operacional, definindo responsabilidades e ações.

O objetivo fundamental do gerenciamento do risco operacional é o de tornar o BANDES mais seguro e rentável, através de ações preventivas e de monitoramento das possíveis perdas e falhas nos processos organizacionais, decorrentes de fatores internos ou externos, os quais poderão impactar negativamente o cumprimento da Missão e das Metas estabelecidas para a organização, possibilitando a adoção das medidas mitigadoras em tempo hábil.

1.2. CONCEITOS E DEFINIÇÕES

1.2.1. RISCOS OPERACIONAIS

Para os fins desta política, define-se como risco operacional a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. No intuito de definir uma linguagem comum de riscos e dos conceitos associados, o BANDES disponibiliza na Intranet um Dicionário de Riscos, contemplando os tipos de eventos de riscos operacionais e suas respectivas definições, sendo de responsabilidade da Gerência de Riscos e Controles Internos a sua elaboração e atualização.

1.3. PAPÉIS E RESPONSABILIDADES

Para fins desta política, ficam definidas a seguir as atribuições das unidades, comitês e colaboradores, sem prejuízo das demais, descritas no Âmbito 2 – Manual de Organização e Âmbito 6 – Administração por Comitês do Código BANDES de Compliance:

1.3.1. DE TODOS OS COLABORADORES:

  • conhecer, manter-se atualizado e estar em conformidade com as normas, procedimentos e demais regulamentos internos e externos inerentes às atividades desenvolvidas;
  • executar corretamente os controles inerentes às suas atividades;
  • comunicar prontamente ao gestor de sua unidade, as eventuais deficiências dos controles executados;
  • gerar e transmitir prontamente ao gestor de sua unidade, informações que explicitem situações de exposição aos riscos operacionais, bem como as perdas decorrentes destes riscos;


  • 1.3.2. DA GERÊNCIA DE RISCOS E CONTROLES INTERNOS:

  • apoiar as unidades organizacionais no que diz respeito à identificação, avaliação, monitoramento, controle e mitigação dos riscos operacionais, orientando-as quanto à adoção das boas práticas de gestão de riscos e controles internos;
  • avaliar e atuar proativamente nas situações que exponham o BANDES a riscos;
  • coordenar o processo de autoavaliação dos riscos e controles internos;
  • realizar o acompanhamento dos planos de ação para saneamento das deficiências de controles identificadas;
  • manter arquivadas as informações sobre os riscos identificados e as medidas adotadas, disponibilizando-as às partes interessadas sempre que necessário;
  • avaliar e propor à DIREX e ao CONAD, com periodicidade mínima anual, a revisão da política e estrutura de risco operacional;
  • reportar ao Comitê de Controles Internos e Riscos - COCIR os riscos identificados e as propostas de planos de ação para mitigação dos mesmos, elaborados junto às áreas responsáveis;
  • efetuar a análise dos registros de perda decorrentes de risco operacional;
  • elaborar e disponibilizar na intranet o dicionário de riscos operacionais do BANDES;


  • 1.3.3. DA AUDITORIA INTERNA:

  • proceder a verificação da aderência dos processos executados pelas áreas aos normativos internos e externos;
  • recomendar a adoção de medidas preventivas ou de saneamento das deficiências identificadas nos trabalhos de auditoria;
  • proceder periodicamente a certificação da implementação das medidas saneadoras das deficiências de controle, conforme planos de ação elaborados pelas áreas;
  • realizar, com periodicidade mínima anual, a avaliação dos sistemas de controles de riscos operacionais implementados;


  • 1.3.4. DO COMITÊ DE CONTROLES INTERNOS E RISCOS:

  • apreciar as propostas de planos de ação para mitigação dos riscos identificados;
  • recomendar à Diretoria Executiva - DIREX as ações necessárias à mitigação dos riscos identificados, bem como a sua priorização;
  • monitorar a implementação das medidas descritas nos planos de ação para saneamento das deficiências;


  • 1.3.5. DOS GESTORES DAS UNIDADES ORGANIZACIONAIS:

  • garantir a plena execução dos controles internos de sua unidade organizacional;
  • monitorar a efetividade dos controles internos dos processos executados em sua unidade organizacional;
  • gerar e transmitir prontamente à Gerência de Riscos e Controles Internos - GERCI, informações que explicitem situações de
  • exposição aos riscos operacionais;
  • interpretar as leis, resoluções, regulamentos e demais instrumentos expedidos pelos órgãos fiscalizadores e reguladores,
  • aplicáveis à sua unidade, obtendo parecer da Gerência Jurídica - GEJUR, nos casos que requeiram interpretação e posicionamento institucional, bem como apoio da Gerência de Riscos e Controles Internos - GERCI nos casos em que seja
  • necessária a criação/atualização de norma interna;
  • propor a criação/atualização dos normativos necessários à execução dos procedimentos referentes às atividades executadas em sua unidade, garantindo que os mesmos estejam de acordo com as políticas organizacionais, contemplando, inclusive, os planos de contingência para as possíveis perdas relevantes;
  • garantir que os procedimentos executados em sua unidade estejam de acordo com as normas internas, leis, resoluções, regulamentos e demais instrumentos expedidos pelos órgãos fiscalizadores e reguladores;
  • promover a implementação das recomendações de aprimoramentos de controles internos efetuadas pela Diretoria Executiva - DIREX;
  • promover a identificação do risco operacional relativo aos serviços terceirizados relevantes para o funcionamento do BANDES, elaborando, quando necessário, os respectivos planos de contingência;
  • promover a disseminação da política e das ações de gestão de riscos e controles internos a todos os membros de sua unidade organizacional;
  • estimular a participação dos colaboradores de sua unidade na identificação, avaliação e mitigação dos riscos;
  • registrar e comunicar tempestivamente à Gerência de Riscos e Controles Internos - GERCI as perdas decorrentes de risco operacional;


  • 1.3.6. DA DIRETORIA EXECUTIVA:

  • garantir a capacitação do corpo funcional com o objetivo de prevenir eventuais falhas/perdas e estimular a cultura de gestão de riscos e controles internos;
  • definir o grau de tolerância do BANDES aos riscos operacionais;
  • revisar e aprovar, anualmente, a política de gerenciamento do risco operacional, encaminhando-a ao Conselho de Administração;
  • decidir sobre ações mitigadoras para os riscos operacionais relevantes identificados;
  • garantir os recursos físicos, financeiros e humanos necessários à efetiva gestão dos riscos operacionais e ao aprimoramento dos controles internos;
  • deliberar acerca dos relatórios de avaliação da qualidade e adequação do sistema de controles internos e de gerenciamento do risco operacional, submetendo-os ao Conselho de Administração;


  • 1.3.7. DO CONSELHO DE ADMINISTRAÇÃO:

  • apoiar as ações de disseminação da cultura de gestão de riscos operacionais e controles internos;
  • revisar e aprovar, anualmente, a política de gerenciamento do risco operacional;
  • deliberar acerca dos relatórios de avaliação da qualidade e adequação do sistema de controles internos e de gerenciamento do risco operacional;


  • 1.4. ESTRUTURA PARA GESTÃO DO RISCO OPERACIONAL

    A estrutura de gestão do risco operacional do BANDES é composta pelo Conselho de Administração - CONAD, Diretoria Executiva - DIREX, Gerência de Riscos e Controles Internos - GERCI, Comitê de Controles Internos e Riscos – COCIR e Auditoria Interna - AUDIT.

    As informações a respeito das políticas e procedimentos referentes ao risco operacional e controles internos deverão ser disseminadas pelo BANDES a todos os colaboradores, considerando o nível hierárquico e a relevância das mesmas para as unidades organizacionais.

    Os componentes da estrutura de gestão do risco operacional devem estar permanentemente capacitados a identificar, avaliar, controlar, monitorar e mitigar os riscos operacionais da instituição.

    O gerenciamento do risco operacional do BANDES contempla as seguintes etapas:

      1.4.1. IDENTIFICAÇÃO DOS RISCOS OPERACIONAIS


    A identificação dos riscos operacionais deve se basear, preferencialmente, em informações oriundas dos indicadores dos objetivos definidos no mapa estratégico, nos registros de perdas, nos relatórios de auditorias, no mapeamento de processos, nos relatórios gerenciais e de análise de riscos, bem como nos normativos internos e externos, ou em denúncias.

    A principal ferramenta utilizada para a identificação dos riscos operacionais é a autoavaliação dos riscos e controles internos, que consiste de um questionário, aplicado no mínimo anualmente a todas as unidades organizacionais, onde o gestor descreve, para as principais atividades desenvolvidas, os riscos inerentes às mesmas e os controles existentes, classificando esses riscos quanto à sua probabilidade de ocorrência e impacto médio (em termos financeiros) a cada eventual ocorrência.

    O questionário de autoavaliação dos riscos e controles internos será desenvolvido pela Gerência de Riscos e Controles Internos - GERCI, de acordo com o levantamento prévio das atividades de cada área.

    A identificação de riscos deve, sempre que necessário, ser complementada com a utilização de técnicas estruturadas, tais como:
  • diagramas de causa e efeito, fluxogramas, sessões de brainstorming, listas de verificação etc.


    • 1.4.2. AVALIAÇÃO DOS RISCOS OPERACIONAIS


    Os riscos identificados nos ciclos de autoavaliação devem ser avaliados quanto à sua probabilidade de ocorrência e impacto médio por ocorrência. Para estimar a probabilidade de ocorrência, deve-se avaliar a possibilidade de perda, desconsiderando os controles existentes. A probabilidade de ocorrência será classificada e pontuada conforme tabela a seguir:

    Probabilidade Classificação Pontuação

    Até 1 evento por ano Raro 1
    Mais do que 1 e até 12 eventos por ano. Eventual 2
    Mais do que 12 e até 24 eventos por ano. Freqüente 3
    Mais do que 24 eventos por ano. Muito freqüente 4

    Para cada risco identificado na atividade será estimado o impacto médio por ocorrência em valores monetários. O impacto médio por ocorrência será classificado e pontuado conforme tabela a seguir:

    Impacto (R$) Classificação Pontuação
    Até 10.000 Muito baixo 1
    Acima de 10.000 até 100.000 Baixo 2
    Acima de 100.000 até 500.000 Alto 3
    Acima de 500.000 Muito alto 4

    respostas aos questionários de autoavaliação, ou em novas demandas surgidas entre os ciclos de autoavaliação, analisará a “severidade” dos riscos identificados e as consequências especificadas, definindo, em conjunto com as áreas responsáveis, a necessidade ou não de um tratamento para o risco.

    Para fins desta política, conceitua-se severidade como o produto de impacto x probabilidade.

      1.4.3. TRATAMENTO DOS RISCOS OPERACIONAIS

      O tratamento dos riscos identificados deve levar em consideração os limites de exposição estabelecidos e, caso sejam necessários planos de ação, estes devem ser elaborados em um prazo que permita a correção tempestiva do risco. A elaboração dos planos de ação é responsabilidade do gestor da unidade organizacional na qual se origina o risco.

      Os planos de ação para tratamento dos riscos devem definir responsabilidades, cronogramas e recursos necessários à sua efetiva implementação, levando em consideração critérios de economicidade, qualidade e eficiência, de acordo com as boas práticas de controles. A análise dos riscos, bem como os planos de ação propostos, serão submetidos ao Comitê de Controles Internos e Riscos - COCIR, o qual recomendará a priorização das ações mitigadoras. As recomendações do Comitê de Controles Internos e Riscos - COCIR serão encaminhadas à Diretoria Executiva - DIREX, a qual definirá as ações a serem implementadas.

      As estratégias de tratamento dos riscos operacionais identificados devem contemplar, prioritariamente, o aprimoramento ou implantação de controles internos, visando sua mitigação. Nos casos em que seja verificada a impossibilidade da adoção de medidas mitigadoras, poderão ser adotadas estratégias de transferência, ou compartilhamento dos riscos. A aceitação do risco somente será admitida nas situações em que, de acordo com a avaliação realizada, sua “severidade residual”, ou seja, a “severidade” considerando os controles existentes, seja inferior a 4 (quatro).

      A Gerência de Riscos e Controles Internos - GERCI, juntamente com as unidades organizacionais, elaborará Planos de Contingências para as atividades que possam representar riscos de perdas relevantes para o BANDES, os quais serão submetidos ao Comitê de Controles Internos e Riscos - COCIR e divulgados às unidades afins.

      A avaliação global do risco operacional será realizada pela Gerência de Riscos e Controles Internos - GERCI, a qual, com base nas

        1.4.4. MONITORAMENTO DOS RISCOS OPERACIONAIS


      A Gerência de Riscos e Controles Internos - GERCI é a unidade responsável pelo monitoramento do risco operacional, utilizando-se de ferramentas específicas que possibilitem o acompanhamento tempestivo dos riscos identificados, das ações adotadas, dos responsáveis e da situação vigente, bem como o desempenho dos indicadores-chave de riscos e os registros de perdas ou falhas.

      Os indicadores-chave de riscos são medidas quantitativas relacionadas a desvios no comportamento esperado dos processos operacionais, que auxiliam a identificação tempestiva de onde e como estão acontecendo situações que podem levar a perdas, além de permitir que a instituição seja proativa na forma de lidar com os riscos.

      O processo de monitoramento deve fornecer informações gerenciais que contemplem o nível de exposição global do BANDES ao risco operacional, os riscos operacionais críticos e a eficácia dos planos de ação. Essas informações serão documentadas e divulgadas, considerando o nível hierárquico e a relevância das mesmas para as unidades organizacionais;

      Para garantir a efetividade e eficácia do monitoramento, a Gerência de Riscos e Controles Internos - GERCI avaliará o grau de correlação dos indicadores-chave de riscos definidos, com os eventos de perdas registrados.

      A Auditoria Interna deve verificar, com periodicidade mínima anual, o cumprimento da política e dos procedimentos de gerenciamento de riscos operacionais, a fim de atestar a eficácia da estrutura, garantindo que as medidas adotadas representem as boas práticas de controles internos e gestão de riscos.

        1.4.5. REGISTRO DE PERDAS


      As unidades organizacionais são responsáveis pelo registro das perdas decorrentes de risco operacional e tempestiva comunicação à Gerência de Riscos e Controles Internos - GERCI, observando-se os procedimentos específicos.

      As perdas relevantes incorridas devem ser avaliadas quanto às suas origens, cabendo à Gerência de Riscos e Controles Internos - GERCI conduzir o processo investigativo com apoio das unidades organizacionais, bem como arquivar a documentação relativa, após apreciação da Diretoria Executiva - DIREX.

      Após a identificação da origem das perdas, devem ser elaborados planos de ação para implementação ou aprimoramento de controles internos, com o objetivo de se evitar que novas perdas ocorram.