melhores prÁticas na gestÃo do risco … · também necessários investimentos em sistemas e...

MMEELLHHOORREESS PPRRÁÁTTIICCAASS

NNAA

GGEESSTTÃÃOO DDOO RRIISSCCOO OOPPEERRAACCIIOONNAALL

GGRRUUPPOO DDEE TTRRAABBAALLHHOO MMEELLHHOORREESS PPRRÁÁTTIICCAASS

CCoooorrddeennaaççããoo:: TTeerreennccee AAuugguussttoo GGuuiimmaarrããeess

MMeemmbbrrooss:: AAbbíílliiaa AAppaarreecciiddaa RRooddrriigguueess BBaassttooss,, CCeellssoo AAnnddrraaddee,, DDeemmeerrvvaall CCaarrvvaallhhoo,, EEuuddeettee FFiillhhaa,, HHuummbbeerrttoo SSuuggaaii ee WWaaggnneerr TTaavvaarreess

SSÃÃOO PPAAUULLOO,, MMAARRÇÇOO DDEE 22000066

http://www.febraban.org.br

“Um sistema financeiro saudável, ético e eficiente é condição essencial para o desenvolvimento econômico e social do País”

GTMP 2

PREFÁCIO Lidar com a incerteza e analisar riscos sempre foram características muito fortes da atividade

bancária. A gestão de riscos, através da utilização de modelos internos como ferramentas de

decisão, possibilita aos bancos um maior controle sobre as perdas potenciais, assegurando uma

melhor performance e minimizando a probabilidade de desastres financeiros. Desse modo, os

bancos que têm uma melhor gestão sobre seus riscos não só asseguram a estabilidade financeira,

como também apresentam uma vantagem competitiva em relação a seus concorrentes.

A globalização, a pressão competitiva do sistema financeiro e o desenvolvimento tecnológico estão

tornando as atividades bancárias e seus riscos cada vez mais complexos. Adicionalmente, a

ocorrência de alguns escândalos financeiros, como por exemplo, a que levou o Banco Barings à

falência, impulsionou a comunidade financeira e os órgãos reguladores a perceberem que a atividade

bancária, além dos riscos de crédito e de mercado, também estava sujeita a um outro tipo de risco: o

Risco Operacional, o qual poderia ter efeitos catastróficos, caso não fosse administrado.

A maioria desses grandes escândalos financeiros ocorreu em meados dos anos 90 e foi, justamente

no final dos anos 90, que a indústria financeira e, em especial o Comitê de Supervisão Bancária da

Basiléia1, passaram a sinalizar que o risco operacional, assim como o risco de crédito e de mercado

também deveria ser gerenciado através de metodologia específica.

Em 26.06.2004 foi publicado o novo acordo de exigência de capital da Basiléia2, popularmente

conhecido como Basiléia II. A grande inovação deste acordo, além da sofisticação na modelagem

dos riscos de crédito e de mercado, foi a introdução da exigência de capital para o risco operacional.

Suas recomendações estão divididas em três pilares: Pilar I – Alocação de Capital; Pilar II –

Processo de Supervisão Bancária; Pilar III - Transparência. O Pilar I oferece três alternativas para

calcular os encargos de capital de risco operacional em uma ordem crescente de sofisticação e

sensibilidade ao risco: (I) Método do Indicador Básico (BIA); (II) Método Padronizado (STA), e

Método Padronizado Alternativo (ASA); e (III) Método Avançado de Mensuração (AMA).

Complementarmente ao documento de exigência de capital, o Comitê de Supervisão Bancária de

Basiléia elaborou o documento "Sound Practices for the Management and Supervision of Operational

Risk"3 que é composto de dez princípios, sendo que oito destes orientam as instituições financeiras a

desenvolverem uma estrutura adequada de gestão do risco operacional e dois são voltados aos

órgãos supervisores.

1 O comitê de Supervisão Bancária de Basiléia é um grupo de autoridades supervisoras, que foi estabelecido pelos bancos centrais do G10 em 1975. Fazem parte deste comitê representantes seniores dos bancos centrais da Bélgica, Canadá, França, Itália, Luxemburgo, Holanda, Suécia, Suíça, Inglaterra e Estados Unidos. A sede do comitê é na Basiléia - Suíça, onde ocorrem às reuniões no Bank for International Settlements, BIS. 2 International Convergence of Capital Measurement and Capital Standards. 3 Publicado em fevereiro de 2003 pelo BIS - Bank for International Settlements - Instituição Financeira de Compensações Internacionais



GTMP 3

Outro ponto importante, refere-se a mais recente publicação do Banco Central, a Resolução 3.380

(vide anexo), que dispõe sobre a implementação de uma estrutura de gerenciamento de risco

operacional.

Vale ressaltar que, independente do método de alocação de capital escolhido pela instituição

financeira, a adoção das melhores práticas será exigida, conforme descrito no novo acordo de

Basiléia.

O presente trabalho é o resultado do estudo e análise do documento "Melhores Práticas de Gestão

do Risco Operacional"4. O valor agregado deste trabalho está na contribuição das instituições

financeiras que participaram desta iniciativa compartilhando suas melhores práticas, pois uma gestão

adequada do risco operacional vai além do simples cumprimento das exigências regulatórias,

devendo estar atrelada aos princípios e estratégias da instituição financeira, adicionando valor ao

acionista e promovendo solidez ao mercado financeiro.

As implicações de Basiléia II e da Resolução 3.380 são abrangentes e exigem das instituições

financeiras decisões quanto à alocação de recursos – tanto de capital, quanto humanos. Serão

também necessários investimentos em sistemas e processos, bem como a definição e priorização de

um projeto para adequação às novas exigências.

4 Tradução livre adotada pelo grupo para "Sound Practices for the Management and Supervision of Operational Risk".



GTMP 4

COLABORADORES E AGRADECIMENTOS

Este grupo de trabalho contou com a colaboração de representantes dos seguintes bancos: ABN

Amro Real, Bradesco, Banco do Brasil, Caixa Econômica Federal, Deutsche Bank, Rabobank e

Unibanco.

Agradecimento à FEBRABAN5 que vislumbrou e patrocinou esta iniciativa e, em especial, às

instituições financeiras acima mencionadas cuja valorosa colaboração por meio de seus

representantes contribuiu para a realização deste trabalho.

5 FEBRABAN - Federação Brasileira de Bancos – Associação civil sem fins lucrativos que congrega instituições financeiras bancárias, com atuação no território nacional, e associações representativas de instituições financeiras e congêneres, de âmbito nacional ou regional. Tem como finalidade a congregação de suas associadas, para fortalecimento do sistema financeiro e de suas relações com a sociedade, de forma a contribuir para o desenvolvimento econômico e social do país.



GTMP 5

SUMÁRIO

1. Introdução

2. Desenvolvimento de um ambiente adequado para a gestão do risco operacional

a. Papéis e responsabilidades

b. Estruturação

c. Validação

3. Gestão do risco operacional

a. Identificação e avaliação

b. Monitoramento e reporte

c. Avaliação de exposição e revisão de controles

d. Plano de contingência e continuidade de negócios

e. Teste e verificação

4. Transparência

a. Importância da divulgação ao mercado

5. Papel dos órgãos supervisores

6. Conclusão

7. Bibliografia referenciada

8. Anexos

• Mensuração e cálculo do capital para risco operacional;

• Sound practices for the management and supervision of operational risk.

• Banco Central - Comunicado 12.746

• Banco Central - Resolução 3.380



GTMP 6

1. INTRODUÇÃO

Em março de 2004, a Subcomissão de Gestão de Riscos Operacionais da FEBRABAN decidiu criar

três grupos de trabalhos específicos para desenvolver estudos relacionados a riscos operacionais:

i) Melhores Práticas na Gestão do Risco Operacional;

ii) Indicadores-Chave de Riscos;

iii) Auto-Avaliação de Riscos.

Este documento é resultado do Grupo de Trabalho Melhores Práticas na Gestão do Risco

Operacional, cujo objetivo foi evidenciar os aspectos práticos na implementação de uma estrutura

efetiva na gestão de risco operacional nas instituições do sistema financeiro brasileiro.

Este estudo tomou como base, o documento "Melhores Práticas na Gestão do Risco Operacional".

Cada integrante do grupo interpretou os princípios e apresentou a estrutura de risco operacional

existente na instituição financeira a qual pertence, demonstrando suas práticas e procedimentos

relativos aos princípios estabelecidos pelo Comitê de Basiléia e Resolução 3.380. Após a

equalização do entendimento foram identificadas dezenove melhores práticas aplicadas à realidade

brasileira.

As melhores práticas identificadas pelo grupo estão subdivididas em quatro grandes tópicos:

i) Desenvolvimento de um ambiente adequado para gestão do risco operacional;

ii) Gestão do risco operacional;

iii) Transparência;

iv) Papel dos órgãos supervisores.

Para cada um dos tópicos acima, há uma breve introdução do assunto tratado, seguido de descrição

das melhores práticas e, respectivo detalhamento.

Ao final do documento, encontram-se anexos textos relacionados e referências bibliográficas.



GTMP 7

2. DESENVOLVIMENTO DE UM AMBIENTE ADEQUADO DE GESTÃO DO RISCO OPERACIONAL

Para desenvolvimento de um ambiente adequado de gestão do risco operacional, as melhores

práticas recomendam o comprometimento da alta administração e da alta gerência da instituição.

Este comprometimento se faz necessário para assegurar que o projeto seja priorizado, pois o

alcance e o impacto das perdas operacionais são amplos e afetam todas as partes do negócio da

instituição.

Na nova visão de gerenciamento de riscos operacionais as recomendações do Comitê de Basiléia e

da Resolução 3.380, aumentam a responsabilidade e obrigatoriedade de prestação de contas da alta

administração, daí a necessidade da definição clara de papéis e responsabilidades e da criação de

uma estrutura para gestão do risco operacional nas instituições. Essa estrutura deve transformar as

recomendações do Comitê de Basiléia em políticas e procedimentos para gestão dessa categoria de

risco, onde todos os produtos, atividades, processos e sistemas devem ser contemplados.

É fundamental o acompanhamento da gestão e das metodologias aplicadas com a finalidade de

respaldar a tomada de decisão. A alta administração, portanto, a fim de assegurar que os

procedimentos realizados pela estrutura de gestão do risco operacional estejam de acordo com as

políticas da instituição financeira, nomeia uma auditoria interna a qual deve assegurar que o risco

operacional esteja sendo avaliado em toda a instituição.

O risco operacional está presente em todos os processos da instituição financeira e é decorrente de

falhas operacionais que podem acontecer em diferentes etapas destes processos, assim a instituição

financeira deve manter-se permanentemente atualizada com relação aos processos existentes e

seus respectivos controles de avaliação e mitigação do risco.



GTMP 8

a. Papéis e responsabilidades

MP1. A alta administração deve estar atenta ao risco operacional da instituição financeira, como uma categoria distinta de risco a ser gerenciada.

MP2. A alta administração deve aprovar uma estrutura6 de gestão do risco operacional para toda a instituição, provendo-a com recursos adequados.

MP3. A alta administração deve revisar periodicamente a estrutura de gestão do risco operacional, adequando-a quando necessário.

MP4. A alta gerência deve ser responsável pela implementação da estrutura de gerenciamento do risco operacional aprovada pela alta administração em toda a instituição.

MP5. Todos os níveis hierárquicos devem entender suas responsabilidades com relação à gestão do

risco operacional em suas atividades.

Visando à eficácia na gestão do risco operacional da instituição financeira, a alta administração tem o

comprometimento de:

• Patrocinar o processo de gestão, por meio de comitês, grupos de trabalhos ou fóruns

específicos, onde os processos de definição, aprovação, execução das diretrizes do

gerenciamento do risco operacional são levados em pauta, objetivando o envolvimento e

incentivo necessário para manter as boas práticas dos mesmos;

• Aprovar e revisar pontualmente a estrutura, que deverá ser específica e independente, para

garantir o sucesso do gerenciamento de risco, demonstrando assim o necessário

comprometimento com as melhores práticas de governança corporativa; bem como as regras de

segregação de funções, que definam claramente as responsabilidades entre as atividades de

decisão, execução e controle em toda a instituição financeira;

• Reconhecer a gestão do risco operacional como uma categoria de risco distinta dos riscos de

mercado, liquidez e de crédito, e estabelecer políticas e procedimentos formais adequados para

propiciar a identificação, segregação, avaliação, mensuração, gestão e mitigação dos riscos

operacionais;

• Estar diretamente envolvida e informada sobre a implementação e gestão do risco

operacional da instituição financeira, com a finalidade de possibilitar a avaliação e impacto da

exposição e tomar decisões em conformidade com as estratégias de controle e da aceitação ao

risco.

6 Estrutura (“Framework”) de risco operacional compreende todo o arcabouço necessário para a gestão do risco operacional, desde o organograma, linhas de reporte, responsabilidades, políticas, procedimentos até as ferramentas e metodologias de mensuração e gestão.



GTMP 9

A alta gerência tem o compromisso de:

• Respaldar a alta administração com informações relevantes sobre a implementação e gestão

do risco operacional da instituição;

• Implantar a estrutura de risco operacional com ferramentas adequadas, assegurando a

efetividade no gerenciamento do risco em conformidade com as melhores práticas de gestão;

• Promover a disseminação da cultura de risco operacional para toda a instituição por meio de

cartilhas, treinamentos, seminários, palestras, publicações ou outros;

• Avaliar a possibilidade de ocorrência das perdas, o impacto resultante e a possibilidade de

recuperação, por meio da identificação de atividades sujeitas às perdas operacionais;

• Definir o conceito e abrangência do risco operacional que deve ser único por toda a

instituição financeira. Abaixo a definição7 do risco operacional que está descrita no documento de

Basiléia II:

“Risco operacional é o risco de perda resultante de processos, pessoas e sistemas internos

inadequados ou falhos e de eventos externos” 8. Essa definição inclui o risco legal, mas exclui os

riscos estratégicos e de reputação.

A seguir, alguns exemplos de riscos operacionais:

• Processos – falha no registro, processamento ou liquidação de transações, contas de

clientes, negócios diários e falhas na apresentação de relatórios obrigatórios. Exemplos:

ressarcimento e indenização a clientes por transferência indevida ou liquidação de cheques

sustados ou contendo irregularidade, multa por perda de prazos para recolhimento de impostos e

contribuições, falha do cadastro de clientes, perda de prazo para ingresso de defesa, recurso

judicial ou homologações trabalhistas, indenizações decorrentes de processos trabalhistas etc.

• Pessoas – perdas causadas por funcionários ou com participação indireta destes ( de

maneira intencional ou nãol), ou advindas pelo relacionamento com clientes, acionistas, ou

terceiros. Exemplos: desvio de recursos de contas contábeis, contas correntes ou investimentos,

ou alteração do favorecido do crédito; acidentes envolvendo clientes ou terceiros nas

dependências da instituição, fraudes internas e externas, etc.

• Sistemas – perdas decorrentes da interrupção de negócios ou falha de sistemas, causadas

pela indisponibilidade de infra-estrutura ou recursos de TI. Exemplos: indisponibilidade,

incapacidade, falta de manutenção, inadequação, falhas de sistemas ou inexistência de backup

ou de plano de contingência, relacionados a equipamentos, software básico, sistemas aplicativos

ou infra-estrutura de comunicação e energia.



GTMP 10

• Eventos externos – perdas causadas por terceiros, danos a patrimônio ou ativos. Exemplos:

atos terroristas, sabotagens, guerras, tumultos, arrombamento, vandalismo, incêndios,

desabamentos, acidentes viários, inundações, raios, terremotos, explosões, etc.

Risco legal é o risco decorrente de incertezas em relação à legislação em vigor, sua interpretação e

ao processo judicial aos quais as instituições financeiras estão expostas, incluindo litígios e contratos

mal elaborados.

Não apenas a alta administração e a alta gerência, mas sim todos os níveis hierárquicos da

instituição têm papéis e responsabilidades em relação à gestão do risco operacional em suas

atividades para a eficácia na gestão do risco operacional.

7 Internamente as instituições financeiras podem ter pequenas variações desta definição. 8 Tradução Livre



GTMP 11

b. Estruturação

MP6. A estrutura de risco operacional deve ser responsável por desenvolver políticas, processos e procedimentos para a gestão do risco operacional. Todos os produtos, atividades, processos e sistemas considerados relevantes para a instituição financeira devem ser contemplados.

MP7. A estrutura de risco operacional deve estabelecer os princípios corporativos de como este deve ser identificado, mensurado, avaliado, monitorado e gerenciado, definindo claramente papéis e responsabilidades para toda a instituição.

MP8. Esta estrutura deve adotar e difundir uma única definição de risco operacional, válida para toda a instituição.

A estrutura de risco operacional é composta de políticas, princípios, ações, procedimentos e

responsabilidades. Na implementação desta estrutura se faz necessário:

• Transformar as recomendações do Comitê de Basiléia em políticas, processos, procedimentos e

ações passíveis de serem realizadas pela instituição;

• Prover recursos adequados que assegurem todas as a realizações necessárias;

• Assegurar a documentação adequada de todas as implementações que compõem a estrutura

de risco operacional;

• Definir claramente as funções e responsabilidades inerentes à estrutura de risco operacional;

• Estabelecer mecanismos adequados de reportes internos e externos. Criar canais de

comunicação efetivos para divulgar a estratégia de gerenciamento e disseminar cultura de risco

operacional em toda a instituição;

• Prover treinamento e qualificação adequados aos funcionários de toda a instituição em relação

ao risco operacional;

• Definir políticas de incentivo à adoção de estratégias de gestão risco;

• Implementar e manter a estrutura de risco operacional em conformidade com normas internas

(resolução 3.380) e externas;

• Promover treinamentos periódicos internos e externos apropriados para os diversos níveis

hierárquicos voltados ao risco operacional;

• Monitorar os principais riscos associados a produtos, atividades, processos e sistemas da

instituição por meio de ferramentas adequadas (in loco ou remota);

• Definir, padronizar e formalizar a linguagem de risco operacional para a instituição.



GTMP 12

c. Validação

MP9. A estrutura de gestão do Risco Operacional da instituição financeira deve estar sujeita a uma efetiva e abrangente auditoria interna.

MP10. A auditoria interna deve ser independente e composta por pessoas treinadas.

MP11. A função de auditoria interna não deve ser diretamente responsável pelo gerenciamento do risco

operacional.

A auditoria interna deve:

• Verificar se a estrutura de risco operacional está implementada em toda a instituição;

• Reportar-se diretamente à alta administração a fim de garantir isenção e autonomia no exercício

de suas atividades nas diversas diretorias, departamentos, agências ou qualquer órgão da

instituição;

• Estar atualizada e ser constantemente treinada para exercer suas atividades com eficácia;

• Ser responsável pela verificação do nível de aderência das metodologias e procedimentos de

avaliação, mensuração e gestão dos riscos operacionais;

E não pode:

• Ser responsável pela gestão do risco operacional;

• Ter qualquer ação gerencial na estrutura de risco operacional.

A auditoria interna agrega mais valor à instituição quando garante que:

• Os principais riscos operacionais estão sendo gerenciados corretamente;

• A estrutura de risco operacional está funcionando de forma efetiva e eficaz.

Desta forma, a auditoria interna pode aconselhar ou até mesmo contestar e apoiar as decisões

relacionadas ao gerenciamento do risco, mas nunca tomá-las como sua responsabilidade, a qual

deve ser atribuída à estrutura de risco operacional.



GTMP 13

3. GESTÃO DO RISCO OPERACIONAL

O gerenciamento do risco operacional adequado está diretamente relacionado ao conhecimento dos

processos existentes na instituição. Todos os processos críticos devem ter seus riscos operacionais

identificados, avaliados, monitorados e controlados.

O estabelecimento de controles internos é fundamental para a gestão eficiente do risco operacional

e é um dos alicerces para uma atividade bancária sólida e segura. Quando bem definidos e

implementados os controles internos auxiliam a instituição financeira a resguardar seus recursos,

minimizando o risco de grandes perdas operacionais. Além disso, um efetivo sistema de controles

internos reduz a probabilidade de erros humanos e irregularidades em processos e sistemas.

No entanto, existe a possibilidade de fatores externos adversos, tais como catástrofes naturais ou

até mesmo terrorismo que são alheios ao controles internos e podem provocar interrupções drásticas

nestes processos. Para que as conseqüências destas interrupções não sejam muito prejudiciais à

saúde financeira da instituição, esta deve possuir um plano de contingência e continuidade

de negócios.



GTMP 14

a. Identificação e avaliação

MP12. A instituição financeira deve identificar e avaliar o risco operacional inerente aos produtos, serviços, processos e sistemas considerados relevantes.

MP13. A instituição financeira deve assegurar que novos produtos, serviços, processos e sistemas, antes de serem lançados ou implementados, tenham os seus riscos operacionais identificados e

avaliados.

A instituição deve definir e aplicar metodologia de identificação, mensuração e monitoramento dos

níveis de risco operacional através de:

• Processos de auto-avaliação realizados pelos gestores, com objetivo de identificar e mapear os

riscos e os controles praticados;

• Apuração de perdas operacionais, registrando-as em base de dados para a formação de

indicadores e base estatística para suportar os modelos avançados de mensuração de capital.

Vale ressaltar que a base de dados de perdas também é um instrumento de gestão à medida

que as maiores perdas são analisadas, investigadas e planos de ação são implantados para

eliminar suas principais causas;

• Formação de Indicadores Chaves de Risco, visando acompanhar e controlar os riscos

operacionais identificados e exposição às perdas, tendo em vista a mitigação eficiente dos

mesmos;

Todos os produtos, serviços, processos, sistemas, unidades/atividades e pessoas devem ser

avaliados sob o enfoque de risco operacional.

Dessa forma, a instituição deve:

• Mapear seus processos internos a fim de identificar e avaliar os riscos operacionais em todas

as atividades;

• Os processos devem ser classificados de acordo com a importância e criticidade para a

instituição, de acordo com os parâmetors definidos por uma classificação de risco;

• Implantar e gerenciar processos e procedimentos de controle, para garantir a aderência às

políticas internas e regulamentações externas sobre o sistema de administração de risco;

• Formalizar a conformidade de novos produtos, serviços e sistemas, que serão avaliados sob

enfoque do risco operacional antes de serem lançados (O aprimoramento ou adaptação de

produtos e serviços existentes também deve ser submetidos aos procedimentos de avaliação



GTMP 15

para identificar riscos operacionais antes de serem adotados). Adicionalmente, um programa de

revisão periódico deve ser em colocado em prática de acordo com a relevância exigida;

• Avaliar e sugerir medidas de controles internos capazes de mitigar os riscos e verificar a sua

adequação e atualização nos sistema de monitoramento.

Além disso, a instituição deve estar atenta aos aspectos quantitativos e qualitativos dos eventos de

perdas operacionais, analisando-os de forma integrada, para a adequação dos processos internos e

conseqüentemente uma melhor gestão dos riscos operacionais.

Para viabilizar todas estas iniciativas, a instituição deve ter uma estrutura de risco operacional para

coordenar e suportar as áreas envolvidas no esforço de identificar as maiores exposições a riscos

operacionais existentes nas suas atividades;



GTMP 16

b. Monitoramento e reporte

MP14. A instituição financeira deve implementar um processo para monitorar regularmente o perfil do risco operacional e a exposição às perdas.

MP15. A alta administração e a alta gerência devem receber regularmente informações que permitam o gerenciamento pró-ativo dos riscos operacionais. Estes reportes devem conter informações por

unidade, bem como resultados corporativos.

A prática de um gerenciamento de risco efetivo é fundamentada em procedimentos, métodos e

técnicas padronizadas aplicadas em toda a instituição financeira. Objetiva monitorar e reportar as

exposições a riscos de qualquer natureza nas diversas atividades e processos desenvolvidos,

produtos ou serviços oferecidos.

Relatórios de exposições consolidadas de risco permitem melhor embasamento para decisões

quanto à continuidade de atividades, investimentos em alterações de processos ou de melhorias nos

controles e adequada alocação de capital para suportar eventuais perdas. Benefícios dessas

análises são: a intensificação da cultura para riscos e controles, a redução das perdas esperadas, as

melhorias na formalização dos procedimentos, bem como, as garantias no cumprimento de

determinações da supervisão bancária, mediante a emissão de normas e procedimentos específicos.

• Implantar relatórios de riscos que sinalizem os aspectos qualitativos do risco operacional,

tratando-os com foco na revisão de processos e controles, com o objetivo de traçar planos de

ações eficientes para sua mitigação;

• Aprovar diretrizes, parâmetros e questões relacionadas ao gerenciamento de riscos

operacionais por meio de fórum específico – comitê de risco – que promova a articulação de

ações relativas à implementação de normas e procedimentos relacionados ao risco operacional;

• Monitorar os riscos, conforme o perfil e a exposição existentes, informando-os regularmente por

meio de comunicação independente e que abranja todo o processo desde a identificação até ao

plano de ação com vistas à mitigação.

• Assegurar a existência de informações abrangentes e adequadas, bem como, confiáveis,

oportunas e acessíveis.

• Todos os riscos identificados devem ser reportados de forma tempestiva e ao nível apropriado,

para que sejam solucionados de forma rápida. Aqueles que representam impacto significativo

devem ser submetidos à alta administração.

• Para o alcance dos objetivos quanto à eficácia do processo, deve existir o monitoramento

permanente dos principais riscos operacionais.



GTMP 17

c. Avaliação de exposição e revisão de controles

MP16. A instituição financeira deve ter políticas, processos e procedimentos para controlar e minimizar a exposição aos riscos operacionais relevantes.

MP17. A instituição financeira deve revisar periodicamente sua exposição ao risco, revendo seus controles e ajustando-os de acordo com suas estratégias e seu apetite ao risco.

A definição e implementação de políticas, processos e procedimentos para controlar e minimizar a

exposição é fundamental para a gestão eficiente do risco operacional e é um dos alicerces para a

solidez e segurança da atividade bancária.

A instituição financeira pode decidir quanto ao uso de diferentes alternativas na gestão de seus riscos

operacionais:

• Mitigar: um sistema efetivo de controles internos irá reduzir a possibilidade de erros

humanos e irregularidades em processos e sistemas, auxiliando a instituição financeira a

resguardar seus ativos, minimizando o risco de perdas e contravenções contra leis e

regulamentações;

• Reter: em algumas situações, as instituições financeiras podem decidir reter certo nível de

risco operacional, que poderá ser precificado através de um orçamento para perdas

operacionais;

• Transferir: nem todos os eventos de risco operacional podem ser evitados. Por exemplo,

desastres naturais, ataques terroristas, dentre outros são tipos de eventos que as

ferramentas ou programas de mitigação de risco operacional não conseguem evitar. Para

estes casos, a instituição financeira poderá definir algumas estratégias para externar parte da

severidade, como por exemplo, estabelecer de políticas de seguro;

• Recusar: a instituição financeira poderá reduzir o nível de atividades do negócio envolvido,

ou mesmo, retirar-se desta atividade completamente, eliminando o risco operacional.

Em todos os casos, se o risco operacional está presente, a decisão em relação à sua estratégia de

gestão deve ser transparente dentro da organização e deve ser consistente com o objetivo da

instituição financeira e seu apetite ao risco.

Enquanto a definição de gestão do risco operacional diz algo sobre a quantidade de risco que um

negócio queira suportar, o apetite ao risco não pode ser simplesmente definido por métricas pré-

definidas. Deve ser levado em consideração todos os aspectos que envolvem a gestão de riscos,

bem como a estratégia de negócio da instituição.



GTMP 18

A alta administração, através de seu conhecimento de negócios e do ambiente interno, deve ser

capaz de determinar qual o nível aceitável de tolerância ao risco. O principal desafio é fazer com que

a estratégia global e a perspectiva de risco sejam comunicadas e entendidas por todos em todos os

níveis da organização, refletindo esta atitude no processo de tomada de decisões.

O apetite ao risco é um exercício que deve ser refletido e praticado em cada estratégia e processo de

tomada de decisão. Para alcançar um entendimento completo é necessário avaliar:

• Se todos os riscos foram considerados;

• Se os limites operacionais e estratégicos são adequados e refletem a correta atitude de

gestão perante aos riscos;

• Se as alterações nos negócios estão refletidas nas avaliações de riscos;

• Se os gestores de negócios adequam sua postura em função dos limites impostos pela

gestão de riscos;

• Se a instituição revisa periodicamente sua exposição ao risco, revendo seus controles e

ajustando-os de acordo com suas estratégias;

• Se a gestão de risco é divulgada consistentemente por toda a instituição;

Além de políticas e procedimentos formais para a revisão da exposição ao risco, estes precisam ser

fundamentados por uma forte cultura de controle, que promova a gestão do risco operacional. Por

exemplo, identificar linhas de negócios ou produtos onde os lucros pareçam ser significativamente

acima das expectativas e podem chamar a atenção para uma possível quebra de controles internos.



GTMP 19

d. Plano de contingência e continuidade de negócios

MP18. A instituição financeira deve possuir planos de contingência e de continuidade de

negócios para garantir sua capacidade de operar e minimizar suas perdas na eventualidade de interrupções drásticas de suas atividades.

Plano de Contingência e de Continuidade de Negócios pode ser entendido como o conjunto de

medidas preventivas e de recuperação no caso de um desastre ou qualquer outra interrupção

drástica de negócios. Estas medidas, vão muito além da simples adoção de um plano de seguro e,

devem assegurar a capacidade da instituição financeira em operar em bases contínuas.

Os princípios de gerenciamento do risco operacional devem assegurar que todos os processos

críticos têm seus riscos identificados, avaliados, monitorados e controlados. No entanto, existe a

possibilidade de fatores adversos, que não podem ser evitados, provocarem interrupções drásticas

nestes processos. Para que estas interrupções não proporcionem sérias conseqüências, a instituição

deve possuir um plano de contingência e continuidade de negócios.

A instituição financeira deve rever periodicamente seu plano de contingência e de continuidade de

negócios, a fim de mantê-lo atualizado e consistente com as operações e estratégias correntes. Além

disso, este plano deve ser testado periodicamente para assegurar que a instituição financeira possa

executá-lo num evento de descontinuidade severa dos negócios.

O plano de contingência e de continuidade de negócios envolve basicamente quatro fatores:

• Infra-estrutura de pessoal (pessoas e responsabilidades);

• Infra-estrutura física (local e recursos);

• Infra-estrutura tecnológica (hardware e software);

• Serviços externos (essenciais ao processo).

O plano de contingência e de continuidade de negócios deve ser um processo contínuo no qual a

instituição financeira deve:

• Identificar e analisar impactos nos negócios e perdas potenciais;

• Garantir a continuidade dos negócios, operações e serviços;

• Priorizar os processos críticos definidos corporativamente, incluindo todas as atividades da linha

de frente às áreas de suporte;



GTMP 20

• Conter detalhadamente todas as atividades, procedimentos, responsabilidades e necessidades

de recursos no momento de uma eventual interrupção;

• Garantir que as informações sobre os planos de contingência e de continuidade de negócios

estejam sempre atualizadas e acessíveis (física e eletronicamente);

• Atentar para alterações na legislação vigente que afetem o plano e, garantir sua comunicação

às pessoas da instituição responsáveis pela sua manutenção;

• Estar preparado para comunicações externas em caso de desastre;

• Informar novos funcionários sobre a política existente na instituição e, incentivar a participação

no treinamento do plano de contingência e de continuidade de negócios.

• Definir responsabilidade de atuação para cada funcionário, na execução do plano de

contingência e de continuidade de negócios;

• Manter equipes treinadas nas suas respectivas responsabilidades para agilizarem o processo de

recuperação e continuidade de qualquer negócio.

• Analisar periodicamente a documentação existente para suportar a restauração do ambiente em

situação de desastre;

• Manter uma lista de contatos atualizada, inclusive de principais fornecedores e clientes;

• Testar as ações para restauração do ambiente sinistrado;

• Simular situações emergenciais;

• Preparar ações necessárias à recuperação do Centro de Tecnologia da Informação.

A maneira como será implementado um plano de continuidade e recuperação de negócios nem

sempre exigem todas as atividades acima mencionadas. Cada instituição deve estar atenta ao seu

ambiente, suas características e apetite ao risco.



GTMP 21

4. TRANSPARÊNCIA

A alta administração terá que assegurar que seu processo de gestão do risco operacional está à

altura do exame regulamentar e da transparência exigida pelo princípio de divulgação.

É importante salientar que, relacionada à exigência de capital regulatório, poderá ser exigido relatório

público periódico sobre a metodologia de gestão do risco operacional, bem como principais métricas

e indicadores utilizados pelas instituições financeiras.

A divulgação da metodologia e números envolvendo a gestão do risco operacional utilizada pela

instituição financeira poderá afetar as percepções do mercado e poderá ser utilizada como um

indicador da solidez desta instituição. As instituições financeiras e os órgãos de supervisão

precisarão avaliar como divulgar o risco operacional para não gerar efeitos adversos ao esperados

pelo princípio de transparência.

Neste sentido, será preciso avaliar corretamente o impacto potencial dessas divulgações,

desenvolvendo estratégias de divulgação e comunicações adequadas.



GTMP 22

a. Importância da divulgação ao mercado

MP19. A instituição financeira deve fornecer informações suficientes para permitir aos participantes do

mercado avaliarem sua metodologia de gestão do risco operacional.

A alta administração terá que assegurar que seu processo de gestão do risco operacional possui um

processo adequado de transparência, pois:

• A transparência sobre a gestão do risco operacional é a única forma que o mercado possui de

avaliar o perfil de risco operacional de uma instituição financeira. Além de trazer conforto aos

agentes do mercado, estas iniciativas também promovem uma competitividade saudável entre

as instituições financeiras na gestão de seus riscos.

• Facilita a avaliação do mercado às instituições financeiras, pois estas devem publicar

periodicamente em suas demonstrações financeiras as principais estratégias e estrutura

utilizada no gerenciamento de seus riscos operacionais.

Estes reportes devem servir de base para que os agentes de mercado possam avaliar quais são as

instituições financeiras que estão criando os incentivos adequados para a gestão do risco

operacional.



GTMP 23

5. PAPEL DOS ÓRGÃOS SUPERVISORES

O BIS fundamenta aos bancos centrais de cada país a responsabilidade de supervisão e fiscalização

das instituições financeiras locais.

Não basta somente implantar uma estrutura de gestão de risco operacional. Esta deve vir

acompanhada de um processo de supervisão regulamentar contínuo e eficaz.

As evoluções no modelo de supervisão do Banco Central do Brasil mostram que o foco está na

gestão de processos, riscos e controles. A gestão de riscos operacionais deve ter visão proativa para

prevenir, monitorar e ter como estratégia fundamental a minimização de suas exposições.

Por meio desse modelo de supervisão, helen instrumentos objetivos para o acompanhamento e

certificação dos processos e controles em aderência aos níveis de exposição das instituições

financeiras. Além disso, permite-se avaliar se a operacionalidade da instituição está saudável, segura

e constituindo capital suficiente para cobertura desses riscos.

Esses procedimentos agregam maiores níveis de estabilidade e credibilidade ao sistema financeiro

como um todo.

O Grupo de Trabalho Melhores Práticas na Gestão do Risco Operacional optou por não descrever

nenhuma melhor prática associada aos princípios 8 e 9 do Comitê de Basiléia, pois os mesmos são

dirigidos aos Órgãos Supervisores Nacionais.



GTMP 24

6. CONCLUSÃO

O risco operacional está presente nas atividades bancárias e pode trazer conseqüências negativas

graves, relacionadas às perdas decorrentes de causas diversas. Identificar qual exposição ao risco e

determinar, em que nível esta é tolerada na condução dos negócios, é componente importante na

cultura de gestão de riscos da instituição. Essa escolha deverá variar ao longo do tempo, refletindo o

ambiente de negócios, o comportamento da concorrência, necessidades dos clientes e as

expectativas de resultado.

Nesse contexto, o gerenciamento do risco operacional torna-se ferramenta indispensável para os

processos de tomada de decisão e fator de diferenciação competitiva, possibilitando a avaliação da

relação risco-retorno. Outro fator a ser ressaltado, diz respeito à agregação de valor à marca, na

medida que dá suporte às áreas de negócios, ajudando-as na manutenção de suas atividades e

assegurando a otimização dos recursos e da alocação de capital em benefício dos acionistas e da

sociedade, demonstrando o comprometimento da instituição financeira com as melhores práticas de

governança corporativa.

A implementação com sucesso de um gerenciamento eficaz de risco é condicionada pelo amplo

comprometimento das pessoas com o processo, especialmente a alta administração, alta gerência e

os gestores. A gestão do risco operacional deve ser incorporada na cultura corporativa.

Gerenciar riscos é atuar no sentido de identificá-los, mapeá-los, mensurá-los, consolidá-los e reportá-

los para, a partir daí, atuar sobre as oportunidades existentes e adotar medidas de controle

preventivas, possibilitando mitigar os fatores que direta ou indiretamente venham a afetar os

negócios, sejam eles oriundos de situações inerentes à própria instituição e/ou aqueles originados de

situações externas à mesma, e provocados por aspectos conjunturais.

Conforme foi mencionado no Prefácio deste documento, no processo de gerenciamento de riscos, as

instituições financeiras devem estar atentas à atualização abordada no Novo Acordo de Basiléia, ou

Basiléia II, que objetiva o aperfeiçoamento contínuo e amplificado na gestão de seus riscos

operacionais e a conformidade dos processos, produtos, serviços e operações neste quesito.

Através deste documento procuramos apresentar de forma resumida os principais aspectos

relacionados às melhores práticas de gestão de risco operacional - Estruturação, Gestão e

Transparência, considerando a interpretação dos tópicos existentes no documento emitido pelo BIS,

bem como através das práticas e procedimentos existentes nas instituições financeiras participantes

deste grupo de trabalho.



GTMP 25

7. BIBLIOGRAFIA REFERENCIADA

BIS (Bank for International Settlements). Sound Practices for the Management and Supervision of

Operational Risk. Basiléia, Fev. 2003.

BIS (Bank for International Settlements). International Convergence of Capital Measurement and

Capital Standards, A Revised Framework, Basiléia, Jun. 2004

BACEN (Banco Central do Brasil). COMUNICADO 12.746 - Comunica os procedimentos para a

implementacao da nova estrutura de capital - Basileia II, Brasília, Dez. 2004

BACEN (Banco Central do Brasil). Resolução 3.380 - Dispõe sobre a implementação de estrutura

de gerenciamento do risco operacional., Brasília, Jun. 2006

GUIMARÃES, T.A., Implementação do Método de Distribuição de Perdas para Risco Operacional.

São Paulo. Dissertação de Mestrado, Universidade de São Paulo, 2003.

MARSHAL, L.C., Medindo e Gerenciando Riscos Operacionais em Instituições Financeiras. Rio de

Janeiro: Qualitimark, 2002.

OCC (Office of the Comptroller of the Currency). Supervisory Guidance on Operational Risk

Advanced Measurement Approaches for Regulatory Capital, Estados Unidos, Jul., 2003



GTMP 26

8. ANEXOS

MENSURAÇÃO E CÁLCULO DO CAPITAL PARA RISCO OPERACIONAL

Mesmo às instituições brasileiras para as quais o capital regulamentar para risco operacional ainda

não é uma exigência regulamentar9 é preciso se preparar.

As exigências terão implicações em sistemas, processos e recursos humanos que precisam ser

consideradas como questão de urgência. As instituições financeiras precisarão realizar um trabalho

significativo para que os processos de coleta de dados de perdas operacionais estejam à altura dos

padrões exigidos por Basiléia e, quando aplicável, desenvolvam modelos adequados.

A seguir, estão resumidas as abordagens para o cálculo de capital para risco operacional,

apresentadas nos documentos de Basiléia II:

• Indicador Básico (BIA)10 - As Instituições que utilizam o Método do Indicador Básico devem

possuir capital para o risco operacional equivalente a uma porcentagem fixa (denominada alfa)

sobre o valor da média anual do resultado bruto positivo dos três anos precedentes.

Informações para qualquer ano em que a renda bruta anual for negativa ou zero devem ser

excluídas do numerador e do denominador ao calcular o valor de encargo a ser alocado. Parte

do princípio de que quanto maior o resultado bruto de uma transação, maior será o seu risco

operacional e, portanto, propõe a utilização de um fator que corresponde a 15% do resultado

bruto médio dos últimos três anos como o valor que deveria ser alocado para cobertura de risco

operacional. A simplicidade desta metodologia bem como sua pouca relação com risco não

proporciona incentivos para sua utilização.

• Padronizado (STA)11 - Os indicadores de risco são aplicados por linhas de negócios

segregadas e ponderadas de acordo com a concepção de seu risco presumido. O encargo de

capital para cada uma dessas linhas será calculado multiplicando-se o resultado bruto por um

fator beta (12 a 18%) atribuído àquela linha de negócio (ver tabela abaixo). A complexidade de

implementação, neste caso, aumenta um pouco visto que é necessário o cálculo dos resultados

por linhas de negócios o que, para muitos, implicará em adaptações de processos que permitam

a segregação das atividades nessas linhas de negócios. No entanto, semelhante ao Método de

Indicador Básico não proporciona incentivos para sua utilização.

• Padronizado Alternativo (ASA)12 – É uma variação do Método Padronizado, tendo a tratativa

diferenciada para as linhas de negócios “Varejo” e ”Banco Comercial”, sob as quais são

substituídos os respectivos Resultados Brutos pela resultante de um índice fixo (Fator M = 3,5%

9 Vale lembrar que através do Comunicado 12.746 publicado em 09 de dezembro de 2004 o Banco Central do Brasil divulgou o cronograma e os procedimentos da nova estrutura de capital – Basiléia II 10 BIA - Basic Indicator Approach 11 STA - Standardized Approach



GTMP 27

como spread médio anual) aplicado sobre a média dos três últimos anos dos saldos de suas

carteiras de empréstimos e financiamentos. Isso faz com que se garanta a comparabilidade de

capital entre instituições com padrões diferentes de margem de contribuição das carteiras de

empréstimos.

Linhas de Negócios Fatores Beta %

Corporate Finance 18

Negociações e Vendas 18

Varejo 12

Banco Comercial 15

Pagamentos e Liquidação 18

Serviços de Agências 15

Administração de Recursos 12

Corretagem de Varejo 12

• Avançado (AMA)13 - Trata-se de uma alternativa flexível, onde as Instituições Financeiras

podem optar por um modelo que permita calcular o valor do risco operacional associado a suas

linhas de negócio. Para que a Instituição possa utilizar o modelo AMA, é necessária a aprovação

do Órgão Supervisor que avaliará os requerimentos necessários para o cálculo do capital. Além

disso, o Comitê de Basiléia recomenda estabelecer um piso em um primeiro momento e depois

irá flexibilizar estes limites, o que proporcionará as instituições financeiras maiores graus de

liberdade na definição eficiente do capital a ser alocado. Portanto, a metodologia avançada,

apesar de exigir mais investimentos é a que traz mais incentivos às instituições financeiras.

12 ASA – Alternative Standardized Approach 13 AMA – Advanced Measurement Approach



GTMP 28

Identificação e Captura de Perdas Operacionais

A instituição financeira deve:

• Implementar políticas e procedimentos que definem o que é uma perda operacional e quando

esta deve ser capturada em uma base de dados;

• Ter uma política clara que define tratamento específico para cada uma das perdas decorrentes

de risco de crédito, mercado e operacional;

• Garantir que as perdas capturadas estão classificadas corretamente de acordo com as

definições de risco operacional;

• Garantir que as perdas capturadas estão mapeadas corretamente nas unidades de negócios,

indicando processos, produtos, serviços e sistemas envolvidos.

Mensuração do Risco Operacional

A instituição financeira deve demonstrar que tem um modelo apropriado que suporte a mensuração e

o cálculo do capital mínimo para risco operacional. Este modelo deve incluir dados internos e

externos de perdas operacionais, bem como avaliações de fatores de risco do ambiente da

instituição.

• As instituições precisarão assegurar que a sua definição de risco operacional os capacita a

colher quantidade suficiente de dados de perda de qualidade e consistência adequadas para a

satisfação das normas regulamentares;

• Questões de mapeamento de linhas de negócios – as instituições precisarão aplicar as linhas de

negócio prescritas para as suas operações. As instituições devem determinar como dados de

perdas provenientes de centros de serviço compartilhados e funções terceirizadas devem ser

realocadas para as linhas de serviço prescritas;

• Seleção da abordagem de medição – as instituições devem iniciar uma avaliação das

implicações de cada abordagem de medição sob Basiléia, para identificar as exigências de

capital para cada uma das três abordagens e identificar o impacto de cada abordagem nos

presentes dados de risco operacional e estruturas de risco operacional em todas as entidades

de cada grupo;

• As instituições devem desenvolver um plano de ação para implementar a abordagem escolhida,

que inclua:

- Uma análise detalhada de lacunas em confronto com as exigências das abordagens

escolhidas;



GTMP 29

- Um plano de projeto para assegurar que a conformidade seja alcançada pelo grupo e por

cada entidade afetada dentro do grupo;

- Identificação de recursos e exigências orçamentárias; e

- Um relatório à Diretoria para aprovação da abordagem proposta.

• Reduções de capital pela mitigação do risco – para convencer os reguladores a reconhecer a

redução do risco operacional, as instituições precisam ser capazes de demonstrar que o risco foi

efetivamente transferido e demonstrar como os novos riscos como os de desempenho,

contraparte e liquidez, decorrentes da terceirização ou dos seguros, foi reduzido. As instituições

também devem estar prontas a propor metodologias para ajustar o encargo de capital para levar

em conta os riscos que aumentaram e diminuíram como resultado da terceirização.

• Os prestadores de serviços terceirizados precisam avaliar o impacto das propostas nos seus

negócios. À medida que as instituições podem obter benefícios de capital pode afetar a

apuração de preços e a justificativa da empresa para a terceirização.



GTMP 30

SOUND PRACTICES FOR THE MANAGEMENT AND SUPERVISION OF OPERATIONAL RISK

Developing an Appropriate Risk Management Environment:

Principle 1

The board of directors should be aware of the major aspects of the bank’s operational risks as a

distinct risk category that should be managed, and it should approve and periodically review the

bank’s operational risk management framework. The framework should provide a firm-wide definition

of operational risk and lay down the principles of how operational risk is to be identified, assessed,

monitored, and controlled/mitigated.

Principle 2

The board of directors should ensure that the bank’s operational risk management framework is

subject to effective and comprehensive internal audit by operationally independent, appropriately

trained and competent staff. The internal audit function should not be directly responsible for

operational risk management.

Principle 3

Senior management should have responsibility for implementing the operational risk management

framework approved by the board of directors. The framework should be consistently implemented

throughout the whole banking organization, and all levels of staff should understand their

responsibilities with respect to operational risk management. Senior management should also have

responsibility for developing policies, processes and procedures for managing operational risk in all of

the bank’s material products, activities, processes and systems.

Risk Management: Identification, Assessment, Monitoring, and Mitigation/Control

Principle 4

Banks should identify and assess the operational risk inherent in all material products, activities,

processes and systems. Banks should also ensure that before new products, activities, processes

and systems are introduced or undertaken, the operational risk inherent in them is subject to

adequate assessment procedures.

Principle 5

Banks should implement a process to regularly monitor operational risk profiles and material

exposures to losses. There should be regular reporting of pertinent information to senior management

and the board of directors that supports the proactive management of operational risk.



GTMP 31

Principle 6

Banks should have policies, processes and procedures to control and/or mitigate material operational

risks. Banks should periodically review their risk limitation and control strategies and should adjust

their operational risk profile accordingly using appropriate strategies, in light of their overall risk

appetite and profile.

Principle 7

Banks should have in place contingency and business continuity plans to ensure their ability to

operate on an ongoing basis and limit losses in the event of severe business disruption.

Role of Supervisors

Principle 8

Banking supervisors should require that all banks, regardless of size, have an effective framework in

place to identify, assess, monitor and control/mitigate material operational risks as part of an overall

approach to risk management.

Principle 9

Supervisors should conduct, directly or indirectly, regular independent evaluation of a bank’s policies,

procedures and practices related to operational risks. Supervisors should ensure that there are

appropriate mechanisms in place, which allow them to remain apprised of developments at banks.

Role of Disclosure

Principle 10

Banks should make sufficient public disclosure to allow market participants to assess their approach

to operational risk management.

Formatado: Inglês(EUA)



GTMP 32

Comunicado 12.746

Comunica os procedimentos para a implementação da nova estrutura de capital - Basiléia II.

A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 08 de dezembro de 2004,

tendo em conta as recomendações do Comitê de Supervisão Bancária de Basiléia (Comitê)

contidas no documento "Convergência Internacional de Mensuração e Padrões de Capital: Uma

Estrutura Revisada" (Basiléia II), que trata do estabelecimento de critérios mais adequados ao

nível de riscos associados às operações conduzidas pelas instituições financeiras para fins de

requerimento de capital regulamentar, e objetivando observar tais diretrizes, adaptadas às

condições, peculiaridades e estágio de desenvolvimento do mercado brasileiro, decidiu adotar os

seguintes procedimentos para a implementação de Basiléia II, ressaltando que as

recomendações contidas no Pilar 2 (Processos de Supervisão) e no Pilar 3 (Transparência e

Disciplina de Mercado) serão aplicadas a todas as instituições do Sistema Financeiro Nacional

(SFN).

2. Quanto às diretrizes para requerimento de capital para fazer face ao risco de crédito, estabelecidas

no Pilar 1 de Basiléia II:

I - o Banco Central do Brasil não utilizará ratings divulgados pelas agências externas de

classificação de risco de crédito para fins de apuração do requerimento de capital;

II - deverá ser aplicada à maioria das instituições financeiras a abordagem padrão

simplificada, que consiste em um aprimoramento da abordagem atual mediante a

incorporação de elementos que, a exemplo dos instrumentos específicos para mitigação de

risco de crédito, possibilitem uma melhor adequação do requerimento de capital às

características das exposições, considerando as demandas do Banco Central do Brasil

relativamente à suas atribuições de órgão supervisor e a melhor alocação de recursos pelas

instituições financeiras menores, com a conseqüente revisão dos fatores de

ponderação de risco de crédito determinados pela tabela anexa à Resolução 2.099, de 17 de

agosto de 1994;

III - às instituições de maior porte, com atuação internacional e participação significativa no

SFN, será facultada a utilização de abordagem avançada, com base em sistema interno de

classificação de risco, após período de transição, a ser estabelecido pelo Banco Central do

Brasil, em que deverá ser adotada a abordagem padrão simplificada e, posteriormente, a

abordagem fundamental (ou básica) de classificação interna de riscos.

3. Relativamente à nova parcela de requerimento de capital para cobrir riscos operacionais, prevista

igualmente no Pilar 1, estão em andamento estudos e testes que auxiliarão o Banco Central do

Brasil a identificar a melhor forma de aplicação e a metodologia mais adequada ao SFN, sendo que a



GTMP 33

expectativa é de que as instituições elegíveis à utilização da abordagem avançada, com base em

sistema interno de classificação de risco de crédito, se tornem elegíveis à utilização de abordagens

avançadas de mensuração do risco operacional.

4. Em complementação, para a total aplicação das recomendações contidas na Emenda ao Acordo

de Basiléia de 1988, publicada em 1996, que não foi alterada por Basiléia II, os requerimentos de

capital para risco de mercado serão expandidos para incluir as exposições ainda não

contempladas e permitida a utilização de modelos internos para as instituições que cumprirem os

critérios de elegibilidade a serem divulgados.

5. As regras e critérios referentes à implementação de Basiléia II serão os mesmos para instituições

de capital nacional ou estrangeiro. Nesse sentido, os requisitos e exigências para validação de

sistemas internos de classificação de risco de crédito, risco de mercado e risco operacional, serão os

mesmos para todas as instituições que operem no Brasil.

6. Assim, o Banco Central do Brasil deverá proceder à implementação da nova estrutura de

acordo com o seguinte planejamento, ressaltando que, apesar de as ações aqui descritas

voltarem-se primordialmente ao Pilar 1,a cada uma corresponderão ações equivalentes no âmbito

do Pilar 2 (Processos de Supervisão) e Pilar 3 (Transparência e Disciplina de Mercado):

I - até o final de 2005: revisão dos requerimentos de capital para risco de crédito para adoção da

abordagem simplificada e introdução de parcelas de requerimento de capital para risco de

mercado ainda não contempladas pela regulamentação, bem como o

desenvolvimento de estudos de impacto junto ao mercado para as abordagens mais simples

previstas em Basiléia II para risco operacional;

II - até o final de 2007: estabelecimento dos critérios de elegibilidade para adoção de modelos

internos para risco de mercado e planejamento de validação desses modelos, estabelecimento

dos critérios de elegibilidade para a implementação da abordagem baseada em classificações

internas para risco de crédito e estabelecimento de parcela de requerimento de capital para risco

operacional (abordagem do indicador básico ou abordagem padronizada alternativa);

III - 2008-2009: validação de modelos internos para risco de mercado, estabelecimento de

cronograma de validação da abordagem baseada em classificações internas para risco de crédito

(fundamental ou básica), início do processo de validação dos sistemas de classificação interna

para risco de crédito e divulgação dos critérios para reconhecimento de modelos internos

para risco operacional;

IV - 2009-2010: validação dos sistemas de classificação interna pela abordagem avançada

para risco de crédito e estabelecimento de cronograma de validação para abordagem avançada

de risco operacional;



GTMP 34

V - 2010-2011: validação de metodologias internas de apuração de requerimento de capital para

risco operacional.



GTMP 35

RESOLUCAO 3.380

Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional.

O BANCO CENTRAL DO BRASIL, na forma do art. 9º da Lei 4.595, de 31 de dezembro de 1964

torna público que o CONSELHO MONETÁRIO NACIONAL, em sessão realizada em 29 de junho

de 2006, com base nos arts. 4º, inciso VIII, da referida lei, 2º, inciso VI, 8º e 9º da Lei 4.728, de 14

de julho de 1965, e 20 da Lei 4.864, de 29 de novembro de 1965, na Lei 6.099, de 12 de setembro

de 1974, com as alterações introduzidas pela Lei 7.132, de 26 de outubro de 1983, na

Lei 10.194, de 14 de fevereiro de 2001, com as alterações introduzidas pela Lei 11.110, de 25

de abril de 2005, e no art. 6o do Decreto-lei 759, de 12 de agosto de 1969,

R E S O L V E U:

Art. 1º Determinar às instituições financeiras e demais instituições autorizadas a funcionar pelo

Banco Central do Brasil a implementação de estrutura de gerenciamento do risco operacional.

Parágrafo único. A estrutura de que trata o caput deve ser compatível com a natureza e a

complexidade dos produtos, serviços, atividades, processos e sistemas da instituição.

Art. 2º Para o efeito desta resolução define-se como risco operacional a possibilidade de

ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos,

pessoas e sistemas, ou de eventos externos.

1º A definição de que trata o caput inclui o risco legal associado a inadequação ou

deficiência em contratos firmados pela instituição, bem como a sanções em razão de

descumprimento de dispositivos legais e a indenizações por danos a terceiros

decorrentes das atividades desenvolvidas pela instituição.

2º Entre os eventos de risco operacional, incluem-se:

I - fraudes internas;

II - fraudes externas;

III - demandas trabalhistas e segurança deficiente do local de trabalho;

IV - práticas inadequadas relativas a clientes, produtos e serviços;

V - danos a ativos físicos próprios ou em uso pela instituição;

VI - aqueles que acarretem a interrupção das atividades da instituição;

VII - falhas em sistemas de tecnologia da informação;



GTMP 36

VIII - falhas na execução, cumprimento de prazos e gerenciamento das atividades

na instituição.

Art. 3º A estrutura de gerenciamento do risco operacional deve prever:

I - identificação, avaliação, monitoramento, controle e mitigação do risco

operacional;

II - documentação e armazenamento de informações referentes às perdas associadas

ao risco operacional;

III - elaboração, com periodicidade mínima anual, de relatórios que permitam a

identificação e correção tempestiva das deficiências de controle e de gerenciamento do

risco operacional;

IV - realização, com periodicidade mínima anual, de testes de avaliação dos

sistemas de controle de riscos operacionais implementados;

V - elaboração e disseminação da política de gerenciamento de risco operacional ao

pessoal da instituição, em seus diversos níveis, estabelecendo papéis e responsabilidades,

bem como as dos prestadores de serviços terceirizados;

VI - existência de plano de contingência contendo as estratégias a serem adotadas

para assegurar condições de continuidade das atividades e para limitar graves perdas

decorrentes de risco operacional;

VII - implementação, manutenção e divulgação de processo estruturado de

comunicação e informação.

1º A política de gerenciamento do risco operacional deve ser aprovada e revisada, no

mínimo anualmente, pela diretoria das instituições de que trata o art. 1º e pelo conselho de

administração, se houver.

2º Os relatórios mencionados no inciso III devem ser submetidos à diretoria das

instituições de que trata o art. 1º e ao conselho de administração, se houver, que

devem manifestar-se expressamente acerca das ações a serem implementadas para

correção tempestiva das deficiências apontadas.

3º Eventuais deficiências devem compor os relatórios de avaliação da qualidade e

adequação do sistema de controles internos, inclusive sistemas de processamento

eletrônico de dados e de gerenciamento de riscos e de descumprimento de dispositivos

legais e regulamentares, que tenham, ou possam vir a ter impactos relevantes nas



GTMP 37

demonstrações contábeis ou nas operações da entidade auditada, elaborados pela

auditoria independente, conforme disposto na regulamentação vigente.

Art. 4o A descrição da estrutura de gerenciamento do risco operacional deve ser evidenciada em

relatório de acesso público, com periodicidade mínima anual.

1º O conselho de administração ou, na sua inexistência, a diretoria da instituição deve fazer

constar do relatório descrito no caput sua responsabilidade pelas informações divulgadas.

2º As instituições mencionadas no art. 1º devem publicar, em conjunto com as

demonstrações contábeis semestral resumo da descrição de sua estrutura de

gerenciamento do risco operacional, indicando a localização do relatório citado no caput.

Art. 5º A estrutura de gerenciamento do risco operacional deve estar capacitada a identificar,

avaliar, monitorar, controlar e mitigar os riscos associados a cada instituição individualmente, ao

conglomerado financeiro, conforme o Plano Contábil das Instituições do Sistema Financeiro

Nacional - Cosif, bem como a identificar e acompanhar os riscos associados às demais

empresas integrantes do consolidado econômico-financeiro, definido na Resolução 2.723, de 31 de

maio de 2000.

Parágrafo único. A estrutura, prevista no caput, deve também estar capacitada a identificar e

monitorar o risco operacional decorrente de serviços terceirizados relevantes para o funcionamento

regular da instituição, prevendo os respectivos planos de contingências, conforme art. 3º, inciso VI.

Art. 6º A atividade de gerenciamento do risco operacional deve ser executada por unidade

específica nas instituições mencionadas no art. 1º.

Parágrafo único. A unidade a que se refere o caput deve ser segregada da unidade executora da

atividade de auditoria interna, de que trata o art. 2º da Resolução 2.554, de 24 de setembro de 1998,

com a redação dada pela Resolução 3.056, de 19 de dezembro de 2002.

Art. 7º Com relação à estrutura de gerenciamento de risco, admite-se a constituição de uma única

unidade responsável:

I - pelo gerenciamento de risco operacional do conglomerado financeiro e das respectivas

instituições integrantes;

II - pela atividade de identificação e acompanhamento do risco operacional das

empresas não financeiras integrantes do consolidado econômico financeiro.

Art. 8º As instituições mencionadas no art. 1º devem indicar diretor responsável pelo

gerenciamento do risco operacional.



GTMP 38

Parágrafo único. Para fins da responsabilidade de que trata o caput, admite-se que o diretor

indicado desempenhe outras funções na instituição, exceto a relativa à administração de recursos

de terceiros.

Art. 9º A estrutura de gerenciamento do risco operacional deverá ser implementada até 31 de

dezembro de 2007, com a observância do seguinte cronograma:

I - até 31 de dezembro de 2006: indicação do diretor responsável e definição da

estrutura organizacional que tornará efetiva sua implementação;

II - até 30 de junho de 2007: definição da política institucional, dos processos, dos

procedimentos e dos sistemas necessários à sua efetiva implementação;

III - até 31 de dezembro de 2007: efetiva implementação da estrutura de gerenciamento de

risco operacional, incluindo os itens previstos no art. 3º, incisos III a VII.

Parágrafo único. As definições mencionadas nos incisos I e II deverão ser aprovadas pela diretoria

das instituições de que trata o art. 1º e pelo conselho de administração, se houver, dentro dos

prazos estipulados.

Art. 10. O Banco Central do Brasil poderá:

I - determinar a adoção de controles adicionais, nos casos de inadequação ou insuficiência

dos controles do risco operacional implementados pelas instituições mencionadas no art.1º;

II - imputar limites operacionais mais restritivos à instituição que deixar de observar,

no prazo estabelecido, a determinação de que trata o inciso I.

Art. 11. Esta resolução entra em vigor na data de sua publicação.



melhores prÁticas na gestÃo do risco … · também necessários investimentos em sistemas e...

Documents