identificando e registrando incidentes operacionais · 2opc latam junho/2015 identificando e...

2OPC LATAM

Junho/2015

Identificando e registrando um incidente operacional

• Mobilizar e alertar os funcionários da importância do contínuo processo de melhoria no desenho e na performance de controles, reduzindo nossa exposição a riscos financeiros e danos a nossa reputação;

• Identificar e mitigar novos riscos, evitando sua reincidência e também diminuindo seus possíveis impactos financeiros e na reputação do BNP; e

• Permitir, sempre que necessário, declarar os incidentes significativos aos reguladores, além de demonstrar a existência de um processo robusto para identificação de falhas e aplicação de ações corretivas.

2 2OPC LATAM

O que é…

• Perda, ganho ou custo de oportunidade efetivos;

• Potencial perda ou ganho, que pode vir a se materializar no futuro ou não;

• Impacto regulatório, normalmente quando avisamos o regulador de um incidente ou quando somos acionados pelo próprio. Neste grupo incluímos o BACEN, CVM, BSM, CETIP e ANBIMA.

• Um ato deliberado, por exemplo fraude interna, problemas de conduta;

• Um erro, falha humana;

• Uma retroatividade (obrigatório registro de incidente);

• Uma falha de sistema;

• Falha de um prestador de serviços interno;

• Não cumprimento de uma obrigação regulamentar;

• Um procedimento ou processo mal concebido ou inadequado.

• Fraude externa;

• Um desastre natural, acidente, um assalto;

• Falha de uma contraparte, parceiro, administrador, ou gestor de um fundo BNP;

• Falha de um fornecedor/prestador de serviços;

• Um processo judicial, ou uma sanção, mesmo que a entidade considere que a ação seja improcedente, porém a mesma já possui uma provisão associada;1

• A aplicação retroativa de uma norma legal, fiscal ou regulatória.

1Se a instituição considerar que falhou na prestação das obrigações legais, o incidente é considerado falha de processo interno

2Incluir tentativa ou suspeita, para casos internos ou externos a nossa organização

3 Informar a Auditoria Interna também

• O Evento

• A Causa

• Seus Efeitos

3 2OPC LATAM

• É função de todos os funcionários do grupo BNP Paribas reportar um incidente de risco operacional para seu superior ou para qualquer pessoa indicada para esse propósito: Operational Permanente Control- OPC.

• O superior ou o correspondente verificará se o evento possui todas as características de um incidente e realizará o registro quando necessário.

.

• Uma perda ou ganho financeiro com impacto efetivo no PnL do Grupo BNP; ou

• Um custo de oportunidade, relacionado a perda de um rendimento esperado que não se materializou devido ao incidente (ex.: uma perda operacional na eventualidade de uma catástrofe , perda de um negócio por atraso ou falhas internas, etc.).

Exemplos de impactos financeiros:

• Um ganho e/ou perda não provisionados (ex.: multas, ressarcimento a clientes, etc.);

• Montante dos custos irrecuperáveis ou indevidamente pagos (pagamento a maior a fornecedores ou contrapartes, fees não recebidos, etc.);

• Ganho ou perda provenientes da liquidação ou do ajuste de uma operação/posição/hedge;

• Os custos incorridos para defender os nossos interesses no âmbito de um processo apresentado contra o BNPP BR (ações judiciais, fiscalizações apresentadas por uma entidade administrativa ou judicial);

• Penalidades financeiras aplicadas ao Grupo BNP (ex.: Poder Judiciário, Bacen, Receita, etc.) e suas respectivas provisões constituídas;

• Custos decorrentes de um atraso significativo ou da paralisação de um projeto (ex.: implantação de controles compensatórios, compra de outros componentes, etc.);

• Custos extraordinários para a recuperação de dados perdidos, incluindo horas extras;

• Custo decorrente do tratamento de contas transitórias ou de irregularidades;

• Custos de reparação (TI, logística, etc.).

4 2OPC LATAM

§ Suspeitas de fraudes e desvios de conduta não são considerados como incidentes de risco operacional, enquanto não forem comprovados;

§ Gestos ou operações de cortesia(desde que se tenha um acordo comercial) e reclamações de clientes não são considerados incidentes de risco operacional a menos que indiquem falha de processo interno;

§ Contas transitórias ou problemas de reconciliação apenas são considerados incidentes se estiverem relacionadas a um ganho e/ou perda não provisionados e/ou a custos extraordinários decorrentes deste reprocesso;

§ Auditorias regulatórias ou fiscalizações que possam resultar em multas ou sanções de natureza jurídica, administrativa, fiscal ou regulatória são considerados incidentes se houver:

§ Sanções emitidas contra o Grupo BNP. Caso a penalidade for considerada improcedente, a mesma só será definida como incidente após a execução de todos os recursos apresentados pelo BNPP BR ou da constituição de provisão contábil para o evento;

§ Custos decorrentes do processo de defesa;

§ Solicitação de correção de processos ou carta de recomendações emitidas por reguladores.

§ Impactos no PnL causados pela tomada voluntária de posição em um mercado ou pelo não pagamento por parte do cliente são eventos de risco de mercado/ crédito e apenas serão considerados incidentes de risco operacional se:

§ O evento resultar da falha no processo de gestão do risco de mercado ou crédito. (ex.: falha no controle de garantias, utilização de parâmetros inadequados/ desatualizados na definição e controle de limites, etc.);

§ Eventos cuja liquidação gere um risco de mercado ou crédito (ex.: liquidação de uma operação /transação indevidamente).

• No sistema Relatório de Ocorrências todo e qualquer incidente deve ser registrado, independente de ter ou não um impacto financeiro materializado.

• No sistema FORECAST (acesso restrito) devem ser registrados os

incidentes com valor igual ou superior a €10.000, ou equivalente em outra moeda. Além disto, independentemente do valor envolvido, qualquer incidente relacionado com:

§ Fraude interna ou externa; § Incidentes envolvendo regulador.

• Alguns eventos reincidentes podem ser objeto de um mesmo registro no FORECAST, desde que o valor agregado ultrapasse o mínimo de €10.000.

• Para registro de um incidente informe seu superior, contate o OPC de sua área ou a área de 2OPC.

1

Operational Risk management Policy Política de Gerenciamento do Risco Operacional

Status Validated

Version 14

Date of the previous version Out/2015

Level 3

Type Policy

Scope of Application Banco BNP Paribas Brasil S.A. (CIB, IP, WM and BP2S)

Issuer 2OPC

Owner Entity CIB

Process scope All process

Level of Risk medium

Key word Risk and Controls

Author Ronaldo Fuzinato

Approver Luis Pontes

Date of approval January/2016

Effective date January/2016

Expiry date January/2018

Group Related Procedures CG0088, CG0145 and CG0121

Reference from Basel Committee International capital framework- Basel II Agreement

Regulatory reference from Brazilian Central Bank- BACEN

Resolution 2.554/98 Resolution 3.380/06 Circular 3.340/13

Regulatory reference from Exchange Securities Commission - CVM

CVM Instruction 505/11

2

INDEX INDICE 1. General Considerations.............................. 3

2. The Objetcives.............................................. 3

3. Operational Risk Concept........................... 4

4. Formalized Governance.............................. 5

4.1. Roles and Responsibilities.................... 5 4.2. Organization Chart- 2OPC and OPC.... 7

5. The Methodological Framework.................... 7

5.1. Risk Identification and Assessment and Control Plan Methodologies………..…. 8

5.2. Managing Historical Operational Risks Incidents………………………………...12

6. Regulatory Capital: Operational Risk

Purposes........................................................15 7. Other Elements of Governance ...................15

7.1. Internal Controls Committee.............…...15

Appendix 1 ………………………. 17 Appendix 2 …………………...…. 19

1. Considerações Gerais…............................. 3

2. Objetivos……................................................ 3

3. Conceito de Risco Operacional................... 4

4. Governança……………….............................. 5

4.1. Papeis e Responsabillidades................ 5 4.2. Organograma - 2OPC e OPC…..…….. 7

5. Estrutura Metodológica………….................... 7

5.1. Metodologia para Identificação e Avaliação de Riscos e Plano de Controle………………………..……..…. 8

5.2. Gerenciamento Incidentes Históricos de Risco Operacional……………………...12

6. Capital Regulatório: Risco

Operacional....................................................15 7. Outros Elementos de Governança...............15

7.1. Comitê de Controles Internos............…...15

Anexo 1 ………………………. 17 Anexo 2 …………………...…. 19

3

POLICY TRANSLATION 1. General Considerations

This document consolidates the synthesis of the definitions established by BNP Paribas Brasil S.A. (BNPPBR), which includes CIB, BP2S, Wealth Management and IP related to operational risk. The issue of a local policy for operational risk management aims to consolidate the various group policies and regulatory requirements on the theme, in order to facilitate its understanding and dissemination to all employees. For a detailed description of group rules and regulatory requirements please refer to related procedures listed on the cover of this normative. BNPPBR understands that:

· Risks are dynamic and inherent of our activity, and may have the following disposal alternatives: assumed, treated or disposed according to the risk level tolerance.

· Treat the risks adequately demonstrates the commitment to best corporate governance practices.

· It is essential that there is a comprehensive cultural approach involving all employees disseminating that risks must be investigated, monitored, mitigated and monitored.

· The organization need to implement process and incentive policies in order to facilitate the commitment and the achievement of results, including insert the risk theme in the budget process

2. The Objectives

The objectives targeted by the operational risk management policy are: · To mobilize everyone within the company with

regard to risks control actions · To reduce the probability of the occurrence of

operational risk events that could threaten · To protect the reputation of the BNP Paribas

group, · To reinforce the confidence that it enjoys from

customers, shareholders and employees · To reinforce the quality of the services and

1. Considerações gerais

Este documento consolida a síntese das definições estabelecidas pelo BNP Paribas Brasil S.A. (BNPPBR), que inclui o CIB, BP2S, Wealth Management e IP, relativo a risco operacional. A emissão de política local para gestão de riscos operacionais objetiva consolidar as várias políticas do grupo e as exigências regulatórias sobre o tema, a fim facilitar sua compreensão e disseminação a todos os colaboradores. Para uma descrição detalhada das regras do grupo e dos requerimentos regulatórios favor consultar os procedimentos relacionados listados na capa deste normativo. BNPPBR entende que:

· Os riscos são dinâmicos e inerentes de nossa atividade, e podem ter as seguintes alternativas de destinação: assumidos, tratados ou transferidos de acordo com o nível de tolerância ao risco.

· Tratar adequadamente os riscos demonstra o comprometimento com as melhores práticas de governança corporativa.

· É essencial que haja uma abordagem cultural abrangente envolvendo todos os colaboradores, disseminando que os riscos devem ser investigados, controlados, mitigados e monitorados.

· A organização deve implementar processos e políticas de incentivo a fim facilitar o comprometimento e o atingimento dos resultados, incluindo a inserção do tema de risco no processo orçamentário.

2. Objetivos Os objetivos visados pela política de gestão de riscos operacional são: · Mobilizar todos dentro da empresa no que diz

respeito às ações de controle dos riscos · Reduzir a probabilidade da ocorrência dos

eventos do risco operacional que podem ameaçar

· Proteger a reputação do grupo de BNP Paribas · Reforçar a confiança apreciada por clientes,

acionistas e colaboradores · Reforçar a qualidade dos serviços e dos produtos

4

products that it markets · To mitigate threats that could hamper the

profitability of its business activities · To seek the efficiency of the processes that it

manages. · To establish a consistent system throughout the

group, with an adequate level of formalization and traceability, and that will serve to provide the management, the deliberating body and the regulators with reasonable assurance of the risk control.

· To provide a good balance between the accepted risks and the cost of the operational risk management system

3. Operational Risk Concept

Operational risk is defined as the risk resulting from the inadequacy or failure of internal processes, or from external events, that has led, could led or could have led in a loss, a gain or an opportunity cost. This risk must be managed, in the sense that it must be contained within acceptable limits by means of avoidance, reduction or transfer actions. This definition applies to the internal processes of all Business lines and of their support functions. The external events mentioned in this definition include those of human or natural origin. External events include neither the defaults of borrowers or counterparties, apart if coming from a fraud of the borrower or the counterpart, which are events that relate to credit risk, nor variations of the financial markets, which are events linked to market and liquidity risks. Losses attributed to credit risk and market risks are not included in the operational risks, nor are consequences affecting the reputation. However, the definition of an incident includes events that result from a failure or inadequacy of the management processes for credit or market risks, as well as events of human or natural origin that would have finanacial consequences. As the definition of operational risk, there are plenty of situations that can be characterized as an operational risk event. Thus, for a better management of these events BNP Paribas typifies

colocados no mercado · Mitigar as ameaças que poderiam impedir a

rentabilidade de suas atividades de negócios · Buscar a eficiência dos processos que

administram. · Estabelecer um sistema consistente por toda

parte do Grupo, com um nível adequado de formalização e de rastreabilidade, e que servirá para oferecer à gestão, ao corpo deliberativo e aos reguladores a garantia razoável de controle do risco.

· Prover um bom equilibrio entre os riscos aceitos e o custo do sistema de gestão de riscos operacionais

3. Conceito de Risco Operacional O risco operacional é definido como o risco resultante da insuficiência ou da falha de processos internos, ou de eventos externos, que conduziram, podem conduzir ou poderiam ter conduzido a uma perda, a um ganho ou a um custo de oportunidade. Esse risco deve ser administrado, no sentido que deve ser contido dentro dos limites aceitáveis por meio de evitar, de redução ou ações de transferência. Essa definição se aplica aos processos internos de todas as linhas de negócio e de suas funções de apoio. Os eventos externos mencionados nessa definição incluem aqueles de origem humana ou natural. Os eventos externos excluem a inadimplência de devedores ou de contrapartes, exceto se advindo de fraude do devedor ou da contraparte, os quais são eventos relacionados ao risco de crédito, nem variações do mercado financeiro, que são eventos vinculados aos riscos de liquidez e de mercado. As perdas atribuídas ao risco de crédito e aos riscos de mercado não são incluídos nos riscos operacionais, nem são conseqüências que afetam a reputação. Contudo, a definição de um incidente inclui os eventos que resultam da falha ou insuficiência dos processos de gestão dos riscos de crédito ou de mercado, bem como os eventos de origem humana ou natural que podem ter conseqüências financeiras. Como definição de risco operacional, há uma abundância de situações que podem ser caracterizadas como um evento de risco operacional. Assim, para uma melhor gestão

5

them as follows (basically the level 1 Basel type): · Internal fraud · External fraud · HR practices and safety in the workplace · Failure with customers, products and

commercial practices · Assets damage · IT failure · Failure on execution, delivery and management

of activities. 4. Formalized Governance 4.1. Roles and Responsibilities

First Line of Defense Controlling and managing risks is first and foremost the responsibility of the staff, each for the processes for which s/he is responsible. The staff, and first and foremost the entity managers, must therefore adopt the permanent control framework that best suits their environment and the profile of their risks. In particular, this first level control framework must: · Identify and assess the risks facing them as a

result of the activities for which they are accountable keeping the risk mappings and control plans updated. Any changes in these documents must be aligned with 2OPC (Oversight of Operational Permanent Control).

· Execute the tests defined in specific control plans and report the controls results in to the global tools (PCR tool, Mercator, etc.) and to 2OPC.

· Define key risk indicators (KRI) for main activities and report in quarterly bases the results to management and to 2OPC. The key risks indicators must be aligned with 2OPC.

· Manage all internal normatives issued keeping then update.

· Coordinate the report and analyses for operational risks incidents.

Within this framework, the management must, each on his or her level, implement a specific Operational Permanent Control framework known as “OPC”, which will be in charge of the operational permanent control, as well as of the identification, measurement and management of

desses eventos o BNP Paribas as tipifica: · Fraude interna · Fraude externa · Demandas trabalhistas e segurança do local de

trabalho · Práticas inadequadas relativas a clientes,

produtos e serviços · Danos a ativos físicos · Falhas em sistemas de TI · Falhas na execução, cumprimento de prazos e

gerenciamento das atividades

4. Governança 4.1.Papéis e Responsabilidades Primeira linha de defesa Controlar e gerenciar riscos é a primeira e principal responsabilidade dos funcionários, cada qual para os processos para os quais é responsável. Os funcionários, e principalmente os gerentes da entidade, devem conseqüentemente adotar a estrutura de controle permanente que melhor se adapte ao ambiente e ao perfil de seus riscos. Em particular, esse primeiro nível da estrutura do controle deve: · Identificar e avaliar os riscos enfrentados como

conseqüência das atividades pelas quais são responsávéis, mantendo os mapeamentos do risco e os planos de controle atualizados. Todas as mudanças nesses documentos devem ser alinhadas com 2OPC (Supervisão do Controle Permanente Operacional).

· Executar os testes definidos nos planos de controle específicos e reportar os resultados dos controles nas ferramentas globais (PCR, Mercator, etc.) e para 2OPC.

· Definir os indicadores chaves do risco (KRI) para atividades relevantes e reportar em bases trimestrais os resultados à gestão e a 2OPC. Os indicadores chave de risco devem ser alinhados com o 2OPC.

· Administrar todos os normativos internos emitidos mantendo-os atualizados.

· Coordenar o reporte e as análises dos incidentes de risco operacional.

Dentro dessa estrutura, a gestão deve, cada qual em seu nível, implementar uma estrutura específica de Controle Permanente Operacional conhecida como o “OPC”, que será responsável pelo controle permanente operacional, assim como pela identificação, mensuração e gestão dos riscos

6

operational risks. Employees referred to as OPCs have therefore to be identified in each of the business areas in order to carry out the tasks. Based on the size and complexity of the process/ business, these employees perform their task on a full-time basis, possibly even as part of a team, or only part-time in the capacity of correspondents. The Appendix 2 contains the list of territories and areas eligible to have OPC function. All these tasks must be aligned with 2OPC requirements, specially the risk assessment process that must be centralized by 2OPC team.

Second Line of Defense A second line of defense consisting of independent permanent control functions, and in particular 2OPC teams in charge of defining the general framework for the operational risk management system and for providing a second look with regard to how these operational risks are identified, assessed and managed by the first line of defense. While operational risk management is everyone’s responsibilities, the promotion of a culture and of methodologies in this area is part of the second line of defense (2OPC) objectives. The 2OPC will monitor the progress of all risk mitigation actions that would result from the recommendations coming from internal and external audits and regulators reviews or from observations resulting from the permanent control framework. The conclusions and main observations from this oversight process should be reported to Internal Control Committee (ICC). To see more details about ICC please refer to the chapter “Other Elements of Governance” in this policy.

For a detailed description of 2OPC and OPC function and responsibilities please refer to procedure CG0088 Permanent Control Operational Risk Measurement and Management 2 OPC Missions and Responsibilities. Also Appendix 1 contains the mission letter for 2OPC function.

operacionais. Colaboradores indicados como OPCs tem portanto que serem identificados em cada uma das áreas de negócio a fim realizar as tarefas. Baseado no tamanho e na complexidade dos processos / negócios, esses colaboradores performam suas atividades em base de tempo integral, possivelmente mesmo como parte de uma equipe, ou somente parte do tempo na qualidade de correspondentes. O apêndice 2 contem a lista de territórios e de áreas elegíveis para ter a função de OPC. Todas essas tarefas devem ser alinhadas com os requerimentos de 2OPC, especialmente o processo da avaliação de risco que deve ser centralizado Segunda linha de defesa Uma segunda linha de defesa consiste das funções independentes de controle permanente, e em particular as equipes 2OPC responsáveis por definir a estrutura geral para o sistema de gestão de riscos operacionais e para fornecer um segundo olhar no que diz respeito a como esses riscos operacionais são identificados, avaliados e administrados pela primeira linha de defesa. Enquanto a gestão de riscos operacional é responsabilidade de todos, a promoção de uma cultura e de metodologias nessa área é parte dos objetivos da segunda linha de defesa (2OPC). O 2OPC monitorará o progresso de todas as ações de mitigação do risco que resultaram das recomendações de auditoria interna, externa e de reguladores ou das observações resultantes da estrutura de controle permanente. As conclusões e as observações principais desse processo de supervisão devem ser relatadas ao Comitê de Controles Internos (CCI). Para ver mais detalhes sobre CCI favor consultar o capítulo “Outros Elementos de Governança” nesta política. Para uma descrição detalhada da função e responsabilidades de 2OPC e OPC favor consultar o procedimento CG0088 Mensuração e Administração do Risco Operacional e Controle Permanente 2OPC Missão e Responsabilidades. Igualmente o apêndice 1 contem a carta de missão para a função 2OPC.

7

4.2. Organization Chart- 2OPC and OPC Functions

COMPLIANCE & CONTROL

Luís Carlos Pontes

Director

2OPC LATAM

Ronaldo Fuzinato

Manager

Victória Criscuolo

Intern

2OPC Brazil

TBD

Supervisor

CG- 2 OPC

Jean- Marie Savin

Global Head

OPCs RESOURCES

OPCs LATAM

Appendix 2 contains the list of areas eligible to

have OPC function

5. The Methodological Framework

The effort to identify and assess risks is at the heart of the permanent operational control approach; it is a dynamic process that justifies the implemented system for mitigating risk while also feeding on the information provided by this same system. The exercise to identify and assess risks is carried out under the responsibility of the management of the entities/business/functions, which are required to know about, formalize their risks, and in the end, to manage them. The analysis is carried out along the axis of managerial accountability, but must involve the entities/business impacted by any materialization of risk. This process is driven by 2OPC function in order to established standard method to assess and control risks, that contemplates the main risks established by group function (major scenarios ) and specific risk defined by the local entity.

4.2. Organograma - 2OPC e OPC

COMPLIANCE & CONTROL

Luís Carlos Pontes

Director

2OPC LATAM

Ronaldo Fuzinato

Manager

Victória Criscuolo

Intern

2OPC Brazil

TBD

Supervisor

CG- 2 OPC

Jean- Marie Savin

Global Head

OPCs RESOURCES

OPCs LATAM

Anexo 2 contém a lista de áreas elegíveis para ter

a função OPC 5. Estrutura Metodológica O esforço para identificar e avaliar riscos está no centro da abordagem do controle operacional permanente; isso é um processo dinâmico que justifica o sistema implementado para mitigação do risco enquanto também alimenta a informação provida por esse mesmo sistema. O exercício para identificar e avaliar riscos é realizado sob a responsabilidade da gerencia das entidades/negócio/funções, as quais são requeridas a conhecer sobre eles, formalizar seus riscos, e em fim administrá-los. A análise é realizada ao longo do eixo central da responsabilidade administrativa, porém deve envolver as entidades/negócios impactados por qualquer materialização do risco. Este processo é conduzido pela função 2OPC a fim de estabelecer um método padrão para avaliação e controle dos riscos, o qual contempla os principais riscos estabelecidos pela função Grupo (cenários principais) e pelo risco específico definido pela entidade local.

8

Operational risks must be:

· Identified, assessed and, in many cases, quantified.

· Managed within a formalized framework based on procedures, organizational principles that begin with the segregation of functions, and verifications (four eyes) before or after the fact, whether automated or not.

· Communicated to the various management

levels in order for the latter to be able to define the necessary actions in compliance with the risk tolerance, while monitoring their proper implementation.

5.1. Risk Identification and Assessment and

Control Plan Methodologies

5.1.1. Risk and Control Mapping

The effort to identify and assess risks is the central point of the approach of permanent control. In this sense, the methodology adopted for the mapping of operational risks using as reference norms defined by BNPP Group and the methodological standards set internationally. The mapping of operational risks is mainly to understand the functioning of core processes performed by the areas of the business, as well as the activities and consequent sub-activities that compose them, with subsequent selection of those processes / activities that may contain risks, these should be properly measured.

Each area is responsible for the processes that plays and therefore competes with it to provide the

Os riscos operacionais devem ser:

· Identificados, avaliados e, em muitos casos, quantificados.

· Controlados dentro de uma estrutura formalizada

baseada em procedimentos, em princípios organizacionais que começam com a segregação das funções, e nas verificações (quatro olhos) antes ou depois do fato, seja automatizado ou não.

· Comunicados aos vários níveis da administração

para que os superiores possam definir as ações necessárias em conformidade com a tolerância ao risco, enquanto monitoraram a apropriada implementação.

5.1. Metodologia de Identificação e Avaliação dos Riscos e do Plano do Controle 5.1.1. Mapeamento de Riscos e Controles O esforço para identificar e avaliar riscos é o ponto central da abordagem do controle permanente. Nesse sentido, a metodologia adotada para o mapeamento de riscos operacionais utiliza como referência as normas definidas pelo grupo BNPP e os padrões metodológicos internacionais. O mapeamento de riscos operacionais é principalmente compreender o funcionamento dos processos relevantes executados pelas áreas de negócio, assim como as atividades e as conseqüentes sub-atividades que as compõem, com subseqüente seleção daqueles processos / atividades que podem conter riscos, devendo esses ser apropriadamente mensurados. Cada área é responsável pelos processos que trata e portanto compete a ela fornecer o nível

9

appropriate level and relevant information required for the identification and assessment of operational risks.

During the risk assessment process each area should take into account information / indicators that can influence the degree of risk, such as:

· Historical Incidents · Audit recommendations (internal, external and

regulatory) · Metrics available, especially from the control

plan (KRIs- key risks indicators)

The identified risks should be measured / scaled from assessment of impact, which considers the probability matrix (frequency) and consequence (severity). The first exercise should consider the risk to come to materialize without considering the existence of mitigating controls – gross risk and the second exercise should consider the controls effect and other mitigators- residual risk. The 2OPC function acts as manager and facilitator of this process, supporting the areas with information about risks inherent in the processes and controls in order to prevent significant items not properly discussed and evaluated and assure that the requirements from Group Policy and Regulators are properly applied. OPC function is responsible to coordinate and/or facilitate the process according to 2OPC definitions. The risk assessment should be updated every two years by OPC functions under their scope process, unless a significant event (e.g. set up of a new activity, relevant incidents, high level of turnover, etc.) occurs in between two assessments, that would require an immediate update. In absence of OPC function 2OPC will be responsible do update the risk mappings.

apropriado e a informação relevante requerida para a identificação e a avaliação de riscos operacionais. Durante o processo da avaliação de risco cada área deve levar em consideração a informação/indicadores que podem influenciar o grau de risco, como: · Incidentes históricos · Recomendações de auditoria (interna, externa e

de regulador) · Métricas disponíveis, especialmente do plano do

controle (KRIs- indicadores chave de riscos) Os riscos identificados devem ser mensurados / escalados a partir da avaliação de impacto, considerando a matriz de probabilidade (freqüência) e consequencia (severidade). O primeiro exercício deve considerar a materialização do risco sem considerar a existência de controles mitigadores - risco bruto e o segundo exercício deve considerar o efeito dos controles e outros mitigadores - risco residual. A função 2OPC atua como gestor e facilitador desse processo, apoiando as áreas com informação sobre os riscos inerentes aos processos e controles, visando evitar que itens significativos não sejam discutidos e avaliados apropriadamente e assegurar que as exigências da Política do grupo e dos reguladores estejam aplicadas corretamente. A função OPC é responsável por coordenar e/ou facilitar o processo de acordo com as definições de 2OPC. A avaliação dos riscos deve ser atualizada a cada dois anos pelo OPC das funções sob seu processo de escopo, a menos que um evento significativo (por exemplo estabelecido de uma atividade nova, incidentes relevantes, nível elevado de rotatividade, etc.) ocorrerem entre duas avaliações, que exigiriam uma atualização imediata. Na ausência da função OPC, 2OPC será responsável por atualizar os mapeamentos de riscos.

10

5.1.2. Risk Evaluation Underlyning Risk Matrix

Parameters to determine frequency Parameters to determine Impact

Residual Risk Analyses: A residual risk must be a risk assessment that considers the various steps of the analysis: underlying risk, quality of the actual permanent control system, risk indicators. It is subject of a rating based upon two criteria: the level of underlying risk and the level of risk control. The level of risk control is determined from the quality of the actual permanent control system and the synthesis on dynamic risk indicators, using to the following grid:

5.1.2. Avaliação dos Riscos Matrix de Risco Inerente (Bruto) Parâmteros para definição de frequência Parâmteros para definição de Impacto:

Análise Risco Residual: Um risco residual deve ser fruto de uma avaliação de risco que considera as várias etapas da análise: risco bruto, a qualidade do sistema atual de controle permanente e indicadores de risco. Sua classificação é efetuada com base em dois critérios: o grau de risco bruto e o nível de controle de risco. O nível de controle de risco é determinado a partir da qualidade do sistema de controle permanente e a síntese de indicadores de risco dinâmico, usando com a seguinte matriz:

Very low Low Medium High

1 2 3 4

Frequency

Once in 2 years

(or less) Once in 1 year Once during the quarter Once per month

Impact

Less than or equal to

BRL 5.000

Greater than BRL 5.000and smaller or equal

to BRL 20.000

Greater than BRL 20.000 and smaller or equal

to BRL 100.000

Greater than

BRL 100.000

Level o

f Ris

k

Co

ntro

l: KR

I /KS

P

Underlying Risk

Level o

f Ris

k

Co

ntro

l: KR

I /KS

P

Underlying Risk

11

5.1.3. Control Plan (KSP and KRI)

The objective of a control is to prevent a risk or to limit its impact through early detection. A control is necessarily linked to a risk, irrespective of its nature. In practical terms, the set-up of a control results from an analysis of the risks facing the entity. The control must be proportionate with the risk in question, and with the entity’s defined risk tolerance. The greater the risk, the stronger the control must be (number and level of participants, frequency, selectiveness, etc.) If the risk in an activity or process is assessed as low and acceptable, then the control may be limited to a self-control carried out by the person performing the activity or process. The more the risk is considered significant, the more additional controls over and above a simple self-control must be implemented while involving other people, the hierarchy or dedicated teams (1st level controls) and/or independent permanent control functions (2nd level controls). Each risk mapping generates a control plan, which formalizes the controls that should be monitored, the tests that will be applied, evidence that should be kept and provided at request, those responsible for running the tests and key indicators (KSP). The controls that supports key risks must be prioritized under this scope, which means those gross risks classified as high risks. During the control plan implementation phase all areas must consider the Generic Control Plans defined (if is available). The results of controls plans should be also formalized and managed by OPC functions or in their absence by 2OPC function. Also these results and key indicators (KRI) defined must be report to 2OPC function and the management involved with the process/controls monitored and evidences must be available for audit process and 2OPC review process under residual risk matrix.

5.1.3. Plano de Controle (KSP e KRI) O objetivo de um controle é impedir um risco ou limitar seu impacto com a detecção antecipada. Um controle está necessariamente vinculado a um risco, independentemente de sua natureza. Em termos práticos, a implantação de um controle resulta de uma análise dos riscos que ameaçam a entidade. O controle deve ser proporcional ao risco em questão, e com a tolerância ao risco definida pela entidade. Quanto maior o risco, mais robusto deve ser o controle (quantidade e nível de participantes, freqüência, seletividade, etc.) Se o risco em uma atividade ou processo é avaliado como baixo e aceitável, então o controle pode ser limitado a um auto-controle performado pela pessoa que executa a atividade ou o processo. Quanto mais o risco é considerado significativo, mais controles adicionais acima e além do simples auto-controle devem ser executados envolvendo outras pessoas, a hierarquia ou equipes dedicadas (controles de 1º nível) e/ou funções independentes de controle permanente (controles de 2º nível). Cada mapeamento de risco gera um plano de controle, o qual formaliza os controles que devem ser monitorados, os testes a serem aplicados, a evidência a ser mantida e fornecida quando requerida, os responsáveis pela execução dos testes e os indicadores chaves (KSP) . Os controles que suportam riscos chaves devem ser a priorizados sob esse escopo, o que significa aqueles riscos brutos classificados como risco alto. Durante a fase de aplicação do plano de controle todas as áreas devem considerar os planos de controle genéricos definidos (caso disponível) Os resultados dos planos de controles devem ser igualmente formalizados e controlados pela função OPC ou em sua ausência pela função 2OPC. Da mesma forma esses resultados e indicadores chaves (KRI) definidos devem ser reportados à função 2OPC e ao gestor envolvido com o processo/controle monitorado e as evidências devem estar disponíveis para o processo de auditoria e o processo de revisão de 2OPC sobre as matrizes de risco residual.

12

5.2. Managing Historical Operational Risks Incidents

A historical operational risk incident is “an actual event arising from the inadequacy or failure of internal processes, or from external events, which has led, may lead or could have led to a loss, gain or opportunity cost.”

It is the duty of any employee of the BNP Paribas group to report an operational risk incident, to his superior or to any person who has been appointed for this purpose. 5.2.1. Collection of data

The information related to operational risk events follow a formal record from the electronic documentation by originators (the person who identified the incident), providing a historical database that allows the evaluation of incidents and the control´s efficiency. Basically there are two data bases for operational risks incidents: · Local data base- System “Relatório de

Ocorrências” designed to record incidents of any kind of nature. The originator needs to register the incident description, amounts involve (gains or losses) and the criticality. All BNP employees have access to this system, but only 2OPC has the system authority to manage the database.

· Global data base- System “FORECAST”, consists of the institutional system of the BNPP Group to reporting incidents eligible for Basel purposes. By definition, the reference value adopted locally to register incidents is bigger than € 7.000, but fraud or regulatory breach event which should be reported from 0€. The access to this system is limited to OPC and 2OPC functions.

For both systems there is a monthly process with Finance (account) to check the integrity of the events registered against official numbers.

5.2. Administrando Incidentes Históricos de Risco Operacional

Um incidente histórico de risco operacional é “um evento real que se origina da insuficiência ou falha de processos internos, ou de eventos externos, que conduziram, podem conduzir ou poderiam ter conduzido a uma perda, a um ganho ou a um custo de oportunidade.” É dever de todo colaborador do grupo de BNP Paribas reportar qualquer incidente de risco operacional, ao seu superior ou a qualquer outra pessoa indicada para essa finalidade. 5.2.1. Coletânea de dados A informação relacionada aos eventos de risco operacional segue um registro formal a partir da documentação eletrônica por parte dos originadores (pessoa que identificou o incidente), fornecendo uma base de dados histórica que permite a avaliação dos incidentes e da eficiência dos controles. Basicamente há duas bases de dados para incidentes de riscos operacionais: · A base de dados local - sistema “Relatório de

Ocorrências” foi desenhada para documentar incidentes de qualquer tipo da natureza. O originador deve registrar a descrição do incidente, os montantes envolvidos (ganhos ou perdas) e a criticidade. Todos os colaboradores do BNPP têm acesso a esse sistema, mas somente 2OPC tem a autoridade no sistema para administrar a base de dados.

· A base de dados global – Sistema

“FORECAST”, consiste no sistema institucional do grupo BNPP para reporte dos incidentes elegíveis para as finalidades da Basileia. Por definição, o valor de referência adotado localmente para o registro incidentes é acima de 7,000 Euros, porém, eventos de fraude ou de violação regulatória devem ser relatados a partir de 0 (zero) Euro. O acesso a esse sistema é limitado às funções OPC e 2OPC.

Para ambos os sistemas há um processo mensal junto com a área de Finanças (contábil) para verificar a integridade dos eventos registrados versus os números oficiais.

13

5.2.2. Deadlines for registration:

· For any fraud event: as soon as it is detected and at latest within three days.

· For any other case: at latest within 10 days of its detection, even if the financial impact is unknown.

5.2.3. Register of financial impacts

Operational incidents that involve financial losses/gains must be registered in accounting records. Therefore all entries in the accounting records regarding operational losses/gains must be associated with an event recorded into data bases of historical operational incidents. In order to ensure the quality of these registers a monthly cross checking process will be execute comparing the accounts register for losses/gains against the data bases of historical operational incidents. The results from this reconciliation process will be present during the monthly meeting that discusses incidents. Should be performed every six months the review of accounts list used to register operational incidents losses/gains. This review is responsibility of 2OPC function and Finance. To register an operational risk incident in FORECAST system need to be defined one or more profit centre(s), irrespective of the chain of responsibility for the incident’s occurrence. As such, an incident resulting in the liability of a function may be financially allocated to the profit centres that benefited from the related earnings or services rendered. When the number of beneficiaries becomes too high or an allocation key is too complex to put together, the allocation will be carried out according to the distribution keys of this function’s expenses, established as part of the Finance processes.

5.2.2. Prazo para o registro:

· Para qualquer evento de fraude: assim que for detectado e no prazo máximo de três dias.

· Para qualquer outro caso: no prazo máximo de

10 dias de sua descoberta, mesmo se o impacto financeiro é desconhecido.

5.2.3. Registro dos impactos financeiros Os incidentes operacionais que envolvem perdas / ganhos financeiros devem ser contabilizados. Conseqüentemente todas as entradas de registros contábeis relativos às perdas/ganhos operacionais devem estar associadas com um evento registrado na base de dados histórica de incidentes operacionais. A fim assegurar a qualidade desses registros um processo mensal de verificação transversal será executado comparando o registro das contas de perdas/ganhos versus as bases de dados de incidentes operacionais históricos. Os resultados desse processo de reconciliação serão apresentados durante a reunião mensal de discussão de incidentes. Deve ser executada semestralmente a revisão da lista de contas utilizada para registrar perdas/ganhos operacionais dos incidentes. Esta revisão é responsabilidade da função 2OPC e Finanças Para registrar um incidente de risco operacional no Sistema FORECAST deve ser definido um ou mais centros de resultado, independentemente da cadeia de responsabilidade pela ocorrência do incidente. Como tal, um incidente resulta no compromisso financeiro de uma função podendo ser financeiramente alocado aos centros de resultado que se beneficiaram dos respectivos ganhos ou dos serviços prestados. Quando o número de beneficiários se torna demasiado alto ou uma chave de alocação é demasiada complexa para ser composta, a alocação será realizada de acordo com as chaves de distribuição das despesas desta função, estabelecidas como parte dos processos de Finanças.

14

5.2.4. Incidents analyses

To present the analysis of incidents there is a monthly meeting with key managers, including representatives from support domains, compliance & control and the COO. The agenda includes discussion under the causes, impacts and actions plans for all incidents where it is applicable. The basic material that supports the meeting is prepared by OPC ITO and 2OPC that also includes the reconciliation of the losses and detailed understanding about the occurrences. It is very important to understand during the process analyses the following three aspects: · Event: An analysis of the evolution of

recognised and potential events facilitates the operational risk management insofar as it provides information that will make it possible to anticipate incidents or to define warning signs that are indicative of an insufficient or faulty process. Such information can result from an observation of external events, from an assessment of internal processes or an analysis of potential events. The operational risk analysis will focus on events.

· Cause: By understanding and managing the causes of recognised and potential events, it is possible to decrease the frequency of their occurrence and the severity of their impacts when they do occur, or to prevent them from happening again. The managers must determine where the causes of these events are located within their key processes such as to deal with them by taking appropriate corrective measures.

· Effect: The effect of recognised or potential events is generally felt in a financial impact on the Group’s earnings or shareholders equity. One of the objectives of the operational risk management process is to reduce the effects of adverse events. In the absence of management, the severity of the incident’s final loss may be greater.

5.2.4. Análise dos incidentes Para apresentar a análise dos incidentes existe uma reunião mensal com os principais gerentes, incluindo representantes das áreas de suporte, Compliance & Control e o COO. A agenda inclui a discussão das causas, impactos e definição de planos de ação para todos os incidentes quando aplicável. O material básico que apoia a reunião é preparado por OPC ITO e 2OPC que também inclui a reconciliação das perdas e compreensão detalhada sobre as ocorrências. É muito importante compreender, durante processo de análise, os seguintes três aspectos: · Evento: Uma análise da evolução dos eventos

reconhecidos e potenciais facilita a gestão de risco operacional tanto que fornece a informação que tornará possível antecipar incidentes ou definir os sinais de alerta que são indicativos de um processo insuficiente ou falho. Tal informação pode resultar de uma observação de eventos externos, de uma avaliação de processos internos ou de uma análise de eventos potenciais. A análise de risco operacional será focada sobre eventos.

· Causa: Compreendendo e controlando as causas de eventos reconhecidos e potenciais, é possível diminuir a freqüência de sua ocorrência e a severidade de seus impactos quando ocorrerem, ou impedir que aconteçam outra vez. Os gerentes devem determinar onde as causas desses eventos estão localizadas dentro de seus processos chaves assim como tratá-las, tomando as medidas corretivas apropriadas.

· Efeito: O efeito de eventos reconhecidos ou potenciais é geralmente sentido em um impacto financeiro na rentabilidade do Grupo ou no capital dos acionistas. Um dos objetivos do processo de gestão dos riscos operacionais é reduzir os efeitos de eventos adversos. Na ausência de gestão, a severidade da perda final do incidente pode ser maior.

15

6. Regulatory Capital – Operational Risk Purposes

As a measure to protect the solvency of financial institutions and stakeholders in their business, the Basel II Agreement establishes the need for institutions to allocate a portion of their capital to cover any operating losses. The BNPPBR defined to use the methodology of basic approach (BIA - Basic Indicator Approach) for allocation of regulatory capital for operational risk purposes, considering that it is most appropriate according to the nature and complexity of products, services and activities of the Bank, as well as due to the current Latin America scenario. The operationalization of the calculation of capital allocation by BIA methods and analysis / assessments for senior management, including the report is provided by the Finance area, since all the calculation, according to the rules of the Brazilian Central Bank, is based on Financial Institutions standard accounts (COSIF). It is a permanent objective of the BNPPBR. continuous achieves standards improvement of the quality of risk management and that enable future migration to more sophisticated methodologies that allow smaller portion allocate capital.

7. Other Elements of Governance 7.1. Internal Controls Committee

The Internal Control Committee, non-statutory body of a permanent nature, is to advise senior management on the performance of its duties related to the adoption of strategies, policies and measures aimed at disssimating the culture of internal controls and mitigate risks aligned with BNPP standards, regulatory authorities and with good banking and business practices.

The Committee aims to:

• Evaluate the effectiveness of internal controls and the process of managing operational risks of the Bank; • Discuss and analyze with the responsible directors, policies, procedures and systems of

6. Capital Regulatório para Risco Operacional Como medida para proteger a solvabilidade das instituições financeiras e as partes envolvidas em seus negócios, o acordo da Basiléia II estabelece a necessidade das Instituições alocarem uma parcela de seu capital com vistas à fazer frente à eventuais prejuízos operacionais. O BNPP BR optou por utilizar a metodologia de abordagem básica (BIA – Basic Indicator Approach) para a alocação de capital regulatório para fins de riscos operacionais, por considerar que a mesma é a mais apropriada de acordo com a natureza e a complexidade dos produtos, serviços e atividades do Banco, bem como em função do atual cenário da América Latina. A operacionalização do cálculo de alocação de capital pelo método BIA, e análises/avaliações para a Alta Administração do BNPP, incluindo os demonstrativos é providenciada pela área de Finanças, uma vez que todo o cálculo, de acordo com as normas do Banco Central do Brasil, é baseado nas contas do Plano Contábil – COSIF. É objetivo permanente do BNPP BR o aprimoramento contínuo da qualidade na gestão de riscos e atingir padrões que possibilitem a migração futura para metodologias mais sofisticadas que permitam alocar parcela menor de capital. 7.Outros elementos de Governança 7.1.Comitê de Controles Internos O Comitê de Controles Internos, órgão não estatutário de caráter permanente, tem por objetivo assessorar a Alta Administração no desempenho de suas atribuições relacionadas à adoção de estratégias, políticas e medidas voltadas à difusão da cultura de controles internos e mitigação de riscos em linha com as normas aplicáveis ao BNPP, Autoridades Reguladoras e com as boas práticas bancárias e empresariais. O Comitê tem por objetivo:

· Avaliar a efetividade dos controles internos e o processo de gerenciamento de riscos operacionais do Banco;

· Debater e analisar com as diretorias responsáveis, políticas, procedimentos e

16

measurement and management of operational risks; • Ensure that the Board develop and implement reliable internal controls; and • Recommend to senior management the correction or improvement of practices and procedures, when such a need is identified within the remit of this Committee.

The Internal Control Committee will meet every two months, interspersed with the Compliance Committee, with a quorum of three members.

For more details, access the Regiment of Internal Controls Committee.

sistemas de mensuração e gestão de riscos operacionais;

· Zelar para que a Diretoria desenvolva e implemente controles internos confiáveis; e

· Recomendar a alta Administração a correção ou aprimoramento de práticas e procedimentos, quando tal necessidade for identificada no âmbito das atribuições deste Comitê.

O Comitê de Controles Internos se reunirá a cada dois meses, intercalados com o Comitê de Compliance, com um quórum mínimo de três membros efetivos. Para maiores detalhes acessar o Regimento do Comitê de Controles Internos.

17

Appendix 1

20

Appendix 2

List of areas eligible to have OPC function

Business:

• Global Markets Trading Desk

• Global Markets Sales Desk

• ALM & Treasury Desk

• BP2S

• Wealth Management

• Asset Management

Support Domain:

• Operations: Global Markets, ALM & Treasury, Corporate Banking, Wealth

Management and Asset Management

• Middle Office: Global Markets and Corporate Banking

• Onboarding- Due Diligence team

• Human Resources

• IT

• Security Office

• Finance

This does not mean that each business line or support function will have an exclusive OPC.

Documento de uso restrito Página1

Risco Reputacional

20 de Fevereiro de 2014

Status1 Validado Versão1

Nível1 3 Tipo2 Política

Escopo de Aplicação2 BNPP BR (todos os colaboradores) Emissor2 2OPC Entidade Responsável2 (Ex. Linha de Negócio, Função)

Compliance & Control

Processos Envolvidos2 Todos Riscos1 Alto Criticidade1

Palavra Chave2 Procedimento, Política, Norma, Instrução, Princípio.

Autor2 Edson Okubo Aprovador1 Luis Pontes Data de Aprovação1 Data de Entrada em Vigor1 Data de Vencimento1 Indeterminada

Procedimentos de nível superior Procedimentos Relacionados Normativos Regulatórios Relacionados

Nota: 1 Preenchimento Obrigatório. Responsável: Organização. 2 Preenchimento Obrigatório. Responsável: Autor.


1. DISPOSIÇÕES GERAIS

A Política do Grupo para Gerenciamento do Risco reputacional estabelece a estrutura e os padrões necessários para gerenciar o risco reputacional dentro dos negócios, atividades e entidades que, juntos, formam o Grupo BNP Paribas (BNPP ou Grupo).

2. DEFINIÇÕES

Risco Reputacional é definido como o risco da quebra de confiança depositada no BNPP pelos clientes, fornecedores, contrapartes, acionistas, colaboradores, reguladores ou qualquer outra pessoa para as quais confiar no BNPP é, sob qualquer circunstância, uma condição necessária para a condução dos negócios.

Uma forte reputação é crucial para um grupo financeiro. Isso é um elemento essencial que habilita a coletar depósitos, realizar serviços de custódia, gerenciar ativos de clientes, provendo eles com aconselhamentos e financiamentos, e de uma forma geral, atuar como intermediário financeiro e provedor de serviços financeiros sob as melhores condições.

Como um importante banco internacional e diversificado, o BNPP é reconhecido nos mais elevados padrões e, deve consequentemente proteger sua imagem e reputação.

3. NORMAS

O monitoramento do risco reputacional é responsabilidade de todos os membros do BNPP e é uma das funções principais de controles internos do Grupo. Deve ser abrangente e reunir os mesmos padrões para todos níveis do Grupo.

O primeiro passo na minimização do risco reputacional é a conformidade com as disposições legais e regulatórias, padrões éticos e profissionais, e com as instruções, diretrizes e procedimentos do Grupo.

Todas as entidades do Grupo (linhas de negócio centrais, funções, linhas de negócios, territórios e afiliadas) devem monitorar o risco que pode prejudicar a reputação da entidade específica, bem como prejudicar a imagem do Grupo como um todo.

• Identificação do Risco Reputacional

Em geral, o risco reputacional é um efeito secundário, embora não menos importante que a potencial materialização do risco de crédito, do risco de mercado ou do risco operacional. Seu impacto financeiro é contabilizado no cálculo de capital econômico e regulatório. Há alguns casos onde o prejuízo causado à reputação não pode ser conectado de forma clara a um desses riscos. Dessa maneira, pode haver situações de risco reputacional no qual o risco de crédito, o risco de mercado e o risco operacional são bem monitorados e os procedimentos são rigorosamente cumpridos, todavia prejuízos à reputação podem surgir. Como um exemplo, isso pode ser o caso quando a legitimidade de uma decisão passada é desafiada, seguida de uma evolução dos padrões públicos ou quando o Grupo é associado, inesperadamente, a eventos externos. Geralmente, a consequência mais séria de um dano à reputação é a diminuição do valor do negócio para os acionistas durante um período significativo, maior que uma perda que poderia ser amortizada no capital da empresa;


Ao contrário de muitos outros riscos que o Grupo assume e trata, em vista do lucro proporcionado, o risco reputacional deve ser reduzido ao menor nível possível, através da promulgação de valores morais e corporativos e pela implementação de procedimentos apropriados. O risco de dano à reputação deve ser identificado de um lado pelas pessoas cuja confiança é essencial ao Grupo e por outro lado pelas situações potenciais que possam surgir

• Pessoas cuja confiança é essencial para o Grupo.

I. Contrapartes do grupo

As contrapartes do Grupo são: � Clientes e prospectivos � O “Mercado” e outras contrapartes financeiras � Fornecedores � Acionistas e outros provedores de financiamento de longo prazo, existentes ou

potenciais.

A perda de confiança por uma contraparte pode conduzir à “fuga” ou recusa na aquisição de produtos ou serviços do Grupo, rejeitando em fazer um contrato com o BNPP, ou evitando que o BNPP financie suas operações.

II. Colaboradores do Grupo

Os colaboradores são um fator importante para o sucesso do Grupo. A habilidade do Grupo em atrair novos funcionários e estabelecer um senso de orgulho pela companhia, nos funcionários já existentes, está diretamente relacionado ao BNPP manter uma forte reputação como uma empresa.

III. Reguladores

A perda de confiança no Grupo ou uma entidade dentro do Grupo por um Regulador pode levar a uma supervisão forçada e à submissão do Grupo ou uma de suas entidades à ações corretivas, limitação de atividades ou no pior caso, ser convidado à encerrar suas operações

IV. Formadores de Reputação”

“Formadores de Reputação” são aqueles que têm o poder de iniciar, retransmitir ou aumentar a perda de confiança no Grupo ou em uma de suas entidades. Formadores de reputação incluem a imprensa, autoridades públicas, agências de rating, analistas, associações de consumidores e outros grupos. Eles possuem um papel chave em construir ou prejudicar a reputação, repercutindo para os clientes, mercados, outras contrapartes, colaboradores, acionistas e reguladores.

• Situações de Risco Reputacional

Qualquer atuação do Grupo que é conhecida ou pode ser conhecida por clientes e prospectivos, pelo mercado e por contrapartes, pelos reguladores e por qualquer pessoa mencionada no item anterior, pode potencialmente levar a um dano na reputação. O âmbito do


risco reputacional é muito extenso. Mais ainda, o risco reputacional é volátil, do mesmo modo que uma situação que hoje é aceitável pode vir a ser inapropriada mais tarde ou em outros locais ou em outras circunstâncias. Certas situações são mais propensas a colocar a reputação do Grupo em risco. Exemplos incluem:

• Situações de conflitos de interesse, existente ou potencial

• Situações que estão em jogo:

� O interesse dos clientes;

� Integridade de mercado

� Leis e regulamentações

� Regras éticas, especialmente no campo de prevenção à lavagem de dinheiro.

• Situações relacionadas à deficiência profissional, i.e., falha na execução, baixo nível do serviço, etc)

• Avaliação do Risco Reputacional

Identificação e gerenciamento de situações de riscos são difíceis, mas ao mesmo tempo essenciais. Todos os colaboradores deveriam, no mínimo, considerar que qualquer ação, inércia, processo ou outra atividade pode ter um efeito prejudicial na reputação do Grupo ou de uma entidade do Grupo. Se um risco é propenso a surgir, o assunto deve ser endereçado de acordo com essa Política. Qualquer avaliação performada no âmbito da estrutura de controle de segundo nível dever ser feita em referência ao gride de avaliação do risco utilizado pelo Controle Permanente e pelo Controle Periódico. No caso de controle de primeiro nível, um simples método de avaliação pode ser mantido.

• Gerenciando o Risco Reputacional

A estrutura para monitoramento do risco reputacional é compreendida pelos seguintes elementos:

1. Carta dos Valores do Grupo 2. Código de conduta do Grupo3. Carta de Controles internos 4. A presente política e qualquer documento de aplicação

• Estrutura para Treinamento de Colaboradores

Os colaboradores do Grupo têm papel de destaque no gerenciamento do risco reputacional. Proteger a reputação do Grupo e suas entidades é a parte principal do treinamento dos colaboradores. Treinamento de risco reputacional deve ser fornecido pelas Linhas de Negócio Centrais, Funções e outras entidades, Recursos Humanos e Compliance. Esse treinamento deve abordar a identificação, controle e monitoramento do risco reputacional; valores do Grupo; e padrões de ética e conduta. Isso vai permitir aos funcionários entender como incorporar controles de primeiro nível dentro de suas delegações.


• Comunicações Corporativas

Um dos objetivos principais das comunicações corporativas dentro do Grupo e suas entidades é a proteção reputacional do BNPP e de suas entidades. As comunicações corporativas têm dois alvos, funciona como uma fonte de informação para os colaboradores do BNPP e o público em geral, aqueles cuja confiança é essencial para o Grupo. Todas as comunicações corporativas, como regra geral, são gerenciadas pela função de Comunicação e Publicidade do Grupo e, em alguns casos particulares, pela área de Finanças e Desenvolvimento (acionistas, investidores, agências de rating), área de Recursos Humanos (colaboradores) e pela Compliance (reguladores). Comunicações corporativas no âmbito da proteção à reputação do Grupo e suas entidades são definidas em conjunto com a área de Compliance do Grupo.

• Dispositivos de Controle Permanente

É de responsabilidade de todos os funcionários respeitar os requerimentos de controle permanente relacionados ao monitoramento do risco reputacional. Os representantes da Compliance dentro das entidades do Grupo possuem uma posição central dentro dessa estrutura para monitorar o risco reputacional

• Risco reputacional é considerado na Estrutura de Controle Permanente Geral

A identificação e monitoramento do risco reputacional é um dos aspectos pelo qual a estrutura de Controle Permanente é construída. Procedimentos e controles devem ser reforçados e sujeitos a rigorosos acompanhamentos onde esse risco é alto

• Estrutura para Registro de Incidentes

Os procedimentos de Ouvidoria são parte dessa estrutura. Incidentes que possam levar ou tenham levado algum dano à reputação do grupo são registrados e analisados por várias funções incluindo Compliance, Comunicação e Propaganda, Auditoria, Recursos Humanos e Risco Operacional. Resultados dos controles periódicos no âmbito do risco reputacional também são considerados

• Risco reputacional é considerado no Processo de Validação para Operações não padrões de Novos Produtos e Novas Atividades

Produtos não padrões não podem ser introduzidos ou comercializados e novas atividades não podem ser peformadas, a menos que eles já tenham sido previamente aprovados no processo de validação do Grupo. Como resultado, operações não padrões, novos produtos, e novas atividades estão atualmente dentro do escopo dos procedimentos, quanto aos riscos de crédito, mercados, operacional, seguros e compliance. No âmbito de qualquer avaliação do risco de compliance, o risco reputacional deve ser identificado e avaliado sistematicamente, de modo isolado e ser considerado como parte da decisão de validação.

• Risco reputacional é considerado no Processo de aprovação das Operações Padrão

Operações padrão que envolva a assunção de risco de crédito, mercado ou operacional, entram no escopo do processo de aprovação. O processo de tomada de decisão para tais operações


que envolvam assunção de riscos (i.e., a decisão de um comitê de crédito ou a decisão tomada dentro da delegação de crédito) deve sistematicamente incluir a identificação, avaliação e contemplação de qualquer risco reputacional.

• Estrutura para Controle Permanente Específico

O processo de assunção de risco mencionado acima pode ser insuficiente para lidar com as situações de risco reputacional. Como mencionado anteriormente, o risco pode ser materializado em relação às operações previamente validadas ou aprovadas dentro desses processos ou devido a repetição de eventos ou uma combinação de fatores externos. Nesses casos, as linhas de negócios principais, funções e outras entidades podem convocar um Comitê de Risco Reputacional “Ad hoc”. Membros e regras de trabalho para um Comitê de Risco Reputacional “Ad hoc” são estabelecidos pela Compliance ou outro grupo de controle sob a delegação do Compliance. Caso a área de Compliance do Grupo não seja diretamente um membro do Comitê, ela é informada das reuniões e decisões.

• Unidades “Ad Hoc” para tratar as conseqüências dos incidentes identificados

Assim que um risco reputacional é identificado, uma unidade “ad hoc” é criada, da iniciativa de uma das partes mencionadas a seguir. Essa unidade “ad hoc” consistirá o gerenciamento dos negócios ou de funções, Compliance, Comunicação e Publicidade, Finanças e Desenvolvimento e qualquer outra parte envolvida.

4. PROCEDIMENTOS E RESPONSABILIDADES

4.1. Responsabilidades Area de Compliance do BNPP Brasil

De acordo com as disposições definidas nesta política, cabe à área de Compliance do BNPP Brasil, na identificação ou conhecimento de alguma situação de Risco Reputacional, as seguintes responsabilidades:

• Recepcionar em documento específico, a situação de Risco Reputacional identificada pela Compliance ou informada por outros colaboradores;

• Dar tratamento à situação de Risco Reputacional identificada, tomando as providências cabíveis definidas em conjunto com o Head da Área de Compliance & Control e ou por um Comitê (“Ad Hoc”) convocado para definir para definir as providências a serem tomadas;

• Informar tempestivamente as instâncias superiores internas e externas da situação de Risco Reputacional identificada e as providências tomadas;

• Registrar, documentar e manter em arquivo todos os fatos e ações relacionadas com a situação de Risco Reputacional identificada.


Anexo I

• Escala de referência do risco reputacional

Nível do Risco

Situação Correspondente

Crítico

Impacto potencial ou real no todo ou em parte do Grupo (sanções administrativas, perda de valor de mercado, etc), ou Impacto potencial significativo na atividade da entidade, ou Impacto significativo na confiança da maioria das pessoas mencionadas em “Pessoas cuja confiança é essencial para o Grupo”.

Alto

Impacto potencial elevado ou real na atividade da entidade, ou Impacto elevado na confiança de algumas das pessoas mencionadas em “Pessoas cuja confiança é essencial para o Grupo”.

Médio

Nenhum impacto real, ou impacto muito limitado na atividade da entidade, ou Baixo impacto na confiança de uma única categoria de pessoas mencionadas em “Pessoas cuja confiança é essencial para o Grupo”.

Baixo Nenhum impacto rastreado na confiança das pessoas mencionadas em “Pessoas cuja confiança é essencial para o Grupo”.


Market Abuse

20 de Fevereiro de 2014

Nota: 1 Preenchimento Obrigatório. Responsável: Organização. 2 Preenchimento Obrigatório. Responsável: Autor.

Status1 Validado Versão1

Nível1 2 Tipo2 Instrução Permanente Escopo de Aplicação2 BNPP BR (todos os colaboradores)Emissor2 2OPC Entidade Responsável2 (Ex. Linha de Negócio, Função) Compliance & Control Processos Envolvidos2 Todos Riscos1 Alto Criticidade1

Palavra Chave2 Procedimento, Política, Norma, Instrução, Princípio.Autor2 Edson Okubo Aprovador1 Luis Pontes Data de Aprovação1 Data de Entrada em Vigor1

Data de Vencimento1 Indeterminada Procedimentos de nível superior Procedimentos Relacionados Normativos Regulatórios Relacionados


1. DISPOSIÇÕES GERAIS

Este normativo estabelece as diretrizes sobre “Abusos de Mercado” (Market Abuse) e tem o objetivo de preservar a integridade do mercado financeiro e de capitais do Brasil, com a adoção de medidas e de orientações relacionadas à conduta pessoal de nossos colaboradores, que impeçam as possibilidades de manipulação do mercado e do uso de informações privilegiadas (insider dealing) em benefício do colaborador ou do BNPP BR (Banco). Buscamos contribuir para a transparência completa e apropriada do mercado financeiro e de capitais, que é um pré-requisito para realizar operações com os agentes e entidades que participam do mercado e preservar a confiança do público em geral no mercado financeiro e de capitais.

2. DEFINIÇÕES

Esta diretriz aplica-se a qualquer instrumento financeiro regularmente negociado no mercado financeiro e de capitais, como por exemplo:

• Ações (à vista, termo e opções) • Mercados Futuros e de Opções • Swap´s e NDF´s • Operações com taxas de juros e moedas, • Outros instrumentos e operações financeiras regularmente aprovadas para

negociação pelo BNPP BR.

Os principais riscos visados em matéria de “Abuso de Mercado” são o uso indevido de uma informação privilegiada (insider dealing) e a manipulação de mercado, conforme segue: Informação Privilegiada (Insider Dealing).

� Insider Dealing:

Significa o uso de uma informação interna (ou dispor dessa informação ou tentar adquirir essa informação) de um instrumento financeiro, para benefício próprio ou de terceiros. O fato de um colaborador guardar uma informação interna não o qualifica em insider dealing, mas sim quando o colaborador usa ou transmite a informação para outras pessoas que não tem relação ou necessidade de saber da informação privilegiada.

� Manipulação do Mercado

Manipulações de mercado podem ser:

I) transações ou ordens de negociação que dão ou que existe a probabilidade de dar sinais falsos ou enganadores a respeito da fonte, da demanda ou do preço de instrumentos financeiros, ou que fixe para uma ou mais pessoas que atuam no negócio ou no mercado, um nível anormal ou artificial de preço de um ou mais instrumentos financeiros; II) transações ou ordens de troca que empreguem dispositivos fictícios ou quaisquer outras formas de engano ou de dispositivo; III) a disseminação de informações a partir da mídia, incluindo a Internet, ou por todos os outros meios que dê, ou que haja a probabilidade de dar, sinais falsos ou enganadores a


respeito dos instrumentos financeiros, incluindo a disseminação de boatos e notícias falsas ou enganadoras, onde a pessoa que fez a disseminação soube, ou deve ter sabido que a informação era falsa ou enganadora. A manipulação do mercado consiste em falsificar o mecanismo da determinação de preço de instrumentos financeiros.

3. NORMAS

• Obrigações de Vigilância

� Orientações aos Colaboradores

Os colaboradores, notadamente do Wealth Management, envolvidos em transações de mercado de capitais devem estar comprometidos a impedir o abuso de mercado e ficar atento a todas as situações que possam representar um risco de abuso de mercado.

De modo específico, os colaboradores devem: II) identificar no KYC os clientes que possuem vínculos empregatícios com empresas que tem ações negociadas em bolsas de valores, e que exercem posição ou atividade de destaque dentro da empresa, devendo exercer sobre eles um acompanhamento mais próximo das aplicações e investimentos que realizam através da sua conta no BNPP BR; II) prestar atenção aos sinais de alertas que podem revelar situações de abusos de mercado, como exemplificado abaixo.

� Sinais de Alerta

Exemplos de sinais de alerta de um “insider dealing”: I) Concentração de transações não usuais em relação a um instrumento financeiro, II) Concentração de ordens emitidas ou transações realizadas em um curto período de tempo no período de encerramento do mercado, acarretando em substancial mudança de preço de fechamento do ativo; III) repetição não usual de uma transação durante um determinado período, entre um pequeno número de clientes.

Exemplos de sinais de alerta de manipulação de mercado: I) ordens ou transações que representam uma porção significante do volume diário de transações em um instrumento financeiro que conduzem a uma variação de preço significante; II) grandes variações de preço em um instrumento ou no instrumento subjacente por pessoas que possuem posições curtas ou longas significantes; III) as melhores ofertas ou ordens de compra são canceladas antes da execução, em particular para produtos que não tem liquidez ou que tem preço fixado; IV) reversão de posição em um período curto, possivelmente junto a variações do preço; V) transações que não levam a uma mudança no beneficiário final de um instrumento financeiro ou destinado para alterar a avaliação de uma posição sem mudar seu tamanho; VI) transações executadas em, ou perto de, um ponto de referência da sessão para a cotação (por exemplo, fechamento, cálculo de chamada de margem, etc.), que têm um impacto significativo (preço, volume, etc.);


VI) transações cuja finalidade parece ser mudar o preço de um instrumento imediatamente antes da emissão de um produto relacionado; VII) transação cuja finalidade parece ser mudar o preço do instrumento subjacente de um produto derivativo comparado ao preço de exercício no vencimento.

Exemplos de sinais de alerta de “insider trading”: I) o cliente abre uma conta e imediatamente dá uma ordem para realizar uma operação significativa ou inesperada com uma ação (especialmente se o cliente insistir que a ordem seja realizada urgentemente ou que deve ser conduzida antes de um período específico); II) uma mudança significativa no perfil do comportamento ou de investimento do cliente (por exemplo, tipo de ação, quantidade investida, tamanho da ordem, tempo com o papel); III) o cliente pede especificamente a execução imediata de uma ordem não importando o preço em que a ordem seria executada; IV) transação significativa demandada por acionistas ou pessoas de posição relevante de uma empresa, antes do anúncio de eventos importantes relacionados com essa empresa; V) transação não usual ou significante antes de um comunicado público feito pela empresa, que poderia ter um impacto no preço; VI) transações pessoais dos colaboradores do Banco baseadas em informações obtidas no desempenho de atividades.

• Procedimentos em caso de suspeita

Quando identificada uma suspeita de abuso de mercado, devem ser tomadas as seguintes providências:

I) o Gerente de Relacionamento deve fazer um cuidadoso acompanhamento das operações realizadas pelo cliente suspeito; II) assim que for detectado um comportamento anormal ou tiver alguma dúvida de uma ou mais transação feita pelo cliente, baseado nos sinais de alertas mencionados acima, o Gerente de Relacionamento deve comunicar a suspeita para o seu superior imediato ou para o diretor responsável da área que entrará em contato com a área de Compliance; III) o Compliance Officer deverá analisar o caso e armazenar todos os documentos relevantes por um período de cinco anos, a partir da data em que o caso foi detectado; IV) baseado na análise do caso, o Compliance Officer pode fazer a comunicação do caso para as autoridades legais, se o resultado da análise apresentar claros indícios de suspeição; V) a comunicação do caso suspeito para as autoridades locais, deve ser reportada para o Wealth Management em Paris ou para o métier responsável, observadas as limitações legais aplicáveis; VI) o Gerente de Relacionamento ou outro colaborador do BNPP BR está proibido de informar o cliente e ou qualquer outra pessoa envolvida no caso suspeito, da comunicação do caso feita pelo BNPP BR às autoridades locais.

• Treinamento

Os colaboradores, especialmente aqueles que lidam diretamente com o mercado financeiro, devem receber um treinamento sobre “Abusos de Mercado”.


Esse treinamento será organizado pela área de Compliance, utilizando material de desenvolvimento próprio ou produzido pelo Grupo Compliance em Paris, sendo aplicado aos colaboradores considerados mais expostos em relação ao tema. A periodicidade de treinamento aos colaboradores não deve ultrapassar o período de dois anos.

• Penalidades

Importante ressaltar que qualquer colaborador do BNPP BR que cometa uma manipulação de mercado ou que utilize informações privilegiadas, coloca em risco a boa imagem e reputação do Banco e fica sujeito às sanções administrativas empregatícias e às penalidades legais aplicáveis de acordo com ICVM nº 08 de 08/10/1979 e da Lei nº 6.385 de 08/09/1976.

identificando e registrando incidentes operacionais · 2opc latam junho/2015 identificando e...

Documents