Beruflich Dokumente
Kultur Dokumente
Título 1 – Apresentação...................................................................................... 3
Título 2 – Gerenciamento do Risco Operacional ............................................. 4
Capítulo 1 – Estrutura de Gerenciamento do Risco Operacional 4
Seção 1 – Considerações Gerais .......................................................................... 4
Seção 2 – Estrutura Organizacional ...................................................................... 5
Seção 3 – Responsabilidades ............................................................................... 8
Seção 4 – Estrutura Normativa ........................................................................... 13
Seção 5 – Sistema Tecnológico .......................................................................... 14
Seção 6 – Conformidade ..................................................................................... 15
Seção 7 – Validação ........................................................................................... 16
Capítulo 2 – Processos de Gerenciamento de Risco Operacional ......................... 17
Seção 1 – Identificação de Riscos Operacionais ................................................ 17
Seção 2 – Avaliação do Risco Operacional......................................................... 19
Seção 3 – Monitoramento, Controle e Mitigação................................................. 23
Seção 4 – Comunicação ..................................................................................... 28
Seção 5 – Documentação e Armazenamento de Informações ........................... 31
Seção 6 – Registro das Perdas Operacionais ..................................................... 32
Seção 7 – Acompanhamento .............................................................................. 36
Seção 8 – Identificação de Fornecedores Críticos .............................................. 37
Seção 9 – Publicação da Estrutura de Gerenciamento de Risco Operacional .... 40
Título 3 – Glossário ........................................................................................... 41
Título 4 – Modelos e Formulários .................................................................... 44
Capítulo 1 – Estrutura de Gerenciamento de Risco Operacional ........................... 44
Seção 1 – Relatório Completo para Publicação .................................................. 44
Seção 2 – Relatório Resumido para Publicação ................................................. 47
Capítulo 2 – Questionário de Auto Avaliação de Riscos e Controles (CRSA) ........ 48
Capítulo 3 – Quadro Descritivo dos Eventos e Subeventos ................................... 58
Capítulo 4 – Quadro Descritivo dos Fatores e Subfatores ..................................... 69
Título 5 – Referências Normativas .................................................................. 73
Título 6 – Controle de atualizações ................................................................. 74
a) estrutura organizacional;
b) estrutura normativa;
c) sistemas computacionais;
d) conformidade;
e) validação;
f) acompanhamento.
10. O ciclo de identificação dos riscos operacionais deve ser realizado no mínimo
anualmente.
2. Nessa etapa, é realizada a avaliação qualitativa dos riscos operacionais, por meio
da aplicação da Matriz de Exposição ao Risco Operacional do Módulo IV do
Sistema de Controles Internos e Riscos Operacionais (Scir).
8. O eixo impacto informa o nível de risco das questões negativas, conforme o peso
de cada questão na LVC (o peso corresponde ao impacto na exposição ao risco
da cooperativa, sendo que, quanto maior o peso, maior o impacto), conforme
apresentado a seguir:
10. A base de dados que compõe o eixo frequência é sempre acumulativa, isto é,
utiliza a base de dados gerada desde o primeiro preenchimento da LVC pela
cooperativa.
b) eixo frequência: possível, pois a ocorrência foi > 40% ou < 60%;
17. Essa análise será feita para as outras 19 questões de impacto insignificante, de
modo que, ao final, a 1ª linha terá 20 questões.
18. Nos outros níveis de impacto, o procedimento será o mesmo, de modo que cada
linha terá como total a respectiva quantidade máxima de questões por impacto.
19. A última célula, que remete ao total geral, será equivalente ao total de questões
da Lista de Verificação de Conformidade (LVC), que é igual a 100.
10. Eventuais determinações e os prazos que não poderão ser cumpridos no tempo
fixado deverão ser comunicados pelo gestor ao ACIR, o qual comunicará à
Diretoria Executiva e ao Conselho de Administração sobre o ocorrido.
14. O Agente de Controles Internos e Riscos (ACIR) deve utilizar o aplicativo “Ações
de regularização” do Módulo IV do Sistema de Controles Internos e Riscos
Operacionais (Scir), para gestão, monitoramento e encerramento dos planos de
ação registrados, referentes às perdas ou riscos operacionais não controláveis ou
controláveis sem eficácia pela LVC.
1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:
Circular Sicoob Brasil 009 Circular Sicoob Confederação 257 24/74
Manual de Instruções Gerais (MIG) – Risco Operacional
2. Essa avaliação deve ser realizada pelo Agente de Controles Internos e Riscos, no
mínimo, anualmente, pelo menos nos controles dos riscos classificados como de
níveis médio e alto.
1. A etapa de comunicação deve ser ralizada de forma adequada para que possa
atender à necessidade operacional da cooperativa e às normas internas e
externas aplicáveis.
b) eventos externos;
c) perdas de oportunidade negocial, tal como deixar de realizar negócios por falhas
ou interrupção de sistemas, ausência de pessoas, perda de prazos estipulados
para registro de transações (“janelas”) ou de momentos de prática de melhores
taxas, etc.
5. As causas das perdas operacionais são relacionadas a eventos de riscos, que são
classificados em eventos e subeventos, conforme apresentado no título 4, deste
manual.
7. O valor comunicado deve ser o total por perda original identificada, devendo as
recuperações realizadas serem comunicadas também, não podendo ser
deduzidas do valor da perda original.
14. As perdas registradas como não controláveis ou controláveis sem eficácia na Lista
de Verificação de Conformidade (LVC) serão tratadas por meio de planos de ação
a serem registrados pela cooperativa no aplicativo do Módulo IV do Sistema de
Controles Internos e Riscos Operacionais (Scir).
19. Não é possível impedir por completo a ocorrência de perdas operacionais. Nesse
caso, é necessário que o Conselho de Administração e a Diretoria Executiva da
cooperativa fixem parâmetros admissíveis para a ocorrência dessas perdas,
quando da execução do processo de identificação avaliação e tratamento dos
riscos operacionais.
c) rede de comunicação;
d) transporte de numerário;
e) energia;
14. Caso os planos de contingência não sejam suficientes para minimizar o risco
operacional da cooperativa, o Agente de Controles Internos e Riscos (ACIR), em
conjunto com os técnicos designados, quando for o caso, deve elaborar plano de
contingência complementar para que o risco oferecido possa ser mitigado.
17. Os procedimentos descritos nesta seção deverão ser adotados sempre que forem
contratados novos fornecedores críticos.
Título 3 – Glossário
9. Fatores de risco: podem sofrer influência ou afetação direta dos eventos, assim
como possibilitar a ocorrência dos riscos operacionais. Os fatores de risco serão
alvo de procedimentos de identificação, com a consequente avaliação e adoção
de procedimentos de tratamento, se for o caso.
12. LER/DORT: são as siglas para Lesões por Esforços Repetitivos e Distúrbios
Osteo-musculares relacionados ao trabalho, sendo doenças caracterizadas pelo
desgaste de estruturas do sistema músculo-esquelético que atingem várias
categorias profissionais.
20. Recusa do risco: redução parcial ou total das atividades negociais, objetivando
diminuir a exposição da instituição ao risco operacional.
21. Risco inerente ou risco bruto: risco operacional implícito existente no momento da
identificação, antes de qualquer ação para alterar a probabilidade e o impacto.
Título 3 – Glossário
Módulo I – Apresentação
3. Metodologia
IDENTIFICAÇÃO
Nome do Processo:
Subprocesso ou atividade:
1
Cada processo poderá ter vários riscos vinculados a ele.
INFORMAÇÕES INICIAIS
Risco Operacional: Possibilidade de ocorrência de perdas resultantes de: 1. Falha, deficiência ou inadequação de pessoas, de processos internos, de
sistemas informatizados, de contratos firmados pela Instituição e de eventos externos que afetem processos, sistemas e o quadro de pessoal necessário à
continuidade efetiva e íntegra dos negócios; 2. Sanções em razão de descumprimento de dispositivos legais e regulamentares; e 3. Indenizações por danos
a terceiros decorrentes de atividades desenvolvidas pela Instituição.
Perdas Operacionais: Despesa, perda de uma oportunidade de negócio ou de baixa de ativo, acontecimentos esses sempre motivados por um dos fatores
listados no item anterior e por um dos eventos listados a seguir.
Os riscos existentes deverão ser cadastrados no Módulo IV do Scir no item Registro das Perdas e Eventos mesmo que não tenham se materializado, a
fim de gerar base de conhecimento. Assim, as fragilidades identificadas irão contribuir para o aprimoramento da gestão de todas as unidades do Sistema.
1. FRAUDE INTERNA – Perdas ocasionadas por atos com intenção de fraudar, apropriar-se indevidamente ou burlar regulamentos, a lei ou a
política da empresa, excluindo acontecimentos discriminatórios, que envolvam pelo menos uma parte interna.
1
Risco :
Controle:
Plano de Ação:
2. FRAUDE EXTERNA – Perdas ocasionadas por atos com intenção de fraudar, apropriar-se indevidamente ou burlar a lei, praticados por um
terceiro indivíduo.
1
Risco :
Controle:
Plano de Ação:
1
Risco :
Controle:
Plano de Ação:
3. DEMANDAS TRABALHISTAS E SEGURANÇA DEFICIENTE NO LOCAL DE TRABALHO – (Perdas decorrentes de atos inconsistentes com
contratos ou leis trabalhistas, de saúde ou segurança, do pagamento de reclamações por lesões corporais ou de eventos discriminatórios.
Neste evento aplicam-se as perdas relacionadas exclusivamente a funcionários.
1
Risco :
Controle:
Plano de Ação:
1
Risco :
Controle:
Plano de Ação:
4 PRÁTICAS INADEQUADAS RELATIVAS A ASSOCIADOS, PRODUTOS E SERVIÇOS – Perdas decorrentes de uma falha não-intencional ou
negligente para cumprir uma obrigação com associados ou relacionadas a um produto ou serviço. As perdas nesta área são relacionadas
geralmente à atividade do Front Office. Na maioria de casos o beneficiário é o banco com o objetivo de vender mais produtos, iniciando ou
mantendo uma operação, melhorando os termos de uma transação, evitando a competição, etc.
1
Risco :
Controle:
Plano de Ação:
1
Risco :
Controle:
Plano de Ação:
1
Risco :
Controle:
Plano de Ação:
5. DANOS A ATIVOS FÍSICOS PRÓPRIOS –Perdas decorrentes de danos aos ativos físicos ocasionados por desastres naturais ou
acontecimentos externos.
1
Risco :
Controle:
Plano de Ação:
6. ACARRETAM INTERRUPÇÃO DAS ATIVIDADES DA INSTITUIÇÃO – Falta ou interrupção nos serviços ao público.
1
Risco :
Controle:
Plano de Ação:
7. FALHAS EM SISTEMAS DE TECNOLOGIA DA INFORMAÇÃO – Perdas decorrentes de falhas nos sistemas de tecnologia da informação.
1
Risco :
Controle:
Plano de Ação:
8. FALHAS DE GERENCIAMENTO DAS ATIVIDADES DA COOPERATIVA – Perdas decorrentes de administração de processo ou processamento
de operação, de relações com contrapartes comerciais e fornecedores. Decorrentes também da não observância das normas internas
operacionais e limites definidos pelo BACEN.
8.1 PERDAS NA RELAÇÃO COM ÓRGÃOS REGULADORES E FALHA NA EXECUÇÃO DOS CONTROLES
A realização do processo deve observar leis ou normas externas (órgãos reguladores)?
Sim Não
Há a possibilidade de multas que decorram do não cumprimento de leis ou normas relacionadas aos órgãos reguladores?
Sim Não
Falhas na formalização das operações e erros na execução de tarefas relacionadas a associados geram perdas a instituição?
Sim Não
As falhas por não observância de controles e normas internas podem gerar perdas?
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
Perdas devidas a transações não reportadas (intencionalmente), não autorizadas (com perda monetária) e
registro enganoso de posição (intencional) de atos intencionais com a participação de pelo menos um
empregado da cooperativa.
Exemplos:
Fraude interna: perdas transações não relatadas (intencional);
ocasionadas por atos com tipo de transação não autorizada (com perda monetária);
intenção de fraudar,
Atividades não registro enganoso de posição (intencional);
apropriar-se indevidamente
ou burlar regulamentos, lei autorizadas empréstimo não autorizado;
ou política da cooperativa, diferença de caixa não comunicada.
excluindo acontecimentos
discriminatórios que
envolvam pelo menos uma Comentários:
parte interna. o fraudador deve possuir uma posição/atividade na instituição;
não acarreta em violação de leis (penal/criminal).
há violação intencional de normas e controles internos;
exclui os serviços de terceiros;
a fraude interna origina-se na cooperativa.
Perdas devido a atos intencionais com a participação de pelo menos um empregado da cooperativa, com
o objetivo de apropriar indevidamente de valores financeiros e bens físicos, excluindo ações de
vandalismo e perdas em que empregados ou contratados intencionalmente lesam a cooperativa ou seus
Associados /clientes por meio da subtração direta de ativos ou numerários e da forja de documentos ou
assinaturas.
Exemplos:
fraude de crédito/depósitos sem valor;
roubo de numerários/extorsão/desfalque;
apropriação indébita de ativos;
destruição mal-intencionada de ativos;
falsificação;
fraude com uso de cheques;
contrabando;
assumir controle de conta;
Roubo e
não cumprimento das normas fiscais/evasão (intencional);
atividades
suborno/propina;
fraudulentas
negociação com empregado com acesso a informações privilegiadas;
internas
desvio de ativos físicos.
Comentários:
É importante observar que:
excluem-se ações de vandalismo;
o fraudador deve possuir uma posição/atividade na cooperativa;
acarreta em violação de leis (penal);
exclui-se os serviços de terceiros;
fraude interna origina-se de dentro da cooperativa.
Perdas em que elementos externos, intencionalmente, lesam a cooperativa por meio de subtração direta
de ativos ou numerários e de falsificação ou forja de documentos ou assinaturas.
Exemplos:
furto e roubo;
falsificação;
fraude com uso de cheques;
arrombamento de agência e de ATM;
furto de numerário de ATM;
adulteração de cheques e de boletos diversos;
autenticação falsa de documentos.
Fraude Externa: perdas
ocasionadas por atos com Roubos e Comentários:
intenção de fraudar, atividades É importante observar que:
apropriar-se indevidamente fraudulentas existe a intenção de fraudar;
ou burlar a lei, praticados por externas o fraudador busca benefício pessoal e não benefício para a cooperativa;
um terceiro indivíduo. acarreta em violação de leis (penal);
aplicável a todos os indivíduos, e geralmente acarreta penalidades criminais;
inclui serviços de terceiros.
Perdas decorrentes de eventos envolvendo acesso não autorizado de informações eletrônicas por não
empregados.
Perdas em que elementos externos intencionalmente lesam a cooperativa ou seus Associados/clientes por
meio de fraudes em canais eletrônicos.
Perdas não diretas ligadas à quebra de segurança dos sistemas da cooperativa.
Exemplos:
Fraude eletrônica infestação de vírus;
e segurança de roubo de informações com perda monetária;
sistemas danos causados por violação de sistema tecnológico;
ataque de hacker/cracker;
clonagem de cartão de crédito;
correspondente cooperativo que não efetuou os repasses;
vazamento de informações.
Comentários:
Este subevento está relacionado quando há benefício pessoal.
Demandas trabalhistas e Relações trabalhistas: remuneração, benefícios, questões relacionadas a término de vínculo
segurança deficiente no
empregatício.
local de trabalho: perdas
decorrentes de atos
inconsistentes com contratos Exemplos:
Relações
ou leis trabalhistas, de saúde trabalhistas e ações trabalhistas e ações conciliatórias de rescisão contratual: FGTS, horas extras, desvio de função,
ou segurança, do discriminação e equiparação salarial.
pagamento de reclamações assédios
por lesões corporais ou de Discriminação e assédios: todas as ações e discriminação que surjam,ou regras internas da cooperativa.
eventos discriminatórios.
Neste evento aplicam-se as Exemplos:
perdas relacionadas indenizações; assédio moral; assédio sexual; discriminação.
1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:
Circular Sicoob Brasil 009 Circular Sicoob Confederação 257 61/74
Manual de Instruções Gerais (MIG) – Risco Operacional
exclusivamente a
Acontecimentos relacionados à saúde dos empregados, normas de segurança e acidente de trabalho, e
empregados.
perdas referentes a infrações de leis e normas de segurança ou problemas de saúde.
Exemplos:
auxílio doença devido a acidentes de trabalho;
empregado com LER/DORT;
acidentes gerais (escorregões ou quedas);
assaltos à mão armada, sequestro de empregado, roubos de malote a caminho de outros bancos para
depósito, assalto no trajeto PAC-Sede ou PAC-PAC.
Ambiente de
trabalho seguro
Perdas decorrentes de indenizações pagas a associado/cliente, por decisão administarativa ou judicial, por
danos materiais, financeiros, morais etc na relação cooperativa/associados/clientes.
competição, etc.
Perdas decorrentes de condução inadequada de acordos contratuais ou de leis que regem os
procedimentos financeiros ou comerciais.
Exemplos:
negócios ou práticas de mercado inadequados;
Negócios ou venda casada;
práticas de negociação com empregado com acesso a informações privilegiadas;
mercado atividades não licenciadas (operações ativas e passivas com não associados, venda de aparelho de
inadequadas celular, etc);
lavagem de dinheiro;
quando a cooperativa for vítima de práticas ou negócios inadequados;
alteração de política econômica e decisões retroativas em leis/contratos que gerem perdas operacionais;
cadastro restritivo;
cobrança vexatória;
risco de imagem.
Exemplos:
Falhas em produtos ou serviços sem formalização ou inadequado;
produtos ou processos falhos;
serviços erros de modelagem.
Comentários:
Erros de softwares de sistemas de processamento internos não estão classificados nesta categoria. São
incluídos em Falhas em sistemas de tecnologia da informação.
Danos e desastres naturais: são perdas por desastres naturais. Quaisquer eventos que afetem
negativamente o patrimônio da cooperativa e não estejam relacionados a roubo, mas que foram causados
por elementos naturais.
Danos a ativos físicos Danos não naturais de origem interna: quaisquer eventos que afetam negativamente o patrimônio da
próprios: perdas cooperativa não relacionados a roubo e causados por empregado ou contratados.
decorrentes de danos aos
Danos naturais e
ativos físicos ocasionados Exemplos: Baixa total ou parcial de ativos da cooperativa (computadores, periféricos, móveis, automóveis
não naturais de
por desastres naturais ou etc), sem que seja pela depreciação legal ou venda, derramamento de água, por descuido, no
origem interna ou
acontecimentos externos. microcomputador de uso do empregado, queimando a máquina e gerando uma perda para a cooperativa.
externa
Apresenta o seguinte
subevento: Danos não naturais de origem externa: quaisquer eventos que afetem negativamente o patrimônio da
cooperativa causados por elementos externos, e que não estejam relacionados a roubo..
São os danos intencionais ou naturais que interrompam as atividades da cooperativa gerando perdas.
Situações que acarretam a interrupção das atividades da cooperativa.
Nesta categoria incluem apenas eventos que não geram danos ao ativo físico.
Exemplos:
sistemas inoperantes;
problemas na execução de rotinas;
Falhas em sistemas de Falhas de
hardware e software;
tecnologia da informação: tecnologia e
telecomunicações e redes;
perdas decorrentes de falhas infraestrutura
não emissão de relatórios do sistema;
nos sistemas de tecnologia
acesso de pessoas não autorizadas ao sistema;
da informação.
utilização de softwares ‘piratas’;
conhecimento da senha do associado/cliente (por parte de terceiro, inclusive empregados).
Comentários:
Nesta categoria é importante não perguntar por que o evento aconteceu, pois há grande chance de que a
resposta conduza a uma outra categoria. Entretanto, deve-se concentrar na identificação da origem,
questionando o que motivou a ocorrência de tal fato.
Perdas na relação com órgãos reguladores e legislação: perdas decorrentes de erros em transações
de Associados/clientes, de erros na divulgação de informações obrigatórias, por multas ou infrações pelo
não cumprimento de leis ou normas relacionadas com órgãos reguladores, seja do Banco Central do
Brasil, do governo ou outros, ou ao não cumprimento dos normativos internos.
Falhas na execução,
Exemplos:
cumprimento de prazos e
perda de prazo ou responsabilidade;
gerenciamento das
falha na apresentação de informações obrigatórias, informações imprecisas;
atividades na cooperativa:
lavagem de dinheiro (multa Banco Central do Brasil);
perdas decorrentes de Perdas na fechamento de balancete (multa Banco Central do Brasil).
administração de processo relação coma.2)
ou processamento de órgãos Não conformidade nos processos com associados: perdas decorrentes de falhas na formalização das
operação, de relações com reguladores e operações e decorrentes de erros na execução de tarefas relacionadas a associados/clientes. Perdas pela
contrapartes comerciais e falha na ausência de documentação, ou no gerenciamento das contas dos associados/clientes.
fornecedores. Decorrentes execução dos
também da não observância controles. Exemplos:
das normas internas
ausência de autorizações de Associados/clientes;
operacionais e limites
documentos legais ausentes/incompletos;
definidos pelo Banco Central
registros incompletos;
do Brasil.
perda por negligência ou danos aos ativos do associado/cliente;
não conformidade na formalização de operações de crédito e no acolhimento de proposta de crédito.
Falhas na execução dos controles de monitoramento: são perdas decorrentes de falhas por não
observância de controles e normas operacionais internas.
Perdas geradas na relação de negócios com contrapartes (outros bancos) e em decorrência de falhas nos
registros das informações contábeis e financeiras.
Perdas na Exemplos:
execução de erro na entrada ou na manutenção de dados;
transação erro contábil;
envio e recebimento de TED em duplicidade;
alienação de ativos com prejuízo contábil;
cálculos incorretos (relacionados com tributos).
Competência: conhecimentos e habilidades específicos necessários para a realização das tarefas, atitudes
específicas para cada cargo, incluindo capacitação e autoridade, responsabilidade do gestor; experiências
profissionais;
Pessoas
Conduta: execução de atividades autorizadas e inerentes ao cargo.
Exemplo:
Competência e conduta
antecedentes;
postura ética nas atividades e relacionamentos pessoais, atenção e zelo na realização das tarefas;
Processos
Comunicação interna e Comunicação de forma apropriada, clara, objetiva, de fácil acesso para consulta e em volume de fácil
externa absorção.
Protocolos e dispositivos de rede que permitem a comunicação e disponibilidade dos sistemas (software
Sistemas Rede de comunicação básicos, apoio e aplicativos) das cooperativas para os Associados/clientes, empregados, usuários externos,
contratados, fornecedores e parceiros.
Fornecedores e parceiros Desempenho e qualidade de fornecedores de produtos ou serviços, energia, telecomunicações, serviços
terceirizados, correspondentes bancários, etc.
Eventos
Externos
Desastres naturais e
Eventos naturais (terremotos, enchentes, etc) ou catástrofes (queda de prédio, incêndio, etc).
catástrofes
Órgão Data de
Norma Nº Epígrafe
emissor emissão
Comitê de
Supervisão
Bancária da
Basileia Basileia,
- - Os princípios essenciais da Basileia.
Traduzido Suíça, 1997
por: Banco
Central do
Brasil
Federação
Melhores práticas na gestão do risco
Brasileira de Março de
- - operacional. Grupo de trabalho melhores
Bancos 2006
práticas.
(Febraban)
Associação
Brasileira de
ISO Normas
- 30/11/2009 Gestão de Riscos, Princípios e Diretrizes.
31000 Técnicas
(ABNT)
Committee
of
INTERNAL Sponsoring
Control – Organizatio
- ns of the - INTERNAL Control – Integrated Framework.
Integrated
Framework Treadway
Commission
(Coso)
Organizatio
ns of the
- - 5/5/2006 -
Treadway
Commission