MIG - Risco Operacional 30.10.2012 OTIMO PDF

Manual de Instruções Gerais (MIG) – Risco Operacional
1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:

Circular Sicoob Brasil 009 Circular Sicoob Confederação 257 1/74
Título 1 – Apresentação...................................................................................... 3
Título 2 – Gerenciamento do Risco Operacional ............................................. 4
Capítulo 1 – Estrutura de Gerenciamento do Risco Operacional 4
Seção 1 – Considerações Gerais .......................................................................... 4
Seção 2 – Estrutura Organizacional ...................................................................... 5
Seção 3 – Responsabilidades ............................................................................... 8
Seção 4 – Estrutura Normativa ........................................................................... 13
Seção 5 – Sistema Tecnológico .......................................................................... 14
Seção 6 – Conformidade ..................................................................................... 15
Seção 7 – Validação ........................................................................................... 16
Capítulo 2 – Processos de Gerenciamento de Risco Operacional ......................... 17
Seção 1 – Identificação de Riscos Operacionais ................................................ 17
Seção 2 – Avaliação do Risco Operacional......................................................... 19
Seção 3 – Monitoramento, Controle e Mitigação................................................. 23
Seção 4 – Comunicação ..................................................................................... 28
Seção 5 – Documentação e Armazenamento de Informações ........................... 31
Seção 6 – Registro das Perdas Operacionais ..................................................... 32
Seção 7 – Acompanhamento .............................................................................. 36
Seção 8 – Identificação de Fornecedores Críticos .............................................. 37
Seção 9 – Publicação da Estrutura de Gerenciamento de Risco Operacional .... 40
Título 3 – Glossário ........................................................................................... 41
Título 4 – Modelos e Formulários .................................................................... 44
Capítulo 1 – Estrutura de Gerenciamento de Risco Operacional ........................... 44
Seção 1 – Relatório Completo para Publicação .................................................. 44
Seção 2 – Relatório Resumido para Publicação ................................................. 47
Capítulo 2 – Questionário de Auto Avaliação de Riscos e Controles (CRSA) ........ 48
Capítulo 3 – Quadro Descritivo dos Eventos e Subeventos ................................... 58
Capítulo 4 – Quadro Descritivo dos Fatores e Subfatores ..................................... 69
Título 5 – Referências Normativas .................................................................. 73
Título 6 – Controle de atualizações ................................................................. 74

Título 1 – Apresentação
1. O Manual de Instruções Gerais (MIG) – Risco Operacional tem por finalidade

complementar a Política institucional de Risco Operacional e estabelecer padrões
para a instrumentalização do gerenciamento do risco operacional pelas
cooperativas centrais e singulares do Sicoob.
2. Este manual foi elaborado e é atualizado por proposta da Área de Controles

Internos e Riscos da Confederação Nacional das Cooperativas do Sicoob - Sicoob
Confederação, entidade responsável pelo gerenciamento centralizado do risco
operacional do Sicoob.
3. No corpo deste manual, apresentamos o Conselho de Administração e a Diretoria

Executiva como órgãos de administração. Caso as cooperativas centrais e
singulares não disponham dessa estrutura, as funções do Conselho de
Administração corresponderão, conforme o caso, à Diretoria, e as funções da
Diretoria Executiva corresponderão a outro órgão executivo eventualmente
existente.
4. A adesão a este Manual Operacional pelas cooperativas centrais e singulares do

Sicoob que não adotaram o modelo de estatuto disponível no MIG – Regulação
Institucional ocorrerá por meio da aprovação pelas respectivas Diretorias
Executivas.
5. A reprodução parcial ou total desta obra somente será permitida às entidades do

Sicoob.

Título 2 – Gerenciamento do Risco Operacional
Capítulo 1 – Estrutura de Gerenciamento do Risco Operacional
Seção 1 – Considerações Gerais
1. A regulamentação em vigor determina que as instituições autorizadas a funcionar

pelo Banco Central do Brasil devem implementar estrutura de gerenciamento de
riscos compatível com a natureza das operações, bem como a complexidade dos
produtos e serviços oferecidos, e deve ainda ser proporcional à dimensão da
exposição.
2. A estrutura de gerenciamento do risco operacional tem caráter abrangente e

constitui-se pelos seguintes componentes:
a) estrutura organizacional;
b) estrutura normativa;
c) sistemas computacionais;
d) conformidade;
e) validação;
f) acompanhamento.
3. O Sicoob Confederação é a entidade responsável pela estrutura de

gerenciamento centralizado do risco operacional do Sicoob.
4. A estrutura de gestão centralizada do risco operacional não desonera as

cooperativas centrais e singulares das responsabilidades a que estão sujeitas por
determinação legal ou regulamentar.

Seção 2 – Estrutura Organizacional
1. A estrutura envolvida no processo de aprovação da estrutura organizacional para

implementação do gerenciamento do risco operacional e da Política Institucional
de Risco Operacional constitui-se por:
a) Área de Controles Internos e Riscos do Sicoob Confederação: elabora

estudos e submete as propostas, considerando também as propostas do
Comitê de Controles Internos e Risco Operacional, à Diretoria Executiva.
b) Comitê de Controles Internos e Risco Operacional do Sicoob: analisa e se

manifesta em relação às propostas da Área de Controles Internos e Riscos
do Sicoob Confederação, de acordo com o contido no Regulamento do
Comitê de Controles Internos e Risco Operacional do Sicoob;
c) Área de Normas do Sicoob Confederação: padroniza e consolida as minutas

dos normativos a serem apreciados pelas instâncias deliberativas;
d) Diretoria Executiva do Sicoob Confederação: avalia, aprova metodologias e

política e encaminha, no caso de política, ao Conselho de Administração do
Sicoob Confederação para deliberação;
e) Conselho de Administração do Sicoob Confederação: avalia as

manifestações encaminhadas pela Diretoria Executiva e decide sobre as
propostas apresentadas.
2. A estrutura organizacional envolvida na aprovação dos processos, modelos,

procedimentos e sistemas relacionados ao gerenciamento do risco operacional
constitui-se por:
a) Área de Controles Internos e Riscos do Sicoob Confederação: elabora os

estudos e submete as propostas de processos e métodos para o
gerenciamento do risco operacional;
b) Área de Normas do Sicoob Confederação: padroniza e consolida as minutas

dos normativos a serem apreciados pelas instâncias deliberativas;
c) Comitê de Controles Internos e Risco Operacional do Sicoob: analisa e se

manifesta em relação às propostas da área de Controles Internos e Riscos do
Sicoob Confederação, de acordo com o contido no Regulamento do Comitê de
Controle Interno e Risco Operacional do Sicoob.
3. A estrutura organizacional envolvida no processo de acompanhamento do risco

operacional no âmbito sistêmico constitui-se por:

a) Área de Controles Internos e Riscos do Sicoob Confederação: produz as

informações para o gerenciamento do risco operacional (inclusive de forma
individualizada para cada entidade do Sicoob), elabora análises e submete as
propostas;
b) Comitê de Controles Internos e Risco Operacional do Sicoob: avalia e se

manifesta em relação às informações e análises apresentadas pela área de
Controles Internos e Riscos do Sicoob Confederação;
c) Diretoria Executiva do Sicoob Confederação: acompanha a implementação da

Política e procedimentos, e toma as providências necessárias;
d) Conselho de Administração do Sicoob Confederação: avalia e decide sobre as

propostas que lhes forem submetidas.
4. A estrutura organizacional envolvida no processo de acompanhamento do risco

operacional no âmbito de cada entidade do Sicoob constitui-se por:
a) Diretoria Executiva das cooperativas centrais: recebe o resultado das análises

realizadas pela Área de Controles Internos e Riscos do Sicoob Confederação e
as manifestações do Comitê de Controles Internos e Risco Operacional do
Sicoob, avalia e apresenta manifestação em relação às análises recebidas. A
manifestação da Diretoria Executiva deve ser encaminhada para providências
da área de Controles Internos e Riscos da própria Central;
b) Área de Controles Internos e Riscos das cooperativas centrais: recebe

informações da Diretoria Executiva, produzidas pela área de Controles
Internos e Riscos do Sicoob Confederação e do Comitê de Controles Internos
e Risco Operacional do Sicoob, elabora análises e submete propostas de
ações corretivas e preventivas, inclusive envolvendo as cooperativas
singulares associadas;
c) Conselho de Administração das cooperativas centrais: avalia as informações e

as análises recebidas, bem como decide, inclusive em relação às respectivas
cooperativas singulares associadas, sobre as propostas de ações corretivas e
preventivas, de adoção de mecanismos de mitigação ou de planos de
contingência envolvendo o risco operacional;

d) Diretoria Executiva das cooperativas singulares: recebe o resultado das

análises realizadas pela Área de Controles Internos e Riscos do Sicoob
Confederação, bem como a manifestação da cooperativa central, que avalia e
apresenta manifestação em relação às informações recebidas. Após análise,
encaminha a manifestação para análise da própria Área de Controles Internos
e Riscos.
d.1) A Diretoria Executiva é responsável por disseminar a Política e a

metodologia de gerenciamento de risco operacional, bem como por
providenciar sua efetiva implementação;
e) Área de Controles Internos e Riscos das cooperativas singulares: recebe da

Diretoria Executiva as informações produzidas pela Área de Riscos do Sicoob
Confederação e as decisões da cooperativa central. Após análise, submete as
propostas ao Conselho de Administração;
f) Conselho de Administração das cooperativas singulares: avalia as informações

e as análises recebidas, bem como decide sobre as propostas de ações
corretivas e preventivas, de adoção de mecanismos de mitigação ou de planos
de contingência que envolvem o risco operacional.

Seção 3 – Responsabilidades
1. Além das atribuições e responsabilidades previstas no Estatuto Social e no

respectivo Regimento Interno, o Conselho de Administração da cooperativa
central e singular do Sicoob é responsável por:
a) aprovar e disseminar a Política de Gerenciamento do Risco Operacional;
b) analisar, no mínimo anualmente, os relatórios que identificam as deficiências

de controle e gerenciamento de risco operacional, bem como as ações para
correção tempestiva;
c) manifestar, expressamente, acerca das ações a serem implementadas para

correção tempestiva das deficiências apontadas nos relatórios mencionados;
d) instituir a realização periódica dos testes de avaliação dos sistemas de

controle de riscos operacionais;
e) estabelecer as condições necessárias para publicação, em conjunto com as

demonstrações contábeis e de acordo com a legislação em vigor, do resumo
da descrição da estrutura de gerenciamento do risco operacional, indicando
a localização do relatório de acesso público;
f) aprovar os planos de contingência contendo as estratégias a serem

adotadas para assegurar condições de continuidade das atividades e para
limitar graves perdas decorrentes de risco operacional;
g) instituir processo estruturado de comunicação e informação;
h) outras competências necessárias ao adequado gerenciamento do risco

operacional na cooperativa.
2. Além das atribuições e responsabilidades previstas no Estatuto Social e no

respectivo Regimento Interno, a Diretoria Executiva da cooperativa central e
singular do Sicoob é responsável por:
a) disseminar a Política de Gerenciamento do Risco Operacional instituída;
b) analisar, no mínimo anualmente, os relatórios que identificam as deficiências

de controle e gerenciamento de risco operacional, bem como as ações para
correção tempestiva;
c) manifestar, expressamente, acerca das ações a serem implementadas para

correção tempestiva das deficiências apontadas nos relatórios mencionados;
d) verificar se os testes de avaliação dos sistemas de controle de riscos

operacionais implementados foram realizados no mínimo anualmente;

e) certificar-se da adequada documentação e armazenamento de informações

referente às perdas associadas ao risco operacional;
f) estabelecer, em conjunto com o Conselho de Administração, as condições

necessárias para que o resultado das análise realizadas no gerenciamento
do risco operacional possam ser objeto de acesso público, com periodicidade
mínima anual;
g) proporcionar as condições administrativas e técnicas necessárias para que o

Agente de Controles Internos e Riscos (ACIR) e demais empregados da
cooperativa exerçam adequadamente as atribuições a eles conferidas;
h) acompanhar as ações desenvolvidas pelo Agente de Controles Internos e

Riscos, empregados das cooperativas e prestadores de serviços, para
correção tempestiva de deficiências de controle e gerenciamento de riscos
operacionais;
i) acompanhar os empregados na execução de suas atividades, para correção

tempestiva de deficiências identificadas no controle e no gerenciamento de
riscos;
j) informar ao Conselho de Administração, independente dos relatórios

elaborados pelo Agente de Controles Internos e Riscos (ACIR), quando da
identificação de deficiências de controle e de gerenciamento de riscos que
apresentem riscos operacionais relevantes e imediatos à cooperativa;
k) cumprir e fazer cumprirem as ações mitigadoras de risco operacional;
l) outras atividades necessárias ao adequado gerenciamento do risco

3. Além das atribuições e responsabilidades previstas no respectivo Regimento

Interno, os gestores (superintendentes, gerentes ou função correlata) são
responsáveis pelas atividades relacionadas à identificação, avaliação e tratamento
do risco operacional, apresentadas a seguir:
a) identificar e avaliar os riscos operacionais existentes nos processos de sua

área;
b) assegurar a efetiva execução dos controles implementados;
c) implementar as ações de risco operacional aprovadas pela Diretoria

Executiva da cooperativa;

d) implementar os Manuais Operacionais em suas respectivas áreas, assim

como assegurar seu alinhamento com a Política Institucional de Risco
Operacional e a este Manual;
e) conscientizar a respectiva equipe sobre a relevância do gerenciamento do

risco operacional;
f) identificar as perdas operacionais de sua área e comunicar formalmente à

Diretoria Executiva e ao Agente de Controles Internos e Riscos (ACIR) ;
g) identificar as causas das perdas operacionais ocorridas em sua área e

avaliar o custo para implementação de controles adicionais.
4. Os empregados devem realizar adequadamente as suas atividades, identificando

e reportando aos respectivos gestores, deficiências e (ou) riscos identificados na
operacionalização.
5. Além das atribuições previstas no Manual de Instruções Gerais (MIG) – Controles

Internos e no respectivo Regimento Interno, o Monitor de Controles Internos e
Riscos (MCIR) é responsável por (no caso de Monitor da Central, em relação às
cooperativas singulares; no caso de Monitor da Confederação, em relação às
cooperativas centrais):
a) monitorar as atividades de gerenciamento do risco operacional executadas

pelas cooperativas monitoradas;
b) verificar os registros de identificação, avaliação e tratamento dos riscos

operacionais realizados no Sistema de Controles Internos e Riscos
Operacionais (Scir) pelas cooperativas monitoradas;
c) monitorar a regularização das deficiências relacionadas ao gerenciamento do

risco operacional;
d) monitorar o grau de exposição ao risco operacional, inclusive aquele

oferecido por fornecedores críticos;
e) comunicar ao Conselho de Administração da cooperativa monitorada, por

intermédio do próprio Conselho de Administração da cooperativa central, os
casos em que os trabalhos executados estão inadequados e (ou) que não
estão em conformidade com a normatização em vigor;
f) elaborar e encaminhar o relatório das atividades de gerenciamento do risco

operacional ao Conselho de Administração da cooperativa monitorada.

6. Além das atribuições previstas no Manual de Instruções Gerais (MIG) – Controle

Interno e no respectivo Regimento Interno, o Agente de Controles Internos e
Riscos (ACIR) é responsável por:
a) coordenar, de acordo com o previsto neste Manual e com as diretrizes do

Conselho de Administração, a aplicação efetiva da Política de
Gerenciamento de RiscoOperacionai;
b) coordenar a aplicação de procedimentos de identificação, avaliação,

monitoramento, controle e mitigação do risco operacional, contidos neste
manual, inclusive aqueles decorrentes de serviços terceirizados relevantes
para o funcionamento regular da cooperativa, prevendo os respectivos
planos de contingência;
c) atuar como facilitador no processo de gerenciamento do risco operacional;
d) operacionalizar o Sistema de Controles Internos e Riscos Operacionais

(Scir);
e) reportar ao Conselho de Administração e à Diretoria Executiva as falhas ou

inconsistências nos processos de identificação, avaliação e tratamento dos
riscos operacionais;
f) coordenar a realização dos testes de planos de contingência;
g) registrar as perdas decorrentes do risco operacional;
h) providenciar a documentação e o armazenamento das informações

referentes às perdas associadas ao risco operacional, conforme instruções
contidas neste manual;
i) elaborar e apresentar ao Conselho de Administração e à Diretoria Executiva,

de acordo com periodicidade definida pela entidade para preenchimento da
Lista de Verificação de Conformidade (LVC, relatórios que identificam as
deficiências do controle e gerenciamento do risco operacional, bem como
ações para correção tempestiva;
j) observar se o resumo da descrição da estrutura de gerenciamento do risco

operacional está sendo publicado como parte integrante do Relatório de
Gestão/Administração, em conjunto com as demonstrações contábeis;

m) prestar às cooperativas monitoradas as informações necessárias à execução

do processo de gerenciamento de risco operacional ;manter o Conselho de
Administração e a Diretoria Executiva informados sobre as situações de risco
operacional imediato;
k) outras atividades necessárias ao adequado gerenciamento do risco


Seção 4 – Estrutura Normativa
1. Os instrumentos normativos que envolvem o risco operacional incluem, na forma

definida no Manual de Instruções Gerais (MIG) – Normatização, os seguintes
instrumentos de regulação:
a) Política Institucional de Risco Operacional;
b) Manuais de Instruções Gerais (MIG);
c) Manuais de Procedimentos Internos (MPI);
d) Manual de Produtos e Serviços (MPS).
2. A proposição de instrumentos normativos relativos ao gerenciamento do risco

operacional é de competência da Área de Controles Internos e Riscos do Sicoob
Confederação.
3. A proposição de normativos pela Área de Controles Internos e Riscos do Sicoob

Confederação decorre, dentre outros, de alterações no ambiente
normativo/regulatório, de fatos relevantes, de sugestões de qualquer entidade do
Sicoob ou da identificação de oportunidades de melhoria.
4. A padronização e a consolidação das minutas a serem submetidas à aprovação

das instâncias decisórias são efetuadas pela Área de Normas do Sicoob
Confederação.

Seção 5 – Sistema Tecnológico
1. O sistema utilizado no processo de gerenciamento do risco operacional é o

Sistema de Controles Internos e Riscos Operacionais (Scir), que contém o módulo
para o gerenciamento do risco operacional e para a Lista de Verificação de
Conformidade (LVC), que foi desenvolvida com base na metodologia CSA
(Control Self Assessment).
2. O desenvolvimento de implementações e melhorias é efetuado por demanda das

cooperativas, a partir da proposição dos usuários, da identificação de
necessidades, bem como de definição de prioridades.
3. As informações cadastradas no Sistema de Controles Internos e Riscos

Operacionais (Scir) são mantidas em banco de dados fornecido pelo Sicoob
Confederação.

Seção 6 – Conformidade
1. O processo de gerenciamento do risco operacional conta com sistemática de

conformidade, definida e conduzida pela Área de Controles Internos e Riscos do
Sicoob Confederação, como parte integrante do processo centralizado de
gerenciamento do risco operacional e do monitoramento dos controles internos.
2. Observada a sistemática própria de gerenciamento do risco operacional e de

monitoramento dos controles internos, os resultados em relação ao risco
operacional são periodicamente analisados pela Área de Controles Internos e
Riscos do Sicoob Confederação, que avalia e propõe, quando necessário,
adequações aos normativos que estão sob sua gestão.

Seção 7 – Validação
1. Os sistemas, os modelos e os procedimentos utilizados devem passar,

previamente à utilização, por processo de validação o qual envolve:
a) homologação: realizada pelo gestor específico, no caso de funcionalidades dos

sistemas computacionais;
b) crítica: realizada pelo Comitê de Controles Internos e Risco Operacional do

Sicoob, referentes aos normativos, procedimentos e modelos propostos.

Título 2 – Gerenciamento Do Risco Operacional

Capítulo 2 – Processos de Gerenciamento de Risco Operacional
Seção 1 – Identificação de Riscos Operacionais
1. Identificação é o processo pelo qual são apontados os eventos potenciais internos

e externos que podem afetar a implementação da estratégia e o alcance dos
objetivos das cooperativas do Sicoob, constituindo assim em risco operacional.
2. Os riscos operacionais das cooperativas do Sicoob, incluindo os decorrentes de

prestação de serviços terceirizados relevantes para o funcionamento regular da
cooperativa, devem ser tempestivamente identificados.
3. Para intermediar o processo de identificação dos riscos operacionais, o Agente de

Controles Internos e Riscos (ACIR) deve:
a) analisar a Lista de Verificação de Conformidade (LVC) (Módulo II do Scir);
b) observar o histórico de perdas registradas na contabilidade e (ou) no item de

registro de perdas operacionais do Módulo IV do Sistema de Controles
Internos e Riscos Operacionais (Scir);
c) analisar o mapeamento dos processos internos da cooperativa, quando houver;
d) entrevistar os gestores com o objetivo de identificar os riscos operacionais e os

processos e atividades da área;
e) observar a experiência dos empregados da área, sob a coordenação do gestor;
f) observar os pontos de aprimoramento relatados pelas Auditorias Interna e

externa, pela área de Controles Internos e pelo Banco Central do Brasil;
g) observar as ações judiciais movidas contra a cooperativa.
4. A responsabilidade pela identificação do risco operacional é do gestor do

processo (superintendente, gerente ou função correlata), cujo processo deve ser
conduzido sob a coordenação do Agente de Controles Internos e Riscos (ACIR) e
validado e aprovado pela respectiva Diretoria Executiva.
5. Todos os riscos operacionais identificados na cooperativa devem ser registrados,

no Sistema de Controles Internos e Riscos Operacionais (Scir) → Módulo IV →
Registro de Perdas e Riscos Operacionais, descrevendo o evento e o fator
operacional do risco.
6. Além dos riscos identificados pela Lista de Verificação de Conformidade (LVC),

pode, ainda, haver riscos operacionais aos quais os processos da cooperativa
estão expostos, mas que não foram identificados por meio da Lista de Verificação
de Conformidade (LVC) ou das perdas ocorridas.


Seção 1 – Identificação de Riscos Operacionais
7. A Lista de Verificação de Conformidade pode não ser suficiente para identificar

todos os riscos operacionais, assim, é recomendável que a cooperativa realize o
mapeamento e a descrição de todos os seus processos para identificação dos
riscos operacionais existentes. Os processos da cooperativa devem ser descritos,
com intuito de identificar os riscos operacionais e facilitar análises futuras.
8. Independente dos processos da cooperativa estarem descritos, a análise para

identificação dos riscos operacionais deve ser realizada, pelo menos, nos
processos críticos da cooperativa (aqueles com possibilidade de perdas
significativas).
9. Para facilitar a identificação dos riscos operacionais por meio da Lista de

Verificação de Conformidade (LVC), recomenda-se que, para cada processo (por
exemplo: caixa, contabilidade, ciclo de crédito, captação), sejam realizadas
perguntas baseadas nos 8 (oito) eventos descritos na regulamentação em vigor,
que trata da implementação de estrutura de gerenciamento de risco operacional,
conforme apresentado no título 4 – Questionário de Auto Avaliação de Riscos e
Controles (CRSA).
10. O ciclo de identificação dos riscos operacionais deve ser realizado no mínimo
anualmente.

Título 2 – Gerenciamento Do RISCO Operacional

Capítulo 2 – Processos de gerenciamento de Risco Operacional
Seção 2 – Avaliação do Risco Operacional
1. Para o gerenciamento do risco operacional é importante realizar a avaliação dos

riscos identificados com o objetivo de, mesmo de forma subjetiva, estabelecer
graus de relevância dos riscos.
2. Nessa etapa, é realizada a avaliação qualitativa dos riscos operacionais, por meio
da aplicação da Matriz de Exposição ao Risco Operacional do Módulo IV do
Sistema de Controles Internos e Riscos Operacionais (Scir).
3. De acordo com a avaliação realizada pela Matriz de Exposição ao Risco

Operacional, preferencialmente para os riscos operacionais classificados com
prioridade “média” e “alta”, e para aqueles que, independentemente da
classificação matricial, apresentarem possibilidade de sanção por órgãos de
regulação e de fiscalização, deve ser também apresentado pelo gestor, sob a
coordenação do Agente de Controles Internos e Riscos (ACIR), plano de ação
para tratamento do risco operacional.
4. O Sistema de Controles Internos e Riscos Operacionais (Scir) possibilita a

avaliação dos riscos em três situações:
a) no encerramento do preenchimento da Lista de Verificação de Conformidades

(LVC);
b) após o registro de perdas operacionais identificadas no decorrer do bimestre

em avaliação;
c) após o registro de determinado evento em decorrência da materialização do

risco operacional.
5. A Matriz de Exposição ao Risco Operacional mede o grau de exposição ao risco

operacional ao qual os processos e atividades estão sujeitos.
6. Esse grau é determinado pelas respostas negativas dos pontos de controle da

Lista de Verificação de Conformidade (LVC), conforme o peso (impacto) e a
frequência.
7. A combinação dos fatores impacto e frequência dos pontos de controle negativos

relacionados ao risco operacional determina a classificação final da cooperativa,
que pode ser de baixo, médio ou alto risco.


8. O eixo impacto informa o nível de risco das questões negativas, conforme o peso
de cada questão na LVC (o peso corresponde ao impacto na exposição ao risco
da cooperativa, sendo que, quanto maior o peso, maior o impacto), conforme
apresentado a seguir:
a) insignificante: quando o peso da questão da LVC é igual a 1;
b) menor: quando o peso da questão da LVC é igual a 2;
c) moderado: quando o peso da questão da LVC é igual a 3;
d) maior: quando o peso da questão da LVC é igual a 4;
e) catastrófico: quando o peso da questão da LVC é igual a 5.
9. O eixo frequência informa a percentagem de vezes que as questões da Lista de

Verificação de Conformidade (LVC) foram negativadas no período de
preenchimento, conforme apresentado a seguir:
a) rara: quando a ocorrência negativa da questão da LVC, no período, for igual a

0% ou menor ou igual a 20% do total de ocorrências possíveis;
b) improvável: quando a ocorrência negativa da questão da LVC, no período, for

maior que 20% e menor ou igual a 40% do total de ocorrências possíveis;
c) possível: quando a ocorrência da questão da LVC, no período, for maior que

40% e menor ou igual a 60% do total de ocorrências possíveis;
d) provável: quando a ocorrência da questão da LVC, no período, for maior que

60% e menor ou igual a 80% do total de ocorrências possíveis;
e) quase certa: quando a ocorrência da questão da LVC, no período, for maior

que 80% e menor ou igual a 100% do total de ocorrências possíveis.
10. A base de dados que compõe o eixo frequência é sempre acumulativa, isto é,
utiliza a base de dados gerada desde o primeiro preenchimento da LVC pela
cooperativa.


11. O processo de avaliação do risco operacional será demonstrado por meio do

exemplo a seguir: em uma cooperativa sem Ponto de Atendimento (PA), cuja Lista
de Verificação de Conformidade (LVC) totaliza 100 questões, os pesos são
distribuídos da seguinte forma:
a) 20 questões com peso 1 (insignificante);
b) 10 questões com peso 2 (menor);
c) 40 questões com peso 3 (moderado);
d) 10 questões com peso 4 (maior);
e) 20 questões com peso 5 (catastrófico).
12. O período analisado, no exemplo anterior, é o equivalente a 10 bimestres, ou

seja, cada questão terá no máximo 10 ocorrências.
13. Caso a questão 01.01.001, de peso (impacto) 1, tenha sido respondida

negativamente 5 vezes durante o período, ou seja, em 10 ocorrências possíveis
foram registradas 5 negativas, o cálculo para avaliar o risco relacionado à
questão, no eixo frequência seria: 5 (negativas)/10 (preenchimentos da LVC) =
0,50 x 100 = 50% (frequência de negativas registradas).
14. Nesse momento, aplicam-se os resultados de impacto “1” e de frequência 50% na

matriz apresentada a seguir:
15. A combinação impacto x frequência da questão é:
a) eixo impacto: insignificante devido ao peso 1;
b) eixo frequência: possível, pois a ocorrência foi > 40% ou < 60%;
16. A classificação do risco ficou apresentada na primeira linha e terceira coluna da

matriz, sendo que a célula de cor amarela equivale ao médio risco.

17. Essa análise será feita para as outras 19 questões de impacto insignificante, de
modo que, ao final, a 1ª linha terá 20 questões.
18. Nos outros níveis de impacto, o procedimento será o mesmo, de modo que cada
linha terá como total a respectiva quantidade máxima de questões por impacto.
19. A última célula, que remete ao total geral, será equivalente ao total de questões
da Lista de Verificação de Conformidade (LVC), que é igual a 100.
20. O percentual de combinações de todas as questões determinará o grau de

exposição ao risco operacional da cooperativa, variando de risco baixo (verde),a
risco alto (vermelho).


Seção 3 – Monitoramento, Controle e Mitigação
Subseção 1 – Tratamento dos Riscos
1. O tratamento dos riscos compreende as etapas de monitoramento, controle e

mitigação do risco operacional.
2. Podem ser implementadas ações para o monitoramento, controle e mitigação, na

forma apresentada a seguir:
a) monitoramento: ações que possibilitam manter o risco sob supervisão,

inclusive a performance dos controles aplicados, de forma que qualquer
variação que possa redundar em perdas, além daquelas aprovadas pela
Diretoria Executiva, sejam tempestivamente identificadas;
b) controle: arranjo ou conjunto de arranjos aplicados ao risco com o objetivo de

mantê-lo dentro de um determinado parâmetro;
c) mitigação: ações que possibilitam reduzir a probabilidade e (ou) do impacto do

risco.
3. Na etapa de identificação dos riscos ou das perdas operacionais, após o

cruzamento das combinações de “Evento” e “Fator” e, consequentemente,
do“Subevento” e “Subfator, o risco poderá ser Controlável pela LVC, Não
Controlável pela LVC ou Controlável Sem Eficácia pela LVC.
4. Os riscos e as perdas operacionais classificadas como não controláveis ou

controláveis sem eficácia na LVC deverão ser tratados por meio de planos de
ação cadastrados pela cooperativa no aplicativo do Módulo IV do Sistema de
Controles Internos e Riscos Operacionais (Scir).
5. O gestor, sob a coordenação do Agente de Controles Internos e Riscos (ACIR),

deve apresentar plano de ação para o tratamento do risco operacional classificado
com prioridade “média” e “alta”, e para aqueles que, independente da
classificação matricial apresentar possibilidade de sanção por órgãos de
regulação e de fiscalização.
6. No tratamento dos riscos operacionais devem ser empreendidas as seguintes

ações:
a) implementação pelos gestores de cada área, das ações determinadas em

planos de ação para tratamento dos riscos operacionais identificados e
avaliados;
b) acompanhamento pelo Agente de Controles Internos Riscos (ACIR) da

efetividade e tempestividade na implantação de cada ação;

c) avaliação, pela Diretoria Executiva, dos controles existentes e ações a serem

implementadas, principalmente dos riscos classificados como Médio e Alto;
d) enquadramento dos riscos nos parâmetros definidos na Política Institucional de

Risco Operacional;
e) aplicação, pelo Agente de Controles Internos e Riscos (ACIR), de testes

regulares nos controles dos riscos mais severos.
7. A responsabilidade operacional para implementação dos planos de ação é do

gestor da área em que o risco operacional foi identificado e avaliado.
8. O Agente de Controles Internos e Riscos (ACIR) deve assessorar os gestores da

cooperativa na implementação das ações necessárias ao tratamento dos riscos
operacionais, assim como acompanhar a implementação dessas ações, com as
consequentes comunicações, de forma tempestiva, à Diretoria Executiva e ao
Conselho de Administração.
9. A regularização das deficiências detectadas deve ser comunicada ao ACIR, por

meio de instrumento de comunicação específico, o qual comunicará à Diretoria
Executiva e ao Conselho de Administração.
10. Eventuais determinações e os prazos que não poderão ser cumpridos no tempo
fixado deverão ser comunicados pelo gestor ao ACIR, o qual comunicará à
Diretoria Executiva e ao Conselho de Administração sobre o ocorrido.
11. Para monitorar o risco, a Diretoria Executiva e o Conselho de Administração

devem supervisionar a execução das ações e o cumprimento dos prazos
estabelecidos para regularização das deficiências detectadas e avaliar eventuais
descumprimentos, para determinar as providências aplicáveis.
12. O resultado da deliberação dos órgãos de administração referente ao item anterior

deve ser registrado na ata da reunião em que o tema foi pautado.
13. Os empregados devem adotar os procedimentos de monitoramento, controle e

mitigação informados em planos de ação.
14. O Agente de Controles Internos e Riscos (ACIR) deve utilizar o aplicativo “Ações
de regularização” do Módulo IV do Sistema de Controles Internos e Riscos
Operacionais (Scir), para gestão, monitoramento e encerramento dos planos de
ação registrados, referentes às perdas ou riscos operacionais não controláveis ou
controláveis sem eficácia pela LVC.

15. A documentação que evidencia a implementação das ações de tratamento dos

riscos deve ser arquivada pelas cooperativas e deve ficar à disposição da
estrutura de controle (agente, monitor, auditorias, central, Sicoob Confederação e
Banco Central).
16. A deliberação da Diretoria Executa e do Conselho de Administração quanto a

forma de tratar o risco deve ser transparente e estar alinhada à Política
Institucional de Risco Operacional e a este Manual.


Subseção 2 – Reporte Interno e Externo
1. A implementação dos planos de ação é de responsabilidade operacional dos

gestores dos processos em que o risco operacional for identificado e deve ser
supervisionada pelo Agente de Controles Internos e Riscos (ACIR), ao qual
compete reportar periodicamente a situação à Diretoria Executiva e ao Conselho
de Administração.
2. Eventuais determinações e prazos que não forem possíveis de ser cumpridos

pelas áreas da cooperativa deverão ser reportados ao ACIR, o qual encaminhará
a informação à Diretoria Executiva e ao Conselho de Administração.
3. Para mitigar o risco, a Diretoria Executiva e o Conselho de Administração devem

supervisionar a execução das ações e o cumprimento dos prazos fixados às áreas
da cooperativa, avaliando eventuais descumprimentos e determinando as
providências aplicáveis.
4. O resultado das atividades descritas no item 3 anterior deve estar registrado na

ata da reunião em que o tema foi pautado.
5. Os gestores da cooperativa informarão ao ACIR, por meio de memorando, a

regularização das deficiências detectadas, o qual irá comunicá-las à Diretoria


Subseção 3 – Testes de Avaliação dos Sistemas de Controle de Riscos
Operacionais
1. Entende-se por testes de avaliação dos sistemas de controle de riscos

operacionais a verificação da eficácia (se funciona de acordo com os objetivos
propostos) dos controles implementados nos riscos identificados e avaliados.
2. Essa avaliação deve ser realizada pelo Agente de Controles Internos e Riscos, no
mínimo, anualmente, pelo menos nos controles dos riscos classificados como de
níveis médio e alto.
3. O resultado dos testes de avaliação deve estar expresso em relatório e ser

apresentado à Diretoria Executiva da cooperativa.
4. A Auditoria Interna verificará e avaliará os procedimentos adotados pela entidade

auditada para mensurar, monitorar e controlar a exposição ao risco operacional,
bem como verificará se os testes de avaliação estão sendo realizados.
5. Os resultados dos testes de avaliação devem ser submetidos à Diretoria



Seção 4 – Comunicação
1. A etapa de comunicação deve ser ralizada de forma adequada para que possa
atender à necessidade operacional da cooperativa e às normas internas e
externas aplicáveis.
2. Essa etapa deve assegurar, por meio de relatórios estruturados de periodicidade

bimestral, o conhecimento das deficiências de controle e do gerenciamento de
risco operacional ao Conselho de Administração e à Diretoria Executiva,
permitindo a correção tempestiva e conferindo transparência ao processo.
3. O Conselho de Administração e a Diretoria Executiva devem se manifestar

expressamente acerca das ações a serem implementadas, para correção
tempestiva das deficiências apresentadas.
4. O Agente de Controles Internos e Riscos (ACIR) encaminhará bimestralmente à

Diretoria Executiva, devidamente assinada, a seguinte documentação:
a) Matriz de Exposição ao Risco Operacional (Matriz de Impacto X Frequência);
b) Relatório de Providências por Área/Responsável do aplicativo Ações de

Regularização das Perdas, do Módulo IV do Sistema de Controles Internos e
Riscos Operacionais (Scir), utilizado no monitoramento dos planos de ação
registrados, referentes às perdas e riscos operacionais não controláveis ou
controláveis sem eficácia pela Lista de Verificação de Conformidade (LVC);
c) Relatório de Ações de Regularização de Perdas, do Módulo IV do Sistema de

Controles Internos e Riscos Operacionais (Scir), o qual possui a função de
informar por meio de relatórios (individual ou consolidado) a área/responsável
pela regularização dos planos de ação cadastrados, bem como complementar
o aplicativo Ações de Regularização, que disponibiliza relatórios de
acompanhamento bimestrais, semestrais e anuais dos planos de ações e das
perdas e riscos operacionais registrados;
d) Relatório Consolidado de Riscos e Perdas Operacionais do aplicativo Relatório

Consolidado de Perdas e Riscos Operacionais do Módulo IV do Scir;
e) Relatório de Plano de Contingência, do Módulo IV do Sistema de Controles

Internos e Riscos Operacionais (Scir), o qual será encaminhado apenas
quando houver alteração no relatório emitido anteriormente;


f) Relatório de Fornecedores Críticos, do Módulo IV do Sistema de Controles

Internos e Riscos Operacionais (Scir), o qual será encaminhado apenas
quando houver alteração no relatório emitido no bimestre anterior, ou quando
ocorrer novas inserções.
5. Após análise da documentação entregue pelo Agente de Controles Internos e

Riscos (ACIR), a Diretoria Executiva analisará as proposições e os prazos para
tratar o risco operacional apresentado no Relatório de Providências por
Área/Responsável.
6. Caso a Diretoria Executiva considere as proposições apropriadas, encaminhará os

relatórios aos gestores das áreas responsáveis para que os procedimentos
constantes dos relatórios sejam tempestivamente implementados.
7. Caso a Diretoria Executiva considere as recomendações propostas pelos gestores

inapropriadas, as adequações julgadas necessárias deverão ser solicitadas.
8. O posicionamento da Diretoria Executiva deve ser lavrado em ata e encaminhado

para apreciação do Conselho de Administração.
9. Na reunião em que houver análises, bem como conclusões da Diretoria Executiva

e do Conselho de Administração, o Agente de Controles Internos e Riscos (ACIR)
apresentará as situações relatadas e o seu posicionamento sobre as ações
encaminhadas.
10. Na necessidade de informações adicionais sobre a operacionalidade do processo

em que o risco for identificado, a Diretoria Executiva e o Conselho de
Administração podem convidar o gestor do processo e os empregados que
realizam as atividades para participar da discussão.
11. O Agente de Controles Internos e Riscos (ACIR) é responsável por acompanhar a

implementação das ações, assim como manter a Diretoria Executiva e o Conselho
de Administração informados por meio de relatórios.
12. Na ausência de manifestação formal da Diretoria Executiva a respeito das ações

adotadas para tratar o risco operacional, no prazo máximo de 10 (dez) dias
contados da data de entrega dos relatórios de deficiências, o Agente de Controles
Internos e Riscos (ACIR) encaminhará os relatórios ao Conselho de
Administração, mediante informação prévia à Diretoria Executiva.
13. As orientações e recomendações apresentadas pelo Conselho de Administração

deverão constar da ata da reunião em que o assunto foi pautado.


14. A identificação, pelo Monitor de Controles Internos e Riscos (MCIR), do

descumprimento de lei e (ou) normas, internas e (ou) sistêmicas, aplicável ao
gerenciamento de risco operacional, do não-cumprimento dos prazos de
implementação das ações mitigadoras, bem como de questionamento quanto à
qualidade do trabalho executado, será objeto de comunicação à Diretoria
Executiva, para que determine as providências cabíveis.
15. Caso ocorram as situações mencionadas no item anterior e, ainda, manifestação

do monitor a respeito da inadequação do trabalho executado, a Diretoria
Executiva deve se posicionar e submeter as constatações à apreciação do


Seção 5 – Documentação e Armazenamento de Informações
1. A documentação e os registros que dão suporte ao gerenciamento dos riscos

operacionais evidenciando a efetividade, tempestividade e conformidade das
ações, bem como das informações referentes às perdas associadas ao risco
operacional, devem ser arquivados pelas cooperativas e estar à disposição para
consultas e análise da estrutura de controle (agente, monitor, auditorias, Central,
Sicoob Confederação e Banco Central).
2. As informações relativas à implementação dos planos de ação devem ser

arquivadas pelas cooperativas, para comprovação das ações implementadas.
3. As perdas operacionais, mesmo aquelas que apresentarem dificuldade de

mensuração, devem ser registradas no Sistema de Controles Internos e Riscos
Operacionais (Scir).
4. Com a comunicação da perda de difícil mensuração é possível analisar as

ocorrências para desenvolvimento de metodologia adequada.
5. O Sicoob Confederação manterá ferramenta que propicie o armazenamento das

informações relativas ao risco operacional, possibilitando a formação de base
histórica para adoção futura de metodologia probabilística de análise dos dados e
geração de Valor em Risco (VaR).


Seção 6 – Registro das Perdas Operacionais
1. A regulamentação do Banco Central do Brasil em vigor estabelece a

obrigatoriedade de documentar e armazenar as informações referentes às perdas
associadas ao risco operacional.
2. Entende-se por perda operacional a despesa, a perda de oportunidade de negócio

ou de baixa de ativo, motivada por um dos fatores listados a seguir:
a) falha, deficiência ou inadequação de processos internos, de pessoas e (ou)

de sistemas;
b) eventos externos;
c) deficiência ou inadequação em contratos firmados pelas cooperativas;
d) sanções em razão de descumprimento de dispositivos legais e

regulamentares;
e) indenizações pagas a terceiros decorrentes de serviços oferecidos pelas

cooperativas.
3. Devem ser registrados:
a) desembolsos para a cooperativa decorrente de multa, indenização, sanção,

ressarcimento a associados, etc;
b) eventos que gere baixa total ou parcial de ativos da cooperativa (computadores,

periféricos, móveis, automóveis etc.), exceto se por depreciação legal ou venda;
c) perdas de oportunidade negocial, tal como deixar de realizar negócios por falhas
ou interrupção de sistemas, ausência de pessoas, perda de prazos estipulados
para registro de transações (“janelas”) ou de momentos de prática de melhores
taxas, etc.
4. Com o registro das perdas operacionais é possível avaliar a qualidade do processo

e, especialmente:
a) verificar se o risco foi identificado e se foram aplicados os controles necessários.

Caso não tenha sido identificado, avaliado e tratado, a cooperativa deve
providenciar para que isso aconteça;
b) identificar as causas da ocorrência da perda, o que possibilita direcionamento de

ações específicas aos pontos certos;


c) estabelecer cronograma de plano de ação para implementação de ações

mitigadoras (que minimizam novas ocorrências), observando sempre a relação
benefício/custo (os recursos despendidos na ação mitigadora não devem ser
superiores ao montante da perda potencial);
d) monitorar a efetividade se os controles têm, ou seja, avaliar se funcionam

adequadamente, mantendo as perdas nos patamares determinados pela
Diretoria e pelo Conselho de Administração.
5. As causas das perdas operacionais são relacionadas a eventos de riscos, que são
classificados em eventos e subeventos, conforme apresentado no título 4, deste
manual.
6. Visando atender aos objetivos estratégicos e ao adequado gerenciamento de

riscos, os gestores da cooperativa devem comunicar ao Agente de Controles
Internos e Riscos (ACIR) toda perda e recuperação de perda operacional
identificada nas áreas pelas quais sejam responsáveis.
7. O valor comunicado deve ser o total por perda original identificada, devendo as
recuperações realizadas serem comunicadas também, não podendo ser
deduzidas do valor da perda original.
8. Não podem ser informados valores resultantes da soma de mais de um evento de

perda, mesmo que eles pertençam à mesma subcategoria e ocorram na mesma
data.
9. A recuperação da perda ocorre quando a cooperativa consegue reaver parte ou a

totalidade do valor identificado.
10. As perdas operacionais identificadas pelas cooperativas devem ser registradas no

aplicativo Registro de Perdas e Riscos Operacionais, do Módulo IV do Sistema de
11. As perdas mensuráveis devem ser contabilizadas e a conta de registro do

lançamento deve ser informada no ato do registro da perda no Módulo IV do
SCIR, possibilitando a conciliação por órgãos de controle (Banco Central do
Brasil, Agente de Controles Internos e Riscos e Auditoria).
12. As perdas registradas poderão ser controláveis, não controláveis ou controláveis

sem eficácia, conforme segue:


a) controláveis pela LVC: o cruzamento evento e fator de risco operacional

registrado é controlado por uma ou mais questões da LVC. Nesse caso, a
cooperativa não seguiu o controle proposto para o risco, acarretando a perda.
O cruzamento buscará automaticamente todas as questões da LVC que
possuem alguma relação com o evento e o fator selecionado;
b) não controlável pela LVC: o cruzamento do evento e fator de risco operacional

registrado não é controlado por nenhuma questão da LVC. Dessa forma, o
cruzamento não buscará questões da LVC. Nesse caso, não existem pontos
de controle na LVC para o risco operacional identificado e, consequentemente,
para a perda ocorrida;
c) controlável pela LVC sem eficácia: o cruzamento do evento e fator de risco

operacional registrado apresenta controle em uma ou mais questões da LVC.
Embora os pontos de controle sejam efetivos (todas as questões respondidas
como ‘sim’), a perda, ainda assim, ocorreu.
13. As perdas controláveis pela Lista de Verificação de Conformidade (LVC), ou seja,

aquelas que são adequadamente controladas por meio dos controles
implementados e por ações registradas no Módulo II do Sistema de Controles
Internos e Riscos Operacionais (Scir), não necessitarão de outras ações.
14. As perdas registradas como não controláveis ou controláveis sem eficácia na Lista
de Verificação de Conformidade (LVC) serão tratadas por meio de planos de ação
a serem registrados pela cooperativa no aplicativo do Módulo IV do Sistema de
15. Após o registro das perdas no aplicativo Registro de Perdas e Riscos

Operacionais do Módulo IV do Sistema de Controles Internos e Riscos
Operacionais (Scir), o Agente de Controles Internos e Riscos (ACIR) encaminhará
os relatórios impressos das perdas à Diretoria Executiva, para que tome
conhecimento das providências adotadas e das ações corretivas a serem
implementadas.
16. A Diretoria Executiva deverá certificar de que foram adotados os procedimentos

para contabilização das perdas.
17. A Diretoria Executiva, assessorada pelo Agente de Controles Internos e Riscos

(ACIR), deve apresentar ao Conselho de Administração, no mínimo
bimestralmente, informações sobre as perdas decorrentes do risco operacional e
ações mitigadoras adotadas, registrando as discussões na ata da reunião em que
o assunto foi pautado.


18. A Diretoria Executiva e o Conselho de Administração devem, por ocasião das

análises das informações, manifestar-se expressamente acerca da necessidade
de implementação de novos controles para correção tempestiva das causas que
originaram as perdas. Para tanto, as informações necessárias deverão ser
solicitadas aos gestores da cooperativa.
19. Não é possível impedir por completo a ocorrência de perdas operacionais. Nesse
caso, é necessário que o Conselho de Administração e a Diretoria Executiva da
cooperativa fixem parâmetros admissíveis para a ocorrência dessas perdas,
quando da execução do processo de identificação avaliação e tratamento dos
riscos operacionais.
20. O Sicoob Confederação manterá ferramenta que possibilite o armazenamento das

informações relativas às perdas e recuperações registradas, possibilitando a
formação de base histórica para adoção futura de metodologia probabilística de
análise de dados e geração de Valor em Risco (VaR).


Seção 7 – Acompanhamento
1. A identificação da necessidade de adoção de mecanismos de tratamento pode

decorrer das análises da Área de Controles Internos e Riscos do Sicoob
Confederação, do Comitê de Controle Interno e Risco Operacional ou
individualmente pela administração das cooperativas do Sicoob.
2. As cooperativas centrais também poderão identificar a necessidade de

implantação de mecanismos de tratamento complementares em relação às
respectivas cooperativas singulares, assim como o Sicoob Confederação poderá
fazer o mesmo em relação as cooperativas centrais e singulares.
3. As informações a serem avaliadas pelo Comitê de Controles Internos e Risco

Operacional devem ser acompanhadas de análise e, quando necessário, de
proposição de ações preventivas e corretivas, pela Área de Controles Internos e
Riscos do Sicoob Confederação.
4. As cooperativas centrais e singulares devem promover análises periódicas

independentes e, quando necessário, implementar ações corretivas e preventivas.
5. As cooperativas centrais e singulares podem, em caráter complementar, instituir

regras e procedimentos adicionais aos apresentados neste manual, desde que o
façam por meio de instrumentos normativos apropriados, conforme apresentado
no Manual Instruções Gerais (MIG) – Normatização e estejam harmonizadas com
as diretrizes e instruções de aplicação sistêmica.


Seção 8 – Identificação de Fornecedores Críticos
1. Fornecedor crítico é aquele que provê às cooperativas de crédito os produtos e

(ou) serviços essenciais para a continuidade do negócio.
2. Caso os serviços contratados deixem de ser plenamente fornecidos, haverá o

aumento do risco, inclusive de continuidade da cooperativa.
3. São exemplos de fornecedores críticos, os prestadores de serviços de:
a) tecnologia (Sicoob Confederação, pela manutenção do Sisbr);
b) compensação de papéis e documentos (Bancoob, pela manutenção do

Convênio da Compe);
c) rede de comunicação;
d) transporte de numerário;
e) energia;
f) outros que se enquadrarem na condição de fornecedores críticos.
4. Para identificação dos fornecedores críticos, o Agente de Controles Internos e

Riscos (ACIR) deve:
a) solicitar à área responsável da cooperativa, cópia de todos os contratos de

prestação de serviços e fornecimento de materiais;
b) evidenciar, em documentação apropriada, os fornecedores críticos da

cooperativa;
c) avaliar o nível de criticidade dos fornecedores;
d) informar o resultado das análises à Diretoria Executiva.
5. Os procedimentos mencionados no item anterior devem ser adotados, no mínimo,

anualmente, ou na contratação de novos fornecedores.
6. Os fornecedores críticos identificados pelas cooperativas devem ser registrados

no aplicativo Fornecedores Críticos, do Módulo IV do Sistema de Controles
Internos e Riscos Operacionais (Scir), conforme apresentado no Manual de
Produtos e Serviços (MPS) daquela ferramenta.
7. O resultado da avaliação da criticidade dos fornecedores será comunicado à

Diretoria Executiva para que possam ser adotadas as providências cabíveis.

8. De posse do documento contendo a identificação da criticidade, a Diretoria

Executiva solicitará aos fornecedores:
a) parecer de auditoria independente sobre as demonstrações financeiras,

quando legalmente exigido de fornecedores críticos;
b) relatório de auditoria independente sobre a adequação do Controle Interno,

quando legalmente exigido de fornecedores críticos;
c) planos de contingência relacionados às atividades que possam afetar o

funcionamento da cooperativa;
d) política de gerenciamento do risco operacional, aprovada pelo órgão de

administração competente, caso seja instituição financeira;
e) outros documentos julgados necessários.
9. A documentação apresentada pelo fornecedor crítico será analisada

criteriosamente pela Assessoria Jurídica da cooperativa, e serão considerados no
mínimo os aspectos seguintes, cujo resultado será levado ao conhecimento do
Conselho de Administração e à Diretoria Executiva:
a) adequação do Controle Interno do fornecedor, de forma a minimizar o risco

operacional da cooperativa;
b) suficiência dos planos de contingência e(ou) da Política Institucional do Risco

Operacional (no caso de instituição financeira), apresentados pelo fornecedor
crítico para garantir a operacionalidade da cooperativa;
c) necessidade de inserção de novas cláusulas no contrato de prestação de

serviços celebrado entre as partes, prevendo a mitigação do risco operacional
oferecido pelo fornecedor crítico, quando possível.
10. A Diretoria Executiva determinará aos gestores da cooperativa, no que couber a

cada um, que participem, em conjunto com o Agente de Controles Internos e
Riscos (ACIR), da análise da documentação apresentada pelo fornecedor crítico.
11. Identificada a criticidade do serviço prestado ou do fornecimento de material, será

necessário que a Diretoria Executiva da cooperativa negocie com o fornecedor
crítico a inserção de Acordo de Nível de Serviço (ANS) no contrato. Caso haja
criticidade, as cláusulas do contrato devem prever, no mínimo:
a) definição clara da responsabilidade do fornecedor;


b) indenizações por prejuízos causados à cooperativa, em virtude de falhas na

prestação do serviço ou na entrega de material;
c) disponibilização de meios alternativos para que não haja interrupção ou

dificuldades para execução das atividades operacionais da cooperativa;
d) outros julgados necessários em função da criticidade identificada.
12. A formalização de instrumento jurídico adequado entre as partes é essencial para

minimizar o risco operacional da cooperativa.
13. Os contratos que não contemplarem as cláusulas previstas no item 11 anterior

deverão ter os planos de contingência apresentados pelos fornecedores críticos,
os quais deverão ser analisados criteriosamente pelo Agente de Controles
Internos e Riscos (ACIR) e, caso necessário, por técnicos qualificados das demais
áreas da cooperativa.
14. Caso os planos de contingência não sejam suficientes para minimizar o risco
operacional da cooperativa, o Agente de Controles Internos e Riscos (ACIR), em
conjunto com os técnicos designados, quando for o caso, deve elaborar plano de
contingência complementar para que o risco oferecido possa ser mitigado.
15. Os planos de contingência complementares serão submetidos à apreciação do

16. É responsabilidade da Diretoria Executiva, sob a coordenação do Agente de

Controles Internos e Riscos (ACIR), monitorar, continuamente, os riscos
operacionais associados aos fornecedores críticos e reavaliar, no mínimo
anualmente, os riscos correspondentes.
17. Os procedimentos descritos nesta seção deverão ser adotados sempre que forem
contratados novos fornecedores críticos.


Seção 9 – Publicação da Estrutura de Gerenciamento de Risco Operacional
1. Em conjunto com as demonstrações contábeis, deve ser publicado o resumo da

descrição da estrutura de gerenciamento de risco operacional, conforme
apresentado no título 4, deste manual.
2. A publicação deve apresentar a localização do relatório de acesso público, no qual

deve constar a descrição completa da estrutura de gerenciamento do risco
operacional.
3. Em razão da centralização da gestão de risco operacional no Sicoob

Confederação, concordou-se em publicar a descrição completa da estrutura de
gerenciamento de risco, no mínimo anualmente, no sítio www.sicoob.com.br.
4. A cooperativa poderá permitir acesso público à descrição completa da estrutura

de gerenciamento de risco operacional, além do local informado no item 3 anterior
por meio de:
a) intranet da cooperativa, caso haja;
b) intranet da Central à qual a Singular estiver associada, caso haja;
c) jornal de circulação interna, caso haja;
d) outros meios de comunicação que atinjam o público alvo.
5. A estrutura, o gerenciamento e a forma de execução da política de gerenciamento

do risco operacional da cooperativa estão descritos na Política Institucional de
Risco Operacional e neste Manual.

Título 3 – Glossário
1. Aceitação do risco: decisão de assumir total ou parcialmente o risco operacional.
2. Apetite de risco ou disposição para assumir risco: nível aceitável do risco

operacional definido pela Diretoria Executiva de cada cooperativa do Sicoob,
desde que alinhado às diretrizes sistêmicas e pelo Conselho de Administração do
Sicoob Confederação.
3. Avaliação do risco: análise qualitativa e/ou quantitativa do risco operacional

identificado, levando-se em consideração a probabilidade, impacto/perda potencial
e os controles implementados.
4. Cultura de gerenciamento de riscos operacionais: conjunto de valores, atitudes,

competências, bem como comportamentos individuais e corporativos que geram
compromisso das pessoas envolvidas a aplicar as práticas adequadas de
gerenciamento de riscos operacionais.
5. Empresa coligada: sociedade na qual a investidora participa com 10% ou mais do

capital social da outra, sem controlá-la.
6. Empresa controlada: sociedade na qual a controladora, diretamente ou por meio

de outras controladas, é titular de direitos de sócio que lhe asseguram
preponderância nas deliberações sociais e o poder de eleger a maioria dos
administradores.
7. Estrutura de gerenciamento de riscos operacionais: compreende todo o

arcabouço necessário para a gestão de riscos operacionais: organograma,
recursos, linhas de reporte, responsabilidades, políticas, procedimentos,
ferramentas e metodologias de mensuração e gestão, sejam de abordagem
qualitativa ou quantitativa.
8. Eventos: incidentes ou ocorrências originadas a partir de fontes internas e/ou

externas que afetam a implementação da estratégia ou a realização dos objetivos.
Os eventos serão alvo de procedimentos de identificação, com a consequente
avaliação e adoção de procedimentos de tratamento.
9. Fatores de risco: podem sofrer influência ou afetação direta dos eventos, assim
como possibilitar a ocorrência dos riscos operacionais. Os fatores de risco serão
alvo de procedimentos de identificação, com a consequente avaliação e adoção
de procedimentos de tratamento, se for o caso.
10. Gerenciamento de riscos operacionais: processo que compreende as etapas de

identificação, avaliação e tratamento (monitoramento, controle e mitigação) dos
potenciais riscos operacionais.

Título 3 – GlossárioIdentificação do risco: processo pelo qual é apontado o

evento potencial interno e ou externo que pode afetar a implementação da
estratégia e o alcance dos objetivos.
12. LER/DORT: são as siglas para Lesões por Esforços Repetitivos e Distúrbios
Osteo-musculares relacionados ao trabalho, sendo doenças caracterizadas pelo
desgaste de estruturas do sistema músculo-esquelético que atingem várias
categorias profissionais.
13. Materialização do risco: ocorrência da perda operacional decorrente de incidente

envolvendo os eventos de risco operacional.
14. Matriz de Avaliação de Riscos Operacionais: representação gráfica da relação

entre probabilidade e impacto.
15. Mitigação do risco: aplicação de um sistema efetivo de controle (ações,

procedimentos, ferramentas sistêmicas e todos os tipos de recursos necessários)
para redução do risco operacional a um patamar aceito pelas diretrizes
estratégicas.
16. Monitoramento: implementação de procedimentos que assegurem o

acompanhamento, dentro de uma periodicidade adequada, consideradas as
características específicas de cada risco, para adoção de tempestiva ação em
caso de variação significativa de severidade do risco.
17. Perda operacional: despesa, perda de oportunidade de negócio ou baixa de ativo,

provenientes da materialização do risco.
18. Questionário de diagnóstico de riscos operacionais: documento preparado para,

no processo de identificação e avaliação, diagnosticar e relatar os riscos
operacionais potenciais, causas, controles e planos de ação.
19. Hacker/cracker: indivíduo hábil que burla mecanismos de segurança de sistemas

de computação e consegue acesso não autorizado aos recursos desses
mecanismos. Violador de sistemas de computação.
20. Recusa do risco: redução parcial ou total das atividades negociais, objetivando
diminuir a exposição da instituição ao risco operacional.
21. Risco inerente ou risco bruto: risco operacional implícito existente no momento da
identificação, antes de qualquer ação para alterar a probabilidade e o impacto.

Título 3 – Glossário
22. Risco operacional: possibilidade de ocorrência de perdas resultantes de falha,

deficiência ou inadequação de processos internos, pessoas e sistemas, ou de
eventos externos. A essa definição inclui-se o risco legal associado à inadequação
ou deficiência em contratos firmados pela cooperativa, bem como sanções em
razão de descumprimento de dispositivos legais e a indenizações por danos a
terceiros decorrentes das atividades desenvolvidas pela instituição.
23. Risco residual: classificação do risco operacional, após a efetiva implementação

dos controles definidos, identificação e avaliação do risco.
24. Severidade: avaliação final do risco operacional, englobando a avaliação de

probabilidade e impacto, ou seja, classificação final do risco.
25. Sistema de controle: conjunto de diretrizes e procedimentos de controle

efetivamente implementados, que objetiva minimizar a probabilidade e/ou impacto
de ocorrência de um determinado evento de risco, ou mantê-lo em determinadas
condições.
26. Transferência do risco: em algumas situações, determinado risco operacional não

pode ser evitado. Em função do impacto é preferível não assumí-lo, como ocorre
em desastres naturais, ataques terroristas, etc. Nesses casos, pode haver a
definição de estratégias para transferência de parte do impacto, como a
contratação de seguros específicos para riscos operacionais.
27. Tratamento do risco: adoção de medidas que possibilitem o monitoramento, o

controle, e/ou a mitigação do risco operacional.

Título 4 – Modelos e Formulários

Capítulo 1 – Estrutura de Gerenciamento de Risco Operacional
Seção 1 – Relatório Completo para Publicação
Relatório completo da estrutura de gerenciamento de risco operacional do

Sistema de Cooperativas de Crédito do Brasil (Sicoob)
Ano ______ (informar)
Módulo I – Apresentação
1. Com a finalidade de promover a harmonização, a integração e a racionalização de

processos, e baseando-se no princípio de organização sistêmica, a estrutura
centralizada de gerenciamento do risco operacional do Sicoob está sendo
implantada no Sicoob, por intermédio do Sicoob Confederação.
2. A alocação racionalizada de recursos, a definição de responsabilidades e

processos integrados e a aplicação das melhores práticas de gerenciamento de
riscos conferirão, com efeitos de curto prazo, mais transparência, eficácia e
tempestividade às atividades das entidades do Sicoob.
3. No Sicoob, as estruturas centralizadas de gerenciamento de riscos são

compatíveis com a natureza das operações e, à complexidade dos produtos e
serviços oferecidos, e são proporcionais à dimensão da exposição aos riscos das
entidades do Sistema.
4. A implantação das estruturas centralizadas não desonera as entidades do Sicoob

de suas responsabilidades pela gestão de riscos, na forma da regulamentação
aplicável.
5. O Conselho de Administração ou, na sua inexistência, a Diretoria da

_______(informar denominação completa da cooperativa) é responsável pelas
informações divulgadas neste relatório.
Módulo II – Gerenciamento do risco operacional
1. Política Institucional de Risco Operacional do Sicoob
1.1 A Política Institucional de Risco Operacional, aprovada no âmbito do Conselho de

Administração (ou, na ausência deste, da Diretoria) das entidades do Sicoob, visa
a estabelecer diretrizes e responsabilidades aplicáveis ao gerenciamento do risco
operacional.
1.2 As entidades do Sicoob, representadas no Comitê de Controle Interno e Risco

Operacional, acompanham sistematicamente a aplicação da Política Institucional.
2. Estrutura de gerenciamento do risco operacional
2.1 O gerenciamento de risco operacional do Sicoob é realizado de forma centralizada

pela Confederação Nacional das Cooperativas do Sicoob Ltda. (Sicoob
Confederação), com amparo no art. 12 da Lei Complementar 130/2009 e no art.
11 da Resolução CMN 3.721/2009.
2.2 A estrutura centralizada de gerenciamento do risco operacional do Sicoob prevê:
a) validar os sistemas, modelos e procedimentos internos adequadamente;
b) realizar procedimentos para identificação, avaliação, monitoramento, controle e

mitigação do risco operacional;
c) documentar e armazenar e informações referentes às perdas associadas ao

risco operacional;
d) prover informações gerenciais periódicas para as entidades do Sistema;
e) realizar testes de avaliação dos sistemas de controle de riscos operacionais

implementados;
f) elaborar relatórios que permitam a identificação e correção tempestiva das

deficiências de controle e de gerenciamento do risco operacional;
g) elaborar plano de contingência contendo as estratégias a serem adotadas

para assegurar condições de continuidade das atividades e para limitar graves
perdas decorrentes do risco operacional.
2.3 Os sistemas, modelos e procedimentos aplicáveis ao gerenciamento do risco

operacional são avaliados, anualmente, pela Auditoria Interna.
2.4 Os resultados apresentados nos Relatórios de Auditoria Interna e Externa são

utilizados para corrigir, adaptar, promover melhorias ou reformulações no
gerenciamento do risco operacional.
3. Metodologia
3.1 O gerenciamento do risco operacional das cooperativas do Sicoob é realizado por

meio do preenchimento do instrumento denominado Lista de Verificação de
Conformidade (LVC), elaborado com base na metodologia Control Self
Assessment (CSA).
3.2 O uso da Lista de Verificação de Conformidade (LVC) objetiva identificar situações

de risco de não conformidade, que serão cadastradas no Sistema de Controles
Internos e Riscos Operacionais (Scir).

3.3 As informações cadastradas no Sistema de Controles Internos e Riscos

Operacionais (Scir) são mantidas em banco de dados fornecido pelo Sicoob
Confederação.
3.4 A documentação referente às perdas associadas ao risco operacional é mantida

em cada entidade do Sicoob, sob a supervisão da cooperativa central (no caso de
cooperativa singular) e do Sicoob Confederação (no caso de cooperativa central e
do Bancoob).
3.5 O sistema operacional utilizado pelas entidades do Sicoob é o Sistema de

Informática do Sicoob (Sisbr), o qual é dotado de estratégia de contingência
definida pelo Sicoob Confederação.


Capítulo 1 – Estrutura de Gerenciamento de Risco Operacional
Seção 2 – Relatório Resumido para Publicação
Resumo da descrição da estrutura de gerenciamento de risco operacional do

Sistema de Cooperativas de Crédito do Brasil – Sicoob
Ano ____
1. O gerenciamento do risco operacional do Sicoob _______________ (informar

denominação completa da cooperativa) objetiva garantir a aderência às normas
vigentes e minimizar o risco operacional, por meio da adoção de boas práticas de
gestão de riscos, na forma instruída na Resolução CMN 3.380/2006.
2. Conforme preceitua o artigo 11 da Resolução CMN 3.721/2009, o Sicoob

________________ (informar denominação completa da cooperativa) aderiu à
estrutura única de gestão do risco operacional do Sicoob, centralizada na
Confederação Nacional das Cooperativas do Sicoob Ltda. (Sicoob Confederação),
a qual encontra-se evidenciada em relatório disponível no sítio
www.sicoob.com.br.
3. O processo de gerenciamento do risco operacional está estruturado com base no

preenchimento de Listas de Verificação de Conformidade (LVC), baseadas na
metodologia Controll Self Assessment (CSA), processo por meio do qual, sob a
responsabilidade da Diretoria Executiva e a coordenação do Agente de Controles
Internos e Riscos (ACIR), são identificadas situações de risco que são avaliadas
quanto ao impacto e à probabilidade de ocorrência, de forma padronizada.
4. Para as situações de risco identificadas são estabelecidos planos de ação, com a

aprovação da Diretoria Executiva, que são registrados em sistema próprio para
acompanhamento pelo Agente de Controles Internos e Riscos (ACIR).
5. Da mesma forma, as perdas operacionais têm as causas e as ações de mitigação

identificadas, sendo que as informações devem ser devidamente registradas em
sistema informatizado, para acompanhamento pelo Agente de Controles Internos
e Riscos (ACIR).
6. Não obstante a centralização do gerenciamento do risco operacional, o Sicoob

______________ (informar denominação completa da cooperativa) possui
estrutura compatível com a natureza das operações, a complexidade dos produtos
e serviços oferecidos e é proporcional à dimensão da exposição ao risco
operacional.
7. O Conselho de Administração da _______(informar denominação completa da

cooperativa) é responsável pelas informações divulgadas neste relatório.

Capítulo 2 – Questionário de Auto Avaliação de Riscos e Controles (CRSA)
QUESTIONÁRIO DE AUTO AVALIAÇÃO DE RISCOS E CONTROLES (CRSA)
IDENTIFICAÇÃO
Nome do Processo:
Subprocesso ou atividade:
Nome do responsável pelo processo:
1
Cada processo poderá ter vários riscos vinculados a ele.
INFORMAÇÕES INICIAIS
Risco Operacional: Possibilidade de ocorrência de perdas resultantes de: 1. Falha, deficiência ou inadequação de pessoas, de processos internos, de
sistemas informatizados, de contratos firmados pela Instituição e de eventos externos que afetem processos, sistemas e o quadro de pessoal necessário à
continuidade efetiva e íntegra dos negócios; 2. Sanções em razão de descumprimento de dispositivos legais e regulamentares; e 3. Indenizações por danos
a terceiros decorrentes de atividades desenvolvidas pela Instituição.
Perdas Operacionais: Despesa, perda de uma oportunidade de negócio ou de baixa de ativo, acontecimentos esses sempre motivados por um dos fatores
listados no item anterior e por um dos eventos listados a seguir.
Os riscos existentes deverão ser cadastrados no Módulo IV do Scir no item Registro das Perdas e Eventos mesmo que não tenham se materializado, a
fim de gerar base de conhecimento. Assim, as fragilidades identificadas irão contribuir para o aprimoramento da gestão de todas as unidades do Sistema.

Destaca-se que o registro de perdas deve ocorrer também para cumprir o inciso II do art. 3º da Resolução CMN 3.380/2006.
1. FRAUDE INTERNA – Perdas ocasionadas por atos com intenção de fraudar, apropriar-se indevidamente ou burlar regulamentos, a lei ou a
política da empresa, excluindo acontecimentos discriminatórios, que envolvam pelo menos uma parte interna.
1.1 ATIVIDADES NÃO AUTORIZADAS, ROUBO E ATIVIDADES FRAUDULENTAS INTERNAS.

Há documentos físicos passíveis de fraude, roubo, latrocínio ou furto que possa gerar perdas para a Instituição?
Sim Não
Há informações de valor passíveis de fraude, roubo, latrocínio ou furto que possa gerar perdas para a Instituição?
Sim Não
Há arquivos eletrônicos (Excel, Access, Word, *.txt) passíveis de fraude que possa gerar perdas para a Instituição?
Sim Não
Há bens físicos de valor passíveis de roubo, latrocínio ou furto que possa gerar perdas para a Instituição?
Sim Não
Há informações e/ou parâmetros em sistemas passíveis de fraude que possa gerar perdas para a Instituição?
Sim Não
Há a possibilidade de efetuar uma transação, com perda monetária, sem autorização? (ex.: empréstimo)
Sim Não
Há a possibilidade de fraude de um crédito? (ex.: depósito sem valor)
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:

2. FRAUDE EXTERNA – Perdas ocasionadas por atos com intenção de fraudar, apropriar-se indevidamente ou burlar a lei, praticados por um
terceiro indivíduo.
2.1 ROUBOS E ATIVIDADES FRAUDULENTAS EXTERNAS

Há documentos físicos de valor passíveis de roubo, furto ou fraude que possa gerar perdas para a Instituição?
Sim Não
Há informações de valor passíveis de roubo, furto ou fraude que possa gerar perdas para a Instituição?
Sim Não
Há bens físicos de valor passíveis de roubo que possa gerar perdas para a Instituição?
Sim Não
Há possibilidade de adulteração de cheques ou boletos bancários?
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
2.2 FRAUDE ELETRÔNICA E SEGURANÇA DE SISTEMAS

Há arquivos eletrônicos (Excel, Access, Word, *.txt) passíveis de fraude que possa gerar perdas para a Instituição?
Sim Não
Há informações e/ou parâmetros em sistemas passíveis de fraude que possa gerar perdas para a Instituição?
Sim Não
Há possibilidade de ataques hacker/cracker ou vírus?
Sim Não
Há possibilidade de clonagem de cartões?
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
3. DEMANDAS TRABALHISTAS E SEGURANÇA DEFICIENTE NO LOCAL DE TRABALHO – (Perdas decorrentes de atos inconsistentes com
contratos ou leis trabalhistas, de saúde ou segurança, do pagamento de reclamações por lesões corporais ou de eventos discriminatórios.
Neste evento aplicam-se as perdas relacionadas exclusivamente a funcionários.
3.1 RELAÇÕES TRABALHISTAS, DISCRIMINAÇÃO E ASSÉDIOS

Há a realização frequente de mais de duas horas extras diárias?
Sim Não
Há a possibilidade de registro de horas extras não autorizadas e consequentemente não pagas?
Sim Não
Existe sistema de ponto eletrônico?
Sim Não
Há a possibilidade de realização de atividades ou de permanência de funcionários nas instalações da Instituição sem o consequente registro no sistema de
ponto eletrônico?
Sim Não Não se aplica
Há atividade realizada no período noturno (22h às 5h)?
Sim Não
O tratamento com os funcionários ou entre os funcionários observa os padrões morais estabelecidos no código de ética?
Sim Não
Há possibilidade de desvio de função sem que haja a devida indenização?
Sim Não
A atividade pode ser considerada insalubre ou perigosa?
Sim Não
Existe o risco?
Sim Não
Observação:

1
Risco :
Controle:
Plano de Ação:
3.2 AMBIENTE DE TRABALHO SEGURO

Há a possibilidade de acidentes (lesão corporal, perturbação funcional, morte, incapacidade, etc.) com funcionários no processo?
Sim Não
Há o manuseio de produtos químicos tóxicos no processo?
Sim Não
Há a possibilidade de desenvolvimento, mesmo que a médio e longo prazo, de doenças ocupacionais?
Sim Não
Há viagens frequentes?
Sim Não
Há possibilidade de assalto durante o exercício da função?
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
4 PRÁTICAS INADEQUADAS RELATIVAS A ASSOCIADOS, PRODUTOS E SERVIÇOS – Perdas decorrentes de uma falha não-intencional ou
negligente para cumprir uma obrigação com associados ou relacionadas a um produto ou serviço. As perdas nesta área são relacionadas
geralmente à atividade do Front Office. Na maioria de casos o beneficiário é o banco com o objetivo de vender mais produtos, iniciando ou
mantendo uma operação, melhorando os termos de uma transação, evitando a competição, etc.
4.1 PERDAS NA RELAÇÃO DE NEGÓCIOS COM ASSOCIADOS

Há no processo o desenvolvimento de produtos ou serviços para clientes externos ou fornecedores?

Sim Não
Há no processo o desenvolvimento de produtos ou serviços para órgãos fiscalização ou regulação?
Sim Não
Há a possibilidade de perdas em relação ao associado? (Ex.: Quebra de sigilo ou mau uso de informações, falha na comunicação com associado)
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
4.2 NEGÓCIOS INADEQUEADOS E FALHAS EM PRODUTOS OU SERVIÇOS

Há no processo o desenvolvimento de produtos ou serviços para clientes externos ou fornecedores?
Sim Não
Há no processo o desenvolvimento de produtos ou serviços para órgãos fiscalização ou regulação?
Sim Não
Há possibilidade de oferecer serviço inadequado ou sem a devida formalização?
Sim Não
No contrato de fornecimento de produtos ou serviços estão previstas cláusulas que garantam o nível adequado do serviço?
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:

4.3 DANOS A ASSOCIADOS E TERCEIROS
Há não funcionários envolvidos no processo?
Sim Não
Há a possibilidade de acidentes (queda, lesão corporal, morte, etc.) com associados ou terceiros nas dependências da instituição?
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
5. DANOS A ATIVOS FÍSICOS PRÓPRIOS –Perdas decorrentes de danos aos ativos físicos ocasionados por desastres naturais ou
acontecimentos externos.
5.1 DANOS NATURAIS OU NÃO NATURAIS DE ORIGEM INTERNA OU EXTERNA

Há ativos físicos que podem sofrer danos por acidentes da natureza?
Sim Não
Há ativos físicos que podem sofrer danos por pessoas (funcionários ou terceiros)?
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
6. ACARRETAM INTERRUPÇÃO DAS ATIVIDADES DA INSTITUIÇÃO – Falta ou interrupção nos serviços ao público.

6.1 INTERRUPÇÃO NOS SERVIÇOS AO PÚBLICO
A quantidade de funcionários é suficiente para a realização do processo?
Sim Não
A interrupção do processo por insuficiência de infraestrutura de hardware, software, energia elétrica, água, etc., pode gerar perda?
Sim Não
O processo utiliza o fornecimento de produtos e ou serviços de terceiros?
Sim Não
No contrato de fornecimento de produtos ou serviços estão previstas cláusulas que garantam o nível adequado do serviço?
A qualidade do suporte dos serviços de terceiros é suficiente para a realização da atividade?
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
7. FALHAS EM SISTEMAS DE TECNOLOGIA DA INFORMAÇÃO – Perdas decorrentes de falhas nos sistemas de tecnologia da informação.
7.1 FALHAS DE TECNOLOGIA E INFRAESTRUTURA

Há no processo a utilização de sistemas?
Sim Não
Há a possibilidade de perda de negócio devido à indisponibilidade de um sistema?
Sim Não
Falhas de implementação podem gerar perdas para a Instituição?
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
8. FALHAS DE GERENCIAMENTO DAS ATIVIDADES DA COOPERATIVA – Perdas decorrentes de administração de processo ou processamento
de operação, de relações com contrapartes comerciais e fornecedores. Decorrentes também da não observância das normas internas
operacionais e limites definidos pelo BACEN.
8.1 PERDAS NA RELAÇÃO COM ÓRGÃOS REGULADORES E FALHA NA EXECUÇÃO DOS CONTROLES
A realização do processo deve observar leis ou normas externas (órgãos reguladores)?
Sim Não
Há a possibilidade de multas que decorram do não cumprimento de leis ou normas relacionadas aos órgãos reguladores?
Sim Não
Falhas na formalização das operações e erros na execução de tarefas relacionadas a associados geram perdas a instituição?
Sim Não
As falhas por não observância de controles e normas internas podem gerar perdas?
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
8.2 PERDAS NA RELAÇÃO COM FORNECEDORES E PARCEIROS

Há no processo relação com fornecedores ou prestadores de serviços?
Sim Não
Há possibilidade de geração de demandas judiciais por fornecedores ou prestadores de serviço?
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
8.3 PERDAS NA EXECUÇÃO DE TRANSAÇÃO

Há no processo relação de negócios com contraparte (outros bancos)?
Sim Não
A execução do processo pode gerar falhas nas informações contábeis e financeiras decorrem em perdas a Instituição?
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:
8.4 ERRO DE COMUNICAÇÃO

Há possibilidade de falhas ocasionadas pela má divulgação dos normativos e procedimentos internos na execução do processo?
Sim Não
Há possibilidade de perdas ocasionadas por falhas comunicação?
Sim Não
Existe o risco?
Sim Não
Observação:
1
Risco :
Controle:
Plano de Ação:


Capítulo 3 – Quadro Descritivo dos Eventos e Subeventos
Eventos Subeventos Definição / Exemplos / Comentários
É uma infração a normas e procedimentos, sem subtração direta.
Perdas devidas a transações não reportadas (intencionalmente), não autorizadas (com perda monetária) e
registro enganoso de posição (intencional) de atos intencionais com a participação de pelo menos um
empregado da cooperativa.
Exemplos:
Fraude interna: perdas  transações não relatadas (intencional);
ocasionadas por atos com  tipo de transação não autorizada (com perda monetária);
intenção de fraudar,
Atividades não  registro enganoso de posição (intencional);
apropriar-se indevidamente
ou burlar regulamentos, lei autorizadas  empréstimo não autorizado;
ou política da cooperativa,  diferença de caixa não comunicada.
excluindo acontecimentos
discriminatórios que
envolvam pelo menos uma Comentários:
parte interna.  o fraudador deve possuir uma posição/atividade na instituição;
 não acarreta em violação de leis (penal/criminal).
 há violação intencional de normas e controles internos;
 exclui os serviços de terceiros;
 a fraude interna origina-se na cooperativa.

Perdas devido a atos intencionais com a participação de pelo menos um empregado da cooperativa, com
o objetivo de apropriar indevidamente de valores financeiros e bens físicos, excluindo ações de
vandalismo e perdas em que empregados ou contratados intencionalmente lesam a cooperativa ou seus
Associados /clientes por meio da subtração direta de ativos ou numerários e da forja de documentos ou
assinaturas.
Exemplos:
 fraude de crédito/depósitos sem valor;
 roubo de numerários/extorsão/desfalque;
 apropriação indébita de ativos;
 destruição mal-intencionada de ativos;
 falsificação;
 fraude com uso de cheques;
 contrabando;
 assumir controle de conta;
Roubo e
 não cumprimento das normas fiscais/evasão (intencional);
atividades
 suborno/propina;
fraudulentas
 negociação com empregado com acesso a informações privilegiadas;
internas
 desvio de ativos físicos.
Comentários:
É importante observar que:
 excluem-se ações de vandalismo;
 o fraudador deve possuir uma posição/atividade na cooperativa;
 acarreta em violação de leis (penal);
 exclui-se os serviços de terceiros;
 fraude interna origina-se de dentro da cooperativa.

Perdas em que elementos externos, intencionalmente, lesam a cooperativa por meio de subtração direta
de ativos ou numerários e de falsificação ou forja de documentos ou assinaturas.
Exemplos:
 furto e roubo;
 falsificação;
 fraude com uso de cheques;
 arrombamento de agência e de ATM;
 furto de numerário de ATM;
 adulteração de cheques e de boletos diversos;
 autenticação falsa de documentos.
Fraude Externa: perdas
ocasionadas por atos com Roubos e Comentários:
intenção de fraudar, atividades É importante observar que:
apropriar-se indevidamente fraudulentas  existe a intenção de fraudar;
ou burlar a lei, praticados por externas  o fraudador busca benefício pessoal e não benefício para a cooperativa;
um terceiro indivíduo.  acarreta em violação de leis (penal);
 aplicável a todos os indivíduos, e geralmente acarreta penalidades criminais;
 inclui serviços de terceiros.

Perdas decorrentes de eventos envolvendo acesso não autorizado de informações eletrônicas por não
empregados.
Perdas em que elementos externos intencionalmente lesam a cooperativa ou seus Associados/clientes por
meio de fraudes em canais eletrônicos.
Perdas não diretas ligadas à quebra de segurança dos sistemas da cooperativa.
Exemplos:
Fraude eletrônica  infestação de vírus;
e segurança de  roubo de informações com perda monetária;
sistemas  danos causados por violação de sistema tecnológico;
 ataque de hacker/cracker;
 clonagem de cartão de crédito;
 correspondente cooperativo que não efetuou os repasses;
 vazamento de informações.
Comentários:
Este subevento está relacionado quando há benefício pessoal.
Demandas trabalhistas e Relações trabalhistas: remuneração, benefícios, questões relacionadas a término de vínculo
segurança deficiente no
empregatício.
local de trabalho: perdas
decorrentes de atos
inconsistentes com contratos Exemplos:
Relações
ou leis trabalhistas, de saúde trabalhistas e  ações trabalhistas e ações conciliatórias de rescisão contratual: FGTS, horas extras, desvio de função,
ou segurança, do discriminação e equiparação salarial.
pagamento de reclamações assédios
por lesões corporais ou de Discriminação e assédios: todas as ações e discriminação que surjam,ou regras internas da cooperativa.
eventos discriminatórios.
Neste evento aplicam-se as Exemplos:
perdas relacionadas  indenizações; assédio moral; assédio sexual; discriminação.
exclusivamente a
Acontecimentos relacionados à saúde dos empregados, normas de segurança e acidente de trabalho, e
empregados.
perdas referentes a infrações de leis e normas de segurança ou problemas de saúde.
Exemplos:
 auxílio doença devido a acidentes de trabalho;
 empregado com LER/DORT;
 acidentes gerais (escorregões ou quedas);
 assaltos à mão armada, sequestro de empregado, roubos de malote a caminho de outros bancos para
depósito, assalto no trajeto PAC-Sede ou PAC-PAC.
Ambiente de
trabalho seguro

Perdas decorrentes de indenizações pagas a associado/cliente, por decisão administarativa ou judicial, por
danos materiais, financeiros, morais etc na relação cooperativa/associados/clientes.
Práticas inadequadas Exemplos:

relativas a  quebra de privacidade e sigilo;
Associados/clientes,
 violação fiduciária, de normas, de garantias, de diretrizes;
produtos e serviços:
Perdas decorrentes de uma  violações de divulgação de associado/cliente;
falha não intencional ou  substituição de contas vencidas por contas novas;
negligente para cumprir uma  uso inadequado de informações confidenciais;
obrigação com  responsabilidade da cooperativa;
Associados/clientes ou Perdas na  erros na condução de avaliação do associado/cliente;
relacionadas a um produto relação de
 erro na comunicação;
ou serviço. As perdas nesta negócios com
área são relacionadas Associado/cliente  divulgação de informações falsas;
geralmente à atividade do  controvérsias sobre informações divulgadas.
Front Office (linha de frente).
Na maioria dos casos o
beneficiário é a cooperativa
com o objetivo de vender
mais produtos, iniciando ou
mantendo uma operação,
melhorando os termos de
uma transação, evitando a

competição, etc.
Perdas decorrentes de condução inadequada de acordos contratuais ou de leis que regem os
procedimentos financeiros ou comerciais.
Perdas pela infração de normas e leis de mercado.
Exemplos:
 negócios ou práticas de mercado inadequados;
Negócios ou  venda casada;
práticas de  negociação com empregado com acesso a informações privilegiadas;
mercado  atividades não licenciadas (operações ativas e passivas com não associados, venda de aparelho de
inadequadas celular, etc);
 lavagem de dinheiro;
 quando a cooperativa for vítima de práticas ou negócios inadequados;
 alteração de política econômica e decisões retroativas em leis/contratos que gerem perdas operacionais;
 cadastro restritivo;
 cobrança vexatória;
 risco de imagem.
Perdas decorrentes de erros em produtos ou serviços e referentes a erros de modelagem de produtos ou

não conformidade com normas ou leis.
Exemplos:
Falhas em  produtos ou serviços sem formalização ou inadequado;
produtos ou  processos falhos;
serviços  erros de modelagem.
Comentários:
Erros de softwares de sistemas de processamento internos não estão classificados nesta categoria. São
incluídos em Falhas em sistemas de tecnologia da informação.

Danos a Acidentes envolvendo Associados/clientes ou terceiros nas dependências da cooperativa.

Associados/client
es e terceiros Exemplo: queda.
Danos e desastres naturais: são perdas por desastres naturais. Quaisquer eventos que afetem
negativamente o patrimônio da cooperativa e não estejam relacionados a roubo, mas que foram causados
por elementos naturais.
Exemplos: terremotos, enchentes, inundações e vendaval;
Danos a ativos físicos Danos não naturais de origem interna: quaisquer eventos que afetam negativamente o patrimônio da
próprios: perdas cooperativa não relacionados a roubo e causados por empregado ou contratados.
decorrentes de danos aos
Danos naturais e
ativos físicos ocasionados Exemplos: Baixa total ou parcial de ativos da cooperativa (computadores, periféricos, móveis, automóveis
não naturais de
por desastres naturais ou etc), sem que seja pela depreciação legal ou venda, derramamento de água, por descuido, no
origem interna ou
acontecimentos externos. microcomputador de uso do empregado, queimando a máquina e gerando uma perda para a cooperativa.
externa
Apresenta o seguinte
subevento: Danos não naturais de origem externa: quaisquer eventos que afetem negativamente o patrimônio da
cooperativa causados por elementos externos, e que não estejam relacionados a roubo..
Exemplos: vandalismo e terrorismo.

São os danos intencionais ou naturais que interrompam as atividades da cooperativa gerando perdas.
Situações que acarretam a interrupção das atividades da cooperativa.
Eventos que ocasionem a Falta ou Exemplo:

interrupção das atividades interrupção nos  greve;
da cooperativa: Falta ou serviços ao  falta de energia;
interrupção nos serviços ao público  falhas na telecomunicação e rede;
público.  inundações e enchentes;
Nesta categoria incluem apenas eventos que não geram danos ao ativo físico.
Perdas decorrentes de problemas em hardware, software, sistema de telecomunicações e redes, e perdas

diretas, ou por negócios não realizados devido à indisponibilidade de um dado sistema.
Exemplos:
 sistemas inoperantes;
 problemas na execução de rotinas;
Falhas em sistemas de Falhas de
 hardware e software;
tecnologia da informação: tecnologia e
 telecomunicações e redes;
perdas decorrentes de falhas infraestrutura
 não emissão de relatórios do sistema;
nos sistemas de tecnologia
 acesso de pessoas não autorizadas ao sistema;
da informação.
 utilização de softwares ‘piratas’;
 conhecimento da senha do associado/cliente (por parte de terceiro, inclusive empregados).
Comentários:
Nesta categoria é importante não perguntar por que o evento aconteceu, pois há grande chance de que a
resposta conduza a uma outra categoria. Entretanto, deve-se concentrar na identificação da origem,
questionando o que motivou a ocorrência de tal fato.

Perdas na relação com órgãos reguladores e legislação: perdas decorrentes de erros em transações
de Associados/clientes, de erros na divulgação de informações obrigatórias, por multas ou infrações pelo
não cumprimento de leis ou normas relacionadas com órgãos reguladores, seja do Banco Central do
Brasil, do governo ou outros, ou ao não cumprimento dos normativos internos.
Falhas na execução,
Exemplos:
cumprimento de prazos e
 perda de prazo ou responsabilidade;
gerenciamento das
 falha na apresentação de informações obrigatórias, informações imprecisas;
atividades na cooperativa:
 lavagem de dinheiro (multa Banco Central do Brasil);
perdas decorrentes de Perdas na  fechamento de balancete (multa Banco Central do Brasil).
administração de processo relação coma.2)
ou processamento de órgãos Não conformidade nos processos com associados: perdas decorrentes de falhas na formalização das
operação, de relações com reguladores e operações e decorrentes de erros na execução de tarefas relacionadas a associados/clientes. Perdas pela
contrapartes comerciais e falha na ausência de documentação, ou no gerenciamento das contas dos associados/clientes.
fornecedores. Decorrentes execução dos
também da não observância controles. Exemplos:
das normas internas
 ausência de autorizações de Associados/clientes;
operacionais e limites
 documentos legais ausentes/incompletos;
definidos pelo Banco Central
 registros incompletos;
do Brasil.
 perda por negligência ou danos aos ativos do associado/cliente;
 não conformidade na formalização de operações de crédito e no acolhimento de proposta de crédito.
Falhas na execução dos controles de monitoramento: são perdas decorrentes de falhas por não
observância de controles e normas operacionais internas.
Exemplos: descumprimento dos manuais.

Perdas na Perdas decorrentes de falhas na relação com fornecedores e prestadores de serviços.

relação com
fornecedores e Exemplos: demandas judiciais com fornecedores ou prestadores de serviços, pagamento excessivo e
parceiros contratação indevida de serviços.
Perdas geradas na relação de negócios com contrapartes (outros bancos) e em decorrência de falhas nos
registros das informações contábeis e financeiras.
Perdas na Exemplos:
execução de  erro na entrada ou na manutenção de dados;
transação  erro contábil;
 envio e recebimento de TED em duplicidade;
 alienação de ativos com prejuízo contábil;
 cálculos incorretos (relacionados com tributos).
Perdas decorrentes de falhas ocasionadas pela má divulgação e comunicação dos normativos e

procedimentos internos.
Erro de
comunicação
Exemplos: desconhecimento do Regimento Interno, Código de Ética.


Capítulo 4 – Quadro Descritivo dos Fatores e Subfatores
Fator Subfator Definição / Exemplos / Comentários
Qualidade de vida no trabalho: saúde ou doença dos empregados.

Qualidade de vida no
Exemplos: clima (estilo de gestão, motivação, etc), condições do ambiente para a realização das atividades.
trabalho e carga de
trabalho
Carga de trabalho: compatibilização das demandas de trabalho à capacidade operacional e à jornada de
trabalho.
Competência: conhecimentos e habilidades específicos necessários para a realização das tarefas, atitudes
específicas para cada cargo, incluindo capacitação e autoridade, responsabilidade do gestor; experiências
profissionais;
Pessoas
Conduta: execução de atividades autorizadas e inerentes ao cargo.
Exemplo:
Competência e conduta
 antecedentes;
 postura ética nas atividades e relacionamentos pessoais, atenção e zelo na realização das tarefas;
 imparcialidade, cumprimento das leis e normas/regulamentares, confidencialidade e comprometimento.

Adequação à legislação: adequação com a legislação ou jurisprudência vigente no país.

Adequação à legislação,
Pontos de controle: aplicação efetiva e execução dos mecanismos de controle de processos.
pontos de controle e
Modelagem
Modelagem: desenho, redesenho e documentação de processos com seus controles e instrumentos de
mitigação.
Processos
Comunicação interna e Comunicação de forma apropriada, clara, objetiva, de fácil acesso para consulta e em volume de fácil
externa absorção.
Segurança física Segurança física de pessoas e equipamentos.
Protocolos e dispositivos de rede que permitem a comunicação e disponibilidade dos sistemas (software
Sistemas Rede de comunicação básicos, apoio e aplicativos) das cooperativas para os Associados/clientes, empregados, usuários externos,
contratados, fornecedores e parceiros.

Análise e programação: especificação, desenvolvimentos (projeto lógico e físico), manutenção,

homologação e implantação de soluções de TI.
Análise e programação e
hardware e software
Hardware e software: computadores, periféricos, sistemas operacionais (software básico), programas de
escritório (software de apoio) e programas aplicativos de provedores externos (software aplicativo).
Permissão de acesso aos sistemas de TI da cooperativa aos Associados/clientes, empregados, usuários

Segurança lógica
externos, contratados, fornecedores e parceiros.
Fornecedores e parceiros Desempenho e qualidade de fornecedores de produtos ou serviços, energia, telecomunicações, serviços
terceirizados, correspondentes bancários, etc.
Eventos
Externos
Desastres naturais e
Eventos naturais (terremotos, enchentes, etc) ou catástrofes (queda de prédio, incêndio, etc).
catástrofes

Regulatório: mudanças em políticas, legislação e regulamentação.

Ambiente regulatório,
Social: situação socioeconômica, segurança e policiamento e facilidade para atuação do crime organizado.
social e físico
Físico: danos físicos a terceiros por negligência na manutenção dos ativos inseridos no ambiente físico.
Meio ambiente Biodiversidade e desenvolvimento sustentável.
Usuários Pouca afinidade do usuário com as tecnologias de segurança da cooperativa.

Título 5 – Referências Normativas
Órgão Data de
Norma Nº Epígrafe
emissor emissão
Dispõe sobre a implementação de estrutura

Resolução 3.380 CMN 29/6/2006
de gerenciamento do risco operacional
Dispõe sobre a implantação e implementação

Resolução 2.554 CMN 29/9/1998
de sistema de controles internos.
Comitê de
Supervisão
Bancária da
Basileia Basileia,
- - Os princípios essenciais da Basileia.
Traduzido Suíça, 1997
por: Banco
Central do
Brasil
Federação
Melhores práticas na gestão do risco
Brasileira de Março de
- - operacional. Grupo de trabalho melhores
Bancos 2006
práticas.
(Febraban)
Associação
Brasileira de
ISO Normas
- 30/11/2009 Gestão de Riscos, Princípios e Diretrizes.
31000 Técnicas
(ABNT)
Committee
of
INTERNAL Sponsoring
Control – Organizatio
- ns of the - INTERNAL Control – Integrated Framework.
Integrated
Framework Treadway
Commission
(Coso)
Organizatio
ns of the
- - 5/5/2006 -
Treadway
Commission
Medindo e gerenciando riscos operacionais

Christopher
Qualitymark, 2002 - - em instituições financeiras. (Série Serasa
Marshall
Dinâmica do Conhecimento)

Título 6 – Controle de atualizações
Circular Sicoob Referência

Data
Confederação (Título-Capítulo-Seção-Subseção-Item-Subitem-Alínea)
31/8/2011 Substituição da totalidade do conteúdo publicado por meio

160
da Circular Sicoob Confederação 009, de 31/8/2007.
9/9/2011 166 Itens 2-2-3-3-2; 4-1-1-2.3; 4-1-1-3.4; 2-2-8-11.
30/12/2011 Itens 2-1-3-4; 2-2-3-3-3; 2-2-3-3-4; 2-2-4-4-f; 2-2-6-10; 3-

201
1-1-2; 3-1-1-5. Instituição do capítulo 2-3.
29/2/2012 Inclusão do capítulo 2-4 – Registro e responsabilidade da

215
perda operacional em cooperativa singular e central.
Itens 1, 2-1-2, 2-1-3, 2-1-5, 2-1-7, 2-2-1, 2-2-2, 2-2-3-1, 2-

31/10/2012 257 2-3-3, 2-2-4, 2-2-5, 2-2-6, 2-2-7, 2-2-9, 2-3 (excluído), 2-4
(excluído), 4-2, 4-3, 4-5 (excluído), 4-6 (excluído).


MIG - Risco Operacional 30.10.2012 OTIMO PDF

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

MIG - Risco Operacional 30.10.2012 OTIMO PDF

Hochgeladen von

Copyright:

Verfügbare Formate

Manual de Instruções Gerais (MIG) – Risco Operacional

1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:

1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:

1. O Manual de Instruções Gerais (MIG) – Risco Operacional tem por finalidade

2. Este manual foi elaborado e é atualizado por proposta da Área de Controles

3. No corpo deste manual, apresentamos o Conselho de Administração e a Diretoria

4. A adesão a este Manual Operacional pelas cooperativas centrais e singulares do

5. A reprodução parcial ou total desta obra somente será permitida às entidades do

1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:

1. A regulamentação em vigor determina que as instituições autorizadas a funcionar

2. A estrutura de gerenciamento do risco operacional tem caráter abrangente e

3. O Sicoob Confederação é a entidade responsável pela estrutura de

4. A estrutura de gestão centralizada do risco operacional não desonera as

1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:

1. A estrutura envolvida no processo de aprovação da estrutura organizacional para

a) Área de Controles Internos e Riscos do Sicoob Confederação: elabora

b) Comitê de Controles Internos e Risco Operacional do Sicoob: analisa e se

c) Área de Normas do Sicoob Confederação: padroniza e consolida as minutas

d) Diretoria Executiva do Sicoob Confederação: avalia, aprova metodologias e

e) Conselho de Administração do Sicoob Confederação: avalia as

2. A estrutura organizacional envolvida na aprovação dos processos, modelos,

a) Área de Controles Internos e Riscos do Sicoob Confederação: elabora os

b) Área de Normas do Sicoob Confederação: padroniza e consolida as minutas

c) Comitê de Controles Internos e Risco Operacional do Sicoob: analisa e se

3. A estrutura organizacional envolvida no processo de acompanhamento do risco

1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:

a) Área de Controles Internos e Riscos do Sicoob Confederação: produz as

b) Comitê de Controles Internos e Risco Operacional do Sicoob: avalia e se

c) Diretoria Executiva do Sicoob Confederação: acompanha a implementação da

d) Conselho de Administração do Sicoob Confederação: avalia e decide sobre as

4. A estrutura organizacional envolvida no processo de acompanhamento do risco

a) Diretoria Executiva das cooperativas centrais: recebe o resultado das análises

b) Área de Controles Internos e Riscos das cooperativas centrais: recebe

c) Conselho de Administração das cooperativas centrais: avalia as informações e

1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:

d) Diretoria Executiva das cooperativas singulares: recebe o resultado das

d.1) A Diretoria Executiva é responsável por disseminar a Política e a

e) Área de Controles Internos e Riscos das cooperativas singulares: recebe da

f) Conselho de Administração das cooperativas singulares: avalia as informações

1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:

1. Além das atribuições e responsabilidades previstas no Estatuto Social e no

a) aprovar e disseminar a Política de Gerenciamento do Risco Operacional;

b) analisar, no mínimo anualmente, os relatórios que identificam as deficiências

c) manifestar, expressamente, acerca das ações a serem implementadas para

d) instituir a realização periódica dos testes de avaliação dos sistemas de

e) estabelecer as condições necessárias para publicação, em conjunto com as

f) aprovar os planos de contingência contendo as estratégias a serem

g) instituir processo estruturado de comunicação e informação;

h) outras competências necessárias ao adequado gerenciamento do risco

2. Além das atribuições e responsabilidades previstas no Estatuto Social e no

a) disseminar a Política de Gerenciamento do Risco Operacional instituída;

b) analisar, no mínimo anualmente, os relatórios que identificam as deficiências

c) manifestar, expressamente, acerca das ações a serem implementadas para

d) verificar se os testes de avaliação dos sistemas de controle de riscos

1ª edição em 31/5/2007 Última atualização em: 31/10/2012 Página:

e) certificar-se da adequada documentação e armazenamento de informações

f) estabelecer, em conjunto com o Conselho de Administração, as condições

g) proporcionar as condições administrativas e técnicas necessárias para que o

h) acompanhar as ações desenvolvidas pelo Agente de Controles Internos e

i) acompanhar os empregados na execução de suas atividades, para correção

j) informar ao Conselho de Administração, independente dos relatórios

k) cumprir e fazer cumprirem as ações mitigadoras de risco operacional;