política de risco operacional - br.natixis.com · a revisão desta política de risco operacional...

Gerenciamento do Risco Operacional

Política de Risco Operacional


Página 2 de 17

Controle do documento

Data Autor Versão

Outubro/2010 Compliance 001

Dezembro/2011 Compliance 002

Dezembro/2012 Compliance 003

Agosto/2014 Compliance 004


Junho/2016 Compliance 006


Abril/2017 Compliance 008

Abril/2018 Compliance 009

Revisão do documento

Data Área Versão Alterações/Inclusões

Outubro/2010 Risco Operacional 001 Criação do documento

Novembro/2011 Risco Operacional 002 Atualização do documento

Dezembro/2012 Risco Operacional 003 Atualização do documento

Agosto /2014 Risco Operacional 004 Atualização do documento

Agosto/2015 Risco Operacional 005 Atualização do documento

Junho/2016 Risco Operacional 006 Atualização do documento

Agosto/2016 Risco Operacional 007 Atualização do item 4.5

Abril/2017 Risco Operacional 008 Atualização do itens 4

Abril/2018 Risco Operacional 009 Atualização do documento

Aprovação do documento

Data Aprovação Versão Gestor Responsável

Outubro/2010 SCM 001 François-Xavier Gilliot

Dezembro/2011 SCM 002 François-Xavier Gilliot

Dezembro/2012 SCM 003 François-Xavier Gilliot

Agosto /2014 Diretor Responsável 004 João Luiz Macedo

Agosto/2015 Diretor Responsável 005 João Luiz Macedo

Junho/2016 Diretor Responsável 006 João Luiz Macedo

Agosto/2016 Diretor Responsável 007 João Luiz Macedo

Abril/2017 Diretor Responsável 008 João Luiz Macedo

Abril/2018 Diretor Responsável 009 João Luiz Macedo

Vigência

Esta Política de Risco Operacional tem caráter permanente.

O conteúdo presente neste documento poderá ser modificado a qualquer momento de acordo com as necessidades vigentes. Os profissionais do Banco Natixis, bem como prestadores de serviço deverão, sempre que necessário, consultar a última versão disponível.


Página 3 de 17

Sumário

Introdução ...................................................................................................... 5

1. Sobre a política .......................................................................................... 6

1.1. OBJETIVO 6

1.2. PÚBLICO ALVO E RESPONSABILIDADES 6

1.3. MANUTENÇÃO E REVISÃO DO DOCUMENTO 6

1.4. REGISTRO DA QUALIDADE 6

1.5. CUMPRIMENTO E SANÇÕES 6

1.6. REGULAMENTAÇÃO ASSOCIADA 6

1.7. DIVULGAÇÃO 6

2. Sobre o gerenciamento do Risco Operacional ............................................ 7

2.1. PRINCIPAIS DIRETRIZES DA POLÍTICA DE RISCO OPERACIONAL 7

2.2. METODOLOGIA PARA CÁLCULO DA PARCELA RWAOPAD 8

3. Estrutura e responsabilidades de gerenciamento de risco operacional ...... 8

3.1. ESTRUTURA DA ÁREA DE OR 8

3.2. ATRIBUIÇÕES E RESPONSABILIDADES 9

3.2.1. RISK MANAGEMENT 9

3.2.2. COMPLIANCE 10

3.2.3. CRO/COO 10

3.2.4. AGENTES DE RISCO 10

4. Estrutura de gestão de risco operacional ................................................. 10

4.1. PROCESSO DE ACOMPANHAMENTO 12

4.2. PROCESSO DE COMUNICAÇÃO DE INCIDENTE 12

4.3. PROCESSO DE ANÁLISE DO INCIDENTE 13

4.4. PROCESSO DE FORMALIZAÇÃO DO INCIDENTE 13

4.5. PROCESSO DE APROVAÇÃO DO INCIDENTE 14

4.6. PROCESSO DE CADASTRAMENTO DO OSIRISK DO INCIDENTE 14

4.7. PROCESSO DE CADASTRAMENTO DO KRI DO INCIDENTE 15

4.8. PROCESSO DE APROVAÇÃO DA CONCILIAÇÃO DOS REPORTS OSIRISK E KRI 15

5. Mapeamento de Riscos ............................................................................ 15

6. Plano de Continuidade ............................................................................. 15

6.1. OBJETIVO E ESCOPO 15

6.2. OBJETIVOS DE RECUPERAÇÃO DA INSTITUIÇÃO 16

7. Relatórios de Divulgação Externa ............................................................. 16

7.1. GOVERNANÇA E TRANSPARÊNCIA 16

7.2. DIVULGAÇÃO 16


Página 4 de 17

7.3. INFORMAÇÃO DE CONTROLE 17

8. Tratamento de exceções .......................................................................... 17


Página 5 de 17

Introdução

O Conselho Monetário Nacional (CMN), por intermédio da Resolução nº. 4.557 do Banco Central do Brasil (BACEN), de 23/02/2017, determinou às instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil a implementação de uma estrutura de gestão de risco operacional.

O risco operacional pode ser definido como a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, bem como de eventos externos. A definição de risco operacional, no que tange o risco legal, é associada à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

O Natixis Brasil S/A Banco Múltiplo (''NB” ou “Natixis Brasil'') reconhece que o risco operacional é um componente inevitável de todas as operações realizadas e, por isso está comprometido em estabelecer, manter e aprimorar de forma contínua o gerenciamento dos riscos da instituição.

Dessa forma, o NB visa estabelecer suas estratégias baseadas nos princípios de Governança Corporativa, pautadas por processos e comunicação transparentes, definição adequada de funções e responsabilidades sobre toda a organização.


Página 6 de 17

1. Sobre a política

1.1. OBJETIVO

Esta política inclui os objetivos do departamento de Risk Management no que tange os processos relativos ao gerenciamento do Risco Operacional (“OR”) do Natixis Brasil, e define os principais componentes para suportar o gerenciamento do Risco Operacional, com objetivo de implementar uma estrutura integrada e efetiva, bem como orientar os colaboradores quanto às suas responsabilidades com a gestão desta forma de risco.

1.2. PÚBLICO ALVO E RESPONSABILIDADES

As informações constantes nesta política se aplicam a área de Risk Management e aos demais colaboradores da instituição.

Ademais, as diretrizes presentes nesta política também são aplicáveis para todas as empresas prestadoras de serviços terceirizados relevantes para o funcionamento da instituição e seus funcionários.

1.3. MANUTENÇÃO E REVISÃO DO DOCUMENTO

A revisão desta política de risco operacional deve ser realizada, no mínimo, anualmente sendo a área de Risk Management responsável pela revisão e a direção do banco responsável pela aprovação.

Em caso de alterações nos procedimentos, é responsabilidade do gestor da área Risk Management comunicar a área de Compliance para que seja realizada a manutenção e a atualização deste documento. Ademais, em casos de possíveis alterações, as mesmas somente serão efetuadas nos casos relevantes que justifiquem a emissão de uma nova versão.

1.4. REGISTRO DA QUALIDADE

Todas as versões desta política de gestão de Risco Operacional devem ser arquivadas pela área de Compliance pelo prazo mínimo de cinco anos a partir de sua data de alteração.

1.5. CUMPRIMENTO E SANÇÕES

O cumprimento da política de risco operacional será monitorado pelas áreas de Compliance, Auditoria Interna, Risk Management e Natixis US Wholesale Banking Operational Risk.

Adicionalmente, o cumprimento da Resolução nº. 3.380/06 será monitorado pelo BACEN, estando o Natixis Brasil S.A. Banco Múltiplo sujeito a sanções do órgão regulador pelo não cumprimento da mesma.

1.6. REGULAMENTAÇÃO ASSOCIADA

Resolução nº 4.557 do Banco Central do Brasil, do dia 23 de Fevereiro de 2017;

Circular nº 3.640 do Banco Central do Brasil, do dia 4 de Março de 2013.

1.7. DIVULGAÇÃO

Esta política deverá ser divulgada a todos os colaboradores pela área de Compliance através de meio eletrônico, no mínimo anualmente.

Adicionalmente, a política estará disponível para consultas no diretório público da instituição através do endereço: P:\Services\Division\Audit&Compliance\Public\Políticas e Procedimentos Natixis - Geral


Página 7 de 17

2. Sobre o gerenciamento do Risco Operacional

2.1. PRINCIPAIS DIRETRIZES DA POLÍTICA DE RISCO OPERACIONAL

A área de Risk Management, é responsável por identificar, monitorar e reportar o risco operacional que está inserido na instituição. Fica a cargo da área também a implementação e gerenciamento da estrutura de risco operacional estabelecido pelo Natixis Risk Department, US Wholesale Banking OR Department, cumprindo com a regulamentação local.

O risco operacional, de acordo com a definição da Resolução nº 4.557 de 23 de Fevereiro de 2017 do Banco Central, consiste na possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas ou sistemas.

Entre os eventos de risco operacional, incluem-se:

I. fraudes internas;

II. fraudes externas;

III. demandas trabalhistas e segurança deficiente do local de trabalho;

IV. práticas inadequadas relativas a clientes, produtos e serviços;

V. danos a ativos físicos próprios ou em uso pela instituição;

VI. aqueles que acarretem a interrupção das atividades da instituição;

VII. falhas em sistemas de tecnologia da informação;

VIII. falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição.

As práticas de gerenciamento do risco operacional do NB, segue as diretrizes globais, juntamente com as normas estabelecidas pela Resolução nº 4.557, e conta com suporte, ferramentas e supervisão do Natixis US Wholesale Banking do Departamento Risco Operacional.

A estrutura de gerenciamento de risco operacional foi definida pelo Natixis US Wholesale Banking em conjunto com a alta administração local e é responsável pelo monitoramento e reporte dos riscos operacionais. As principais atribuições são:

Monitoramento e reporte dos riscos operacionais;

Manter atualizado o mapeamento de risco;

Garantir efetiva coleta e reporte dos incidentes de risco;

Estabelecer a cultura de sensibilização sobre o Risco Operacional;

Gerenciar OSIRISK (ou aplicação de TI);

Coordenar ações com outras funções de controle;

Participar como um membro ativo do comitê de Novos Produtos.

Vale ressaltar que os eventos supracitados são suportados por um sistema global do Natixis, denominado OsiRisk, na qual os eventos contextualizados pela norma local são abrangidos pelo sistema global a partir de uma alocação gerencial com objetivo de reporte externo, conforme abaixo:


Página 8 de 17

Classificação do Bacen ao Risco Operacional Classificação Gerencial para o Risco Operacional

Fraudes Internas Internal Fraud

Fraudes Externas External Fraud

Demandas trabalhistas e segurança deficiente do local de trabalho

Employment Practices and Workplace Safety

Práticas inadequadas relativas a cliente, produtos e serviços

Clients, Products and Business Practices

Danos a ativos físicos próprios ou em uso pela instituição

Damage to Physical Assets

Aqueles que acarretem a interrupção das atividades da instituição

Business Disruptions and System Failures

Falhas em sistemas de tecnologia de informação Business Disruptions and System Failures

Falhas na execução, cumprimentos de prazos e gerenciamento das atividades na instituição

Execution, Delivery and Process Management

Ademais, além dos riscos requeridos pelo Bacen, a metodologia interna do NB é composta por uma categoria “outros” que engloba: número de pontos de Auditoria Interna que são classificados como “extremos” e estão atrasados; número de pontos de Auditoria Interna que são classificados como “alta prioridade” e estão atrasados por mais de 6 meses; número de transações as quais envolvem produtos que não são aprovadas pelo NPC (New Products Commitee); e número de transações sem aprovação de limite.

2.2. METODOLOGIA PARA CÁLCULO DA PARCELA RWAOPAD

Como requerido pelo órgão regulador e estabelecido na Circular nº 3.640/13, publicada pelo Banco Central do Brasil, o Natixis Brasil adota a metodologia de Abordagem do Indicador Básico (BIA), com o objetivo de apurar a parcela de capital para cobertura de Risco Operacional (RWAopad).

A metodologia de Abordagem do Indicador Básico estabelece que o capital a ser alocado para riscos operacionais deve ser calculado semestralmente, considerados os últimos três períodos anuais. O Indicador de Exposição ao Risco Operacional (IE) corresponde, para cada período anual, à soma dos valores semestrais das receitas de intermediação financeira e das receitas com prestação de serviços, deduzidas as despesas de intermediação financeira.

3. Estrutura e responsabilidades de gerenciamento de risco operacional

3.1. ESTRUTURA DA ÁREA DE OR

A estrutura de Gerenciamento do Risco Operacional visa permitir adequada Governança nos controles e decisões estratégicas relacionadas ao risco operacional no Natixis Brasil, a saber:

Natixis US Wholesale Banking (Operational Risk): Estabelece diretrizes e padrões sobre os mecanismos para a gestão do risco de operacional. O Natixis Brasil possui reporte funcional para a plataforma Americas do Natixis (Natixis US Wholesale Banking em NY);


Página 9 de 17

Diretoria Executiva do Natixis Brasil S/A Banco Múltiplo: Gerencia o monitoramento e reporte dos riscos operacionais; e

Área de Risk Management: Operacionaliza as atividades relacionados a gestão de riscos operacionais (maiores detalhes no item 3.2 abaixo).

3.2. ATRIBUIÇÕES E RESPONSABILIDADES

3.2.1. RISK MANAGEMENT

A área de Risk Management, no que tange a gestão do OR, implementa a estrutura de gerenciamento de risco operacional definida pelo Natixis US Wholesale Banking em conjunto com a alta administração local e é responsável pelo monitoramento e reporte dos riscos operacionais. As principais atribuições são:

Monitoramento e reporte dos riscos operacionais

Garantir que os procedimentos de risco operacional são efetivos e estão aplicados consistentemente pelo NB;

Gerenciar e atualizar o conjunto de plano de ações/ações corretivas para mitigar riscos atuais e potenciais; e

Preparar relatórios consolidados (diretamente à Alta Administração do NB e US Chief OR Officer).

Garantir efetiva coleta e reporte dos incidentes de risco

Coletar e reportar os incidentes de risco do NB;

Conduzir profundas investigações de incidentes de alta severidade, conforme o Procedimento de Incidentes Sérios; e

Gerar e-mail de alerta para a Alta Administração do NB quando um evento de alta seriedade ocorrer.

Estabelecer a cultura de sensibilização sobre o Risco Operacional

Oferecer instruções sobre a estrutura de gerenciamento de Risco Operacional; e

Organizar sessões de treinamento.

Gerenciar OSIRISK (ou aplicação de TI)

Atuar como primeiro contato para gestores de projeto administrando OSIRISK da matriz em Paris;

Representar os Agentes de Risco Operacional através da comunicação de suas solicitações e priorizando necessidades junto ao head office; e

Prover treinamento de sistema para os Agentes de Risco Operacional.

Coordenar ações com outras funções de controle

Auditoria Interna;

Jurídico;

Compliance; e

Inspeções gerais da Matriz.

Participar como um membro ativo dos seguintes comitês


Página 10 de 17

ALCO

Participar de treinamentos atribuídos por NY referentes ao tema de OR

O correspondente da área de Risco Operacional no Natixis Brasil, representado pelo COO/CFO, deverá realizar, quando requerido pela plataforma de NY, o treinamento de Risco Operacional disponibilizado pela área de Risco Operacional de New York.

3.2.2. COMPLIANCE

As principais atribuições da área de Compliance são:

Manter atualizado o mapeamento de risco

Conduzir a completa análise de risco das linhas de negócio, suporte e funções de controle.

Divulgação da Política de Riscos Operacionais

Divulgar a Política para todos os colaboradores por meio eletrônico no mínimo anualmente e manter arquivado por no mínimo 5 anos.

3.2.3. CRO/COO

As principais atribuições do CRO/COO são:

Aprovação da Política de Riscos Operacionais

Acompanhamento dos incidentes Acompanhamento dos incidentes em conjunto com a área de Risk Management.

3.2.4. AGENTES DE RISCO

A rede de Agentes de Risco Operacional é composta dos funcionários das linhas de negócio (funcionários ou terceiros), suporte e funções de controle. Eles são responsáveis pela aplicação diária das políticas e procedimentos de Risco Operacional e devem garantir a coleta adequada e transferência de informação relacionada a incidentes. As principais atividades dos Agentes de Risco Operacional são:

Organizar a coleta e captura dos incidentes no tempo adequado;

Alertar a área de OR imediatamente na descoberta de uma séria incidência;

Participar do mapeamento dos riscos nos processos;

Reportar os Keys Risk Indicators para a área de OR; e

Prover atualizações para a área de OR nos planos de ação/ações corretivas.

4. Estrutura de gestão de risco operacional

A atividade de gerenciamento do Risco Operacional sobre ótica do negócio do Natixis Brasil, e obedecendo a complexidade das operações, é realizado por meio de um conjunto de processos operacionais, os quais englobam: (1) acompanhamento; (2) comunicação dos incidentes; (3) análise do incidente; (4) formalização; (5) aprovação; (6) cadastramento no OsiRisk; (7) Cadastramento no KRI; e (8) conciliação do OsiRisk e KRI.


Página 11 de 17

Tais processos operacionais foram classificados dentro da estrutura de gerenciamento de riscos, descrita na Resolução nº 4.557, conforme imagem a seguir:

Estes processos estão detalhados nos itens subsequentes de forma exaustiva e são exemplificados pelos seguintes macro fluxos operacionais relacionado ao gerenciamento do risco operacional divididos entre comunicação passiva e ativa:


Página 12 de 17

4.1. PROCESSO DE ACOMPANHAMENTO

O processo de acompanhamento tem seu início uma vez que a área de Risk Management, por meio de seus agentes de risco operacional, circula para todas as áreas do Natixis Brasil (incluindo o diretor responsável) e para a área de Risco Operacional de NY um e-mail nomeado de “Acompanhamento Risco Operacional”, visando:

Estabelecer um procedimento formal para reporte dos incidentes de Risco Operacional como requer a Resolução nº 4.557/17;

Informar/esclarecer aos envolvidos do que se trata o Risco Operacional exemplificando as possíveis causas, consequências, possíveis eventos de Risco Operacional (baseados mais não limitados a classificação da Resolução nº 4.557/17 e demonstrado no item 2.1 deste normativo) por meio de uma cartilha explicativa em anexo ao e-mail.

Deve-se destacar neste normativo que além dos incidentes citados no item 2.1 desta política o Natixis Brasil que devem ser reportados podem ou não acarretar em perdas financeiras a Instituição. Além disso, o Natixis Brasil determina alguns incidentes como sendo “incidentes sérios”, tais quais:

A perda financeira realizada ou estimada seja superior a 50.000 USD;

O incidente causou elevado dano reputacional para o banco (exemplo: disseminação de informação não controlada ao público externo);

Ocorrência de fraude interna ou externa; e

A área de OR classificar o incidente como “sério”.

A classificação de um incidente como “sério” pode estar a critério do Chief US OR Officer ou Head of Risks. A área de Risk Management pode, entre outros aspectos, solicitar o Alert Procedure para ser aplicado mesmo se o incidente não tenha impacto financeiro ou não permita classificação nos critérios adotados.

Após o e-mail transmitido o Risk Management requer às áreas envolvidas um retorno positivo (reporte do incidente) ou negativo (ausência de incidentes) é requerido um retorno das áreas com prazo máximo de 2 dias úteis. Uma vez que as áreas que não enviarem e-mail resposta confirmando ausência/ou comunicando existência de incidentes de Risco Operacional, o Risk Management considerará que não houve incidentes de Risco Operacional.

4.2. PROCESSO DE COMUNICAÇÃO DE INCIDENTE


Página 13 de 17

O processo de comunicação do incidente pode ocorrer de forma ativa ou passiva, ou seja, a primeira ocorrendo quando as áreas do Natixis Brasil reportam o incidente na data de originação do incidente e a segunda ocorrendo o comunicado do incidente em resposta ao e-mail de acompanhamento e dentro do prazo estipulado.

(i) A comunicação ativa dos incidentes ocorre pelos canais formais citados no parágrafo abaixo e independe de periodicidade, isto é, o reporte a área de Risk Management ocorre no momento de originação do incidente; e (ii) A comunicação passiva dos incidentes ocorrerá também pelos canais formais citados no parágrafo abaixo, porém ocorrem com periodicidade mensal reativamente ao acompanhamento.

Ambas as comunicações ocorrem por meio de um email das áreas enviando aos seguintes canais:

- [email protected];

- [email protected]; e

- email de algum agente de risco operacional.

Independentemente do tipo de reporte do incidente (ativo ou passivo) a área responsável pela comunicação respeita itens mínimos para comunicação do incidente, ou seja, o e-mail de resposta contém o descritivo do incidente, a causa raiz do incidente, o plano de ação tomado pela área ou Instituição e se houve ou não impacto financeiro.

4.3. PROCESSO DE ANÁLISE DO INCIDENTE

Após a ocorrência da comunicação dos incidentes à área de Risk Management do Natixis Brasil, a mesma por meio dos agentes de gestão de riscos, realiza análise do descritivo fornecido sobre incidente e demais itens mínimos. Uma vez que não haja um destes itens mínimos a área de Risk Management realiza em conjunto com a área o preenchimento dos itens mínimos e posterior tratamento do incidente.

Quando as informações mínimas estão completas a área de Risk Management realiza uma reunião informal junto a área a qual reportou o incidente para maior detalhamento dos itens passados e análise crítica sobre a informação divulgada.

As discussões junto a área somente se finalizam uma vez que a área de Risk Management e o gestor responsável estejam de acordo com o detalhamento sobre o reportado.

4.4. PROCESSO DE FORMALIZAÇÃO DO INCIDENTE

O processo de formalização acontece a partir das discussões junto às áreas e ao gestor responsável e detalhamento dos pontos identificados, em uma simulação de “ficha” do OsiRisk. Isto é, a área de Risk Management possui um papel de trabalho que destaca somente os principais campos requeridos no sistema OsiRisk e é utilizado para formalizar o incidente junto ao diretor responsável.

Ficha OsiRisk - Exemplo

mailto:[email protected]


Página 14 de 17

A seção sobre a análise do incidente descrito no reporte deve conter a descrição da causa do incidente e a identificação das falhas do processo. Esta análise deve também descrever qualquer fator adicional que possa contribuir na resolução do incidente (exemplo: falha em controles, condições de mercado, eventos de crédito).

A seção sobre os aspectos financeiros da ocorrência deve incluir o impacto financeiro em USD, quando aplicável, e devem ser reconciliados com a área de Risk Management.

O reporte deve listar os planos de ação/ações corretivas (exemplo: ações de proteção no curto prazo, ações de longo prazo) que foram estabelecidos com os Agentes de Risco Operacional e os gestores das áreas.

A área de Risk Management deve verificar se o cenário potencial de risco correspondente ao incidente consta no mapeamento de risco para a área. Caso o cenário não conste, o gestor da área de Risk Management adicionará este incidente como um novo cenário de risco em potencial ao mapeamento de risco e mencionará as medidas preventivas que devem ser tomadas baseadas no plano de ação/ações corretivas.

Todas as fichas de incidentes devem ser armazenadas em diretório específico de Risk Management, suportando os processos de gerenciamento do risco operacional.

Vale ressaltar que por determinação interna, caso o incidente seja relacionado a uma fraude, a mensagem irá informar que os detalhes do incidente são confidenciais.

4.5. PROCESSO DE APROVAÇÃO DO INCIDENTE

No processo de aprovação, a área de Risk Management fornece por e-mail ao Diretor responsável a ficha como forma de evidência de detalhamento do incidente. Pelo mesmo canal de formalização o diretor responsável emite uma sinalização de aprovação ou reprovação sobre o material apresentado.

Caso seja reprovado a ficha retorna para fase anterior de análise, porém caso haja aprovação da ficha a área de Risk Management deve registrar o incidente no sistema OsiRisk.

4.6. PROCESSO DE CADASTRAMENTO DO OSIRISK DO INCIDENTE


Página 15 de 17

Uma vez aprovado pelo diretor responsável os agentes de risco operacional realizam o cadastramento do incidente no sistema OsiRisk. Este processo não possui periodicidade pré-definida pois deve ocorrer de forma tempestiva em resposta a aprovação do diretor.

Ou seja, o incidente deve ser cadastrado de forma individual no sistema que tem como owner o Natixis NY para monitoramento e possível modificação posterior de algum incidente.

O cadastramento no sistema OsiRisk tem como intuito a criação de uma base interna dos incidentes operacionais do Natixis Brasil que se consolide com a matriz do Natixis.

4.7. PROCESSO DE CADASTRAMENTO DO KRI DO INCIDENTE

A área de Risk Managment tem como responsabilidade o reporte do incidente no sistema interno do OsiRisk, e cadastramento no KRI com o objetivo de informe anual dos incidentes ao órgão regulador.

Portanto, os Agentes de Risco Operacional ao cadastrarem algum incidente no sistema interno do OsiRisk devem atualizar a planilha de KRI tempestivamente. Portanto, este processo não possui periodicidade pré-definida pois deve ocorrer de forma tempestiva em resposta ao cadastramento no OsiRisk.

Sobre o KRI, os Agentes de Risco Operacional devem realizar anualmente, em conjunto, a revisão da relação de todos os indicadores chaves de riscos do Natixis NY feitos por Compliance a adequação dos indicadores sugeridos. Após a revisão dos indicadores de risco operacional, o CFO/CEO do Natixis Brasil deve avaliar se os indicadores estão condizentes com as operações do Natixis Brasil.

Ao termino do cadastramento no KRI, com periodicidade mínima anual, o KRI deve ser compartilhado por meio de um canal formal do Natixis Brasil (e-mail) ao gestor responsável para ciência e aprovação do documento. Somente após a aprovação formalizada pelo canal formal do Natixis Brasil a área de Risk management deve submeter à informe do Banco Central.

As informações referentes ao relatório “KRI”, são armazenados no seguinte diretório de rede da instituição: P:\Services\Division\Risk\Operational Risk\Relatórios KRI.

4.8. PROCESSO DE APROVAÇÃO DA CONCILIAÇÃO DOS REPORTS OSIRISK E KRI

Com objetivo de obter maior acuracidade e controle, evitando assim eventual erro de consolidação entre os relatórios de divulgação interna (OsiRisk) e divulgação externa (KRI) foi instituído pela área de Risk Management uma consolidação mensal.

Esta consolidação mensal deve ter sua divulgação formalizada ao gestor responsável por e-mail de canal forma do Natixis Brasil e receber aprovação do mesmo. O arquivo de conciliação, igualmente ao KRI será armazenado no seguinte diretório de rede da instituição: P:\Services\Division\Risk\Operational Risk\Relatórios KRI.

5. Mapeamento de Riscos

O processo de mapeamento consolidado de riscos operacionais ocorrerá anualmente, iniciado a partir do segundo semestre, quando o Mapa de Risco será apresentado no Comitê de Risco Operacional. O mapeamento será conduzido pela área de Riscos Operacionais do Natixis New York e o COO/CFO do Natixis Brasil, como correspondente de Risco Operacional para o Brasil. O Senior Country Manager do Natixis Brasil fará parte do Comité de Risco Operacional.

6. Plano de Continuidade

Maiores detalhes a respeito do plano de continuidade podem ser encontrados no normativo interno e demais documentos de continuidade de negócios.

6.1. OBJETIVO E ESCOPO


Página 16 de 17

O objetivo do plano de continuidade é fornecer estrutura e informações para ajudar a empresa a recuperar suas atividades críticas durante uma interrupção de negócios ou evento crise. O escopo de negócios deste plano é o seguinte:

Local

São Paulo, Brasil

São Paulo, Brasil – refere-se a linhas de negócio existentes, controles e funções de suporte do Natixis Brasil.

6.2. OBJETIVOS DE RECUPERAÇÃO DA INSTITUIÇÃO

Em caso de interrupção de negócios, os objetivos principais do Natixis Brasil são:

Garantir a segurança e bem-estar dos funcionários do Natixis Brasil, associados e visitantes;

Gerenciar riscos financeiros e operacionais;

Manter nossas obrigações contratuais com clientes e contrapartes;

Proteger os livros da empresa (posições) e registros;

Continuar a financiar os requisitos de negócios, e

Manter aproximadamente 60 - 75% do total do volume de negócio.

O Natixis Brasil concentra-se na recuperação das funções críticas de negócios, conforme indicado pela Diretoria e não buscará ativamente novos negócios até que a recuperação dos negócios existentes e da situação esteja estabilizada.

* 60-75% do volume total de negócios é uma diretriz, se o escopo da interrupção do negócio é tal que várias organizações de serviços financeiros foram afetadas, então um menor percentual de volume de negócios pode ser esperado devido às limitações do ambiente de negócios externo.

7. Relatórios de Divulgação Externa

7.1. GOVERNANÇA E TRANSPARÊNCIA

Para promoção da transparência, conforme determina a Resolução 4.557/17, o Natixis Brasil publica relatório que contém a descrição da estrutura do gerenciamento do risco operacional em local de acesso público.

Esse relatório deve ser revisado e aprovado pela diretoria do Natixis Brasil. Ademais, as informações divulgadas constantes nesse documento são de responsabilidade da diretoria do Natixis.

7.2. DIVULGAÇÃO

A divulgação da descrição da estrutura de gerenciamento de risco operacional será efetuada por meio de relatório publicado no site da instituição (www.br.natixis.com/), com periodicidade mínima anual, e será de responsabilidade da área de Compliance.

Adicionalmente, um resumo da descrição da estrutura de gerenciamento de risco operacional deve ser publicado em conjunto com as demonstrações contábeis, semestrais, no site da Instituição.

http://www.br.natixis.com/


Página 17 de 17

7.3. INFORMAÇÃO DE CONTROLE

O relatório da estrutura de gerenciamento de risco operacional revisado e aprovado pelo Sr. João Luiz Macedo, CFO/COO da Instituição.

8. Tratamento de exceções

Qualquer disposição distinta às determinações da Política de Controles Internos deverá ser submetida à avaliação Conselho de Administração.

política de risco operacional - br.natixis.com · a revisão desta política de risco operacional...

Documents