Gerenciamento do Risco Operacional

Propaganda
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
1. INTRODUÇÃO
Este documento tem por objetivo descrever a Estrutura de Gerenciamento do Risco Operacional
criada e mantida para o Sistema SICREDI, englobando o Banco Cooperativo SICREDI e suas empresas
ligadas, Confederação SICREDI, Centrais SICREDI e Cooperativas SICREDI. No seu escopo estão
definidas as metodologias utilizadas e os processos operacionais, visando atender a Resolução CMN
3.380/2006, publicada em 29 de junho de 2006.
2. CONCEITOS SOBRE RISCO OPERACIONAL
O risco operacional é conceituado pelo Basiléia II como o “risco de perda resultante de pessoas,
sistemas e processos internos inadequados ou deficientes, ou de eventos externos”. Toda a legislação
adotada pelos órgãos reguladores do sistema financeiro nacional utiliza essa conceituação; dessa forma, a
adequação necessária do SICREDI à legislação reflete exatamente essa descrição.
Dentro da metodologia, analisam-se as causas (descrevendo-as como fatores de risco) e as
conseqüências decorrentes das causas (descrevendo-as como riscos). A materialização das
conseqüências transforma-se em eventos de risco.
Categorizam-se os fatores de risco operacional em quatro grandes grupos:
i.
ii.
iii.
iv.
Fator de risco de pessoas: é o fator de risco associado a perdas em função de falhas humanas
(intencionais ou não intencionais) por situações diversas, como fraude, não qualificação para o
desempenho da função ou erros não intencionais;
Fator de risco do processo: é o fator de risco associado à ocorrência de fragilidades nos
processos, que podem ser geradas por falta de regulamentação interna, de documentação sobre
políticas e procedimentos ou de controle do processo.
Fator de risco tecnológico: é o fator de risco associado à infra-estrutura tecnológica da empresa,
tanto na qualidade e confiabilidade dos dados quanto na confiabilidade do hardware que dá
suporte ao negócio;
Fator de risco externo: é o fator de risco associado com os fatores externos às operações das
entidades do Sistema e que podem lhes atingir sob qualquer forma.
A ocorrência de fatos causados pelo aproveitamento das vulnerabilidades (fatores de risco) das
diversas categorias é chamada de materialização do risco. Esses eventos de riscos são investigados,
analisados, classificados e armazenados para o contínuo aprendizado do gerenciamento de riscos. A
Basiléia II e a legislação pertinente categorizam os eventos de risco de forma semelhante, buscando total
aderência à legislação brasileira. O SICREDI consolidou sua classificação de eventos de risco conforme a
lista a seguir:
i.
ii.
fraudes internas: eventos relacionados a fraudes ocasionadas por pessoas ligadas diretamente ao
SICREDI;
roubos e fraudes externas: eventos relativos a roubos e fraudes provocados por pessoas ou
procedimentos externos ao SICREDI;
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 1 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
iii.
iv.
v.
vi.
vii.
viii.
demandas trabalhistas e segurança deficiente do local de trabalho: eventos ligados a demandas
advindas da administração inadequada de pessoal e de eventos relacionados a falhas na
segurança do trabalho das diversas entidades do Sistema;
práticas inadequadas com clientes, produtos e serviços: eventos ligados à inobservância das boas
práticas de gerenciamento de negócio em todas as suas esferas (principalmente o
descumprimento sistêmico de regras de negócio e a não conformidade com a legislação vigente);
danos a ativos físicos próprios ou em uso pela instituição: eventos relacionados a quaisquer ativos
físicos de propriedade de alguma entidade do SICREDI que tenham sido afetados por incidentes,
excluindo as perdas patrimoniais relacionadas a roubos;
interrupção de atividades: eventos ligados a interrupção das atividades de qualquer entidade do
Sistema provocados por falhas em ativos, desastres naturais, acidentes ou ações externas
voluntárias (sabotagem, terrorismo e outras);
falhas em sistemas de tecnologia da informação (TI): eventos que ocorrem por erros nos sistemas
de informação ou por procedimentos automatizados efetuados de forma incorreta;
falhas na execução, cumprimento de prazos e gerenciamento: eventos ligados ao
descumprimento deliberado de normativos ou por atrasos no cumprimento de prazos em
atividades obrigatórias.
3. OBJETIVOS
O desenvolvimento de atividades ligadas à gestão de risco operacional visa os seguintes objetivos:
a) Reduzir ao máximo possível as perdas reais provenientes das ocorrências dos diversos riscos
classificados como operacionais;
b) Mensurar corretamente o valor da alocação de capital necessária para eventos de risco
operacional;
c) Gerar informações que possibilitem contínua e recorrente avaliação quantitativa (quando possível)
e/ou qualitativa das probabilidades e do impacto das ocorrências de eventos de risco operacional;
d) Apontar o nível adequado de tolerância ao risco para o SICREDI;
e) Apontar o apetite ao risco operacional adequado para o SICREDI;
f) Apoiar a melhoria contínua de processos com base no tratamento do risco operacional e
adequações dos controles internos;
g) Promover a transparência exigida pelos órgãos reguladores;
h) Assumir níveis de governança corporativa que assegurem a perpetuidade do negócio cooperativo;
i) Auxiliar o desenvolvimento de todas as entidades do Sistema, avaliando e qualificando os níveis
de risco das instituições e dos processos de negócio executados pelas entidades;
j) Conscientizar todos os níveis funcionais do Sistema acerca da importância do bom gerenciamento
de risco operacional e de seus benefícios à governança corporativa do Sistema;
k) Desenvolver procedimentos automatizados (preferencialmente, com solução computacional) para
o controle contínuo do risco operacional.
4. ESTRUTURA DE GESTÃO DE RISCO OPERACIONAL
A Resolução CMN 3.380/06, em seu artigo 6º, determina que a atividade de risco operacional deve ser
realizada por unidade específica e segregada de atividades de auditoria interna. Obedecendo a esse critério e
visualizando a complexidade do Sistema SICREDI (integrando as Centrais Estaduais, as Cooperativas Singulares e
as atividades executadas pelas empresas centralizadoras pertencentes ao Sistema), decidiu-se por concentrar o
gerenciamento de risco operacional em uma única gerência – localizada no Banco Cooperativo SICREDI.
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 2 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
A Gerência de Risco Operacional – integrante da Diretoria de Economia e Riscos do Banco Cooperativo
SICREDI – é responsável pela estratégia e execução das atividades ligadas ao tema. Esta estrutura busca dotar o
Sistema de instrumentos que permitam o efetivo gerenciamento de risco de forma sistêmica – e ainda integrando o
gerenciamento de risco operacional com outras atividades de gerenciamento de risco, como o de mercado e de
crédito.
Essa estrutura está organizada conforme a seguinte hierarquia:
Figura 1 – Organograma do SICREDI para a gestão de risco operacional.
Além das áreas mencionadas no organograma, existem dois comitês corporativos que atuam sobre o
gerenciamento de risco operacional – a saber:
a) COMITÊ TÉCNICO DE RISCOS. Este comitê é composto pelas gerências subordinadas à Diretoria de
Economia e Riscos do Banco Cooperativo SICREDI e pelo Diretor de Planejamento e Administração
do Banco Cooperativo SICREDI – e tem por objetivo avaliar e emitir parecer sobre assuntos técnicos
relacionados aos riscos de crédito, mercado, operacional e gestão integrada de riscos.
b) COMITÊ DE RISCOS DA SICREDI PARTICIPAÇÕES. Este comitê é composto pelo Diretor-Presidente
da SICREDI Participações, pelos Superintendentes de Supervisão das empresas controladas, pelo
Diretor Executivo Administrativo-Financeiro do Banco Cooperativo SICREDI e pelo Diretor de
Economia e Riscos do Banco Cooperativo SICREDI – e tem por objetivo avaliar e emitir parecer sobre
a formulação, acompanhamento e controle das políticas e metodologias empregadas pelo Sistema no
que diz respeito à exposição de riscos – legais e internos – de crédito, mercado e liquidez,
operacionais, ambientais, entre outros.
5. MODELO DE GESTÃO DE RISCO OPERACIONAL
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 3 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
O modelo de gestão de risco operacional criado para o SICREDI baseia-se em três premissas, que operam
sobre todo o Sistema:
a. a criação e utilização de instrumentos para o gerenciamento de riscos operacionais – um ciclo que envolve
a identificação, avaliação, planejamento e execução do tratamento e o contínuo controle dos níveis de
exposição de risco dos diversos processos de negócio;
b. a criação e manutenção de procedimentos para o registro de informações em uma base de dados de riscos
operacionais (que fomenta tanto o ciclo de gerenciamento de risco operacional quanto o processo decisório
sobre tratamento de riscos);
c. a alocação de capital para risco operacional (prevista pela legislação). Essa premissa deve buscar
instrumentos para, com os controles sobre os processos de negócio implementados e executados de forma
eficaz e eficiente, obter o valor ótimo para essa alocação.
A partir dessas premissas, o modelo de gestão de risco operacional foi esquematizado como abaixo:
Figura 2 – Modelo de gestão de risco operacional para o SICREDI.
Esse modelo contempla todos os conceitos expostos nos capítulos 2 e 3 desse documento, envolvendo
todas as entidades do Sistema e organizando o fluxo de atividades que compõem o gerenciamento de risco
operacional.
6. PAPÉIS E RESPONSABILIDADES
OPERACIONAL
NA
GESTÃO
DE
RISCO
Por força da legislação pertinente, cada instituição financeira deve indicar um diretor responsável pelo
gerenciamento do risco operacional junto ao Banco Central do Brasil. As instituições ligadas ao Sistema SICREDI
realizam a indicação conforme a orientação da legislação vigente.
Além disso, o SICREDI entende que gerenciar riscos é tarefa de todo colaborador do Sistema – e, em
função disso, o Regulamento de Gestão de Risco Operacional prevê e estipula o papel e a responsabilidade frente à
gestão de risco operacional (e seus respectivos processos) das entidades e dos diversos cargos que compõem a
estrutura hierárquica do Sistema.
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 4 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
7. REGULAMENTO DE GESTÃO DE RISCO OPERACIONAL
O Regulamento de Gestão de Risco Operacional é o documento que expressa as políticas do SICREDI
relativas ao risco operacional. Este regulamento, publicado na sua primeira versão em julho de 2007 no Portal
Corporativo do SICREDI, foi aprovado pelo Sistema como a base de orientação relativa a todos os processos de
gerenciamento de risco operacional.
O Regulamento de Gestão de Risco Operacional, atendendo à legislação em vigor, prevê revisão periódica
(no mínimo anual), visando adequação às modificações do Sistema, a adaptação às modificações na legislação
vigente e a melhoria contínua dos processos.
8. PROCESSOS DE GESTÃO DE RISCO OPERACIONAL
A metodologia utilizada para a condução do macroprocesso de gestão de risco operacional espelha a
prática de mercado intitulada Risk-Control Self Assessment (RCSA)1. Essa prática de mercado preconiza que as
fases de identificação e de avaliação de riscos e controles devem ser realizadas pelos gestores do processo, com o
controle dessas atividades sendo realizado por uma área própria para o gerenciamento de riscos – buscando, com
isso, a mais correta identificação de fatores de risco e de controles e a conseqüente acurácia na avaliação dessas
informações.
O macroprocesso de gestão de risco operacional está suportado por ferramenta tecnológica – que realiza
todo o ciclo de gerenciamento de risco operacional e o gerenciamento de incidentes (registro dos eventos de perda).
O macroprocesso de gestão de risco operacional definido para o SICREDI é composto pelos seguintes
processos:
8.1. IDENTIFICAÇÃO DE RISCOS OPERACIONAIS
O processo de identificação de riscos operacionais consubstancia-se no descobrimento e levantamento dos
fatores de risco e dos controles que mitigam estes fatores de risco dos processos de negócio analisados e sua
posterior documentação. A forma pela qual se realiza essa identificação segue os seguintes procedimentos (que
podem ser ou não aplicados, conforme a disponibilidade e necessidade):
entrevistas com os gestores do processo de negócio;
entrevistas com os usuários do processo de negócio;
entrevistas com outras partes interessadas e/ou envolvidas no processo de negócio;
questionários de auto-avaliação buscando identificar, dentro do dicionário de riscos e controles do Sistema,
quais são as vulnerabilidades do processo de negócio;
e) consulta a bases de dados externas, visando identificar fatores de risco externos que possam atingir o
processo de negócio estudado;
f) levantamento e análise da documentação do processo de negócio, buscando-se identificar outros riscos
que não tenham sido anteriormente identificados através das entrevistas;
g) técnicas DELPHI2 e ferramentas de brainstorming3, visando o amplo debate sobre o processo e suas
vulnerabilidades correlatas.
a)
b)
c)
d)
O processo é conduzido pela Gerência de Risco Operacional do Banco Cooperativo SICREDI.
1
Risk-control self assessment (RCSA): metodologia de identificação e avaliação de riscos originalmente criada na década de 80 pela empresa petrolífera canadense GULF, que se
utiliza de questionários de auto-avaliação para identificar e avaliar os riscos da instituição estudada.
Técnica DELPHI: metodologia desenvolvida pela Rand Corporation para realizar projeções de cenário futuro a partir de premissas estabelecidas pelo contexto vivido por
especialistas no assunto discutido.
3 Brainstorming: em inglês, literalmente significa “tempestade cerebral”. Reuniões para estabelecer o consenso entre especialistas sobre o debate do assunto em questão.
2
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 5 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
O produto final da fase de identificação de riscos é a construção de uma matriz prévia de riscos, que
delimita o escopo do trabalho. Os riscos e controles identificados são acumulados num dicionário de riscos e
controles – padronizando assim a informação para sua correta utilização por todas as entidades do Sistema.
8.2. AVALIAÇÃO DE RISCOS OPERACIONAIS
A partir da matriz prévia de riscos inicia-se o processo de avaliação de riscos operacionais, que consiste
em:
a) avaliação da probabilidade de ocorrência de um fator de risco;
b) avaliação do impacto causado pela ocorrência de um fator de risco;
c) avaliação da maturidade do controle sobre um fator de risco.
A análise da maturidade do controle sobre os fatores de risco ocorre através da verificação da existência de
controles formais sobre os fatores de risco e da sua aplicabilidade. Caso esses controles sejam deficientes (ou,
mesmo, não existam), o cálculo final sobre os fatores de risco é incrementado – exibindo assim a gravidade do fator
de risco.
Já as análises de probabilidade e de impacto podem ser qualitativas ou quantitativas, conforme a
informação disponível para subsidiar a decisão.
8.2.1. Análise qualitativa
A análise qualitativa é utilizada quando não há nenhuma informação ou informações insuficientes para
realizar uma análise estatística das ocorrências dos fatores de risco na base de dados de riscos operacionais. A
avaliação da existência da informação suficiente deve levar em conta apenas as bases de dados de perdas
operacionais do SICREDI. Informações de bases externas de perdas operacionais são utilizadas somente para
referenciar uma tendência de decisão.
Para a diminuição da subjetividade na avaliação da probabilidade e do impacto, o processo de avaliação de
riscos operacionais possui tabelas com parâmetros para a determinação da probabilidade e do impacto – publicadas
no Regulamento de Gestão de Risco Operacional do SICREDI.
8.2.2. Análise quantitativa
A análise quantitativa é utilizada quando a base de dados de perdas operacionais possui informação
suficiente para o cálculo de uma distribuição estatística confiável. Dessa forma, pode-se obter uma freqüência de
ocorrência de eventos de risco (probabilidade) e o impacto da ocorrência desses eventos – e, a partir das
informações do passado, realizar estimativas para a determinação dos níveis de risco.
A partir da construção das matrizes prévias de risco, devem ser realizadas as seguintes atividades:
a) avaliação da base histórica de perdas operacionais para avaliar a freqüência possível da ocorrência do
fator de risco e dos impactos provocados pela ocorrência dos fatores de risco;
b) elaboração de questionários de auto-avaliação para que os gestores e usuários do processo de negócio –
dentro da disponibilidade e possibilidade – façam a avaliação da probabilidade, do impacto e da maturidade
do controle;
c) realização do cruzamento das informações da base de perdas de riscos operacionais com as informações
das auditorias internas e externas, avaliando a confiabilidade das informações;
d) consolidação dos níveis de risco de cada categoria de risco, a partir da soma dos graus de risco de cada
fator de risco.
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 6 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
A utilização dessas informações para a determinação do grau de risco está publicada no Regulamento de
Gestão de Risco Operacional do SICREDI.
8.2.3. Apuração do grau de risco
Independentemente da forma da análise (quantitativa ou qualitativa), a soma dos graus de risco de cada
categoria varia num intervalo numérico de 1 a 50. Dessa forma, cada categoria de risco recebe uma classificação,
seguindo a seguinte escala:
a)
b)
c)
d)
risco BAIXO: quando a soma dos graus de risco da categoria estiver no intervalo [1, 5);
risco MÉDIO: quando a soma dos graus de risco da categoria estiver no intervalo [5, 12);
risco ELEVADO: quando a soma dos graus de risco da categoria estiver no intervalo [12, 20);
risco EXTREMO: quando a soma dos graus de risco da categoria estiver no intervalo [20, 50].
O produto final da fase de avaliação de riscos é a matriz de riscos operacionais do processo de negócio
avaliado.
8.3. TRATAMENTO DOS RISCOS OPERACIONAIS
Após a construção da matriz de riscos, são planejadas as estratégias de mitigação de riscos – os planos de
ação de tratamento de riscos operacionais. Esses planos de ação levam em conta cinco estratégias:
a) aceitar o risco. Uma estratégia de aceitação do risco é definida quando o nível de risco está dentro dos
limites que a administração do processo considera aceitável;
b) evitar o risco. Evita-se o risco quando considera-se que a exposição ao risco é inaceitável, não existindo
formas de controle suficientes para que o risco seja convenientemente mitigado;
c) transferir o risco. Uma estratégia de transferência de riscos é definida quando existe capacidade suficiente
de transferir a responsabilidade por arcar com o custo de eventual perda operacional (normalmente,
operações seguradas ou contratos com cláusulas de SLA – Service Level Agreement);
d) mitigar o risco. Mitiga-se o risco quando são realizadas modificações no processo com o fito de torná-lo
mais seguro frente às vulnerabilidades detectadas nas etapas anteriores;
e) reter o risco. Retém-se o risco quando há a capacidade de gerar reservas financeiras internas suficientes
para cobrir eventuais despesas com perdas operacionais, sem terceirizar o risco.
A aplicação dos planos de ação é realizada pela área responsável pela gestão do processo, e o controle da
aplicação dos planos de ação para o tratamento de riscos operacionais é realizado pela Gerência de Risco
Operacional do Banco Cooperativo SICREDI.
8.4. MONITORAMENTO DOS RISCOS OPERACIONAIS
O monitoramento dos riscos se dá através de duas ações paralelamente:
a) o constante acompanhamento dos indicadores-chave de risco. Estes indicadores são construídos durante a
composição das matrizes de risco e verificam possíveis desvios no comportamento do processo de
negócio. Sua verificação é realizada através da consulta de painéis de controle elaborados para cada
processo de negócio individualmente;
b) uso do processo de comunicação para reporte imediato da modificação das condições de fatores de risco.
Essa modificação das condições dos fatores de risco pode ser provocada por alterações das etapas e
procedimentos dos processos de negócio ou modificações do ambiente externo que influam no processo
de negócio em questão.
O monitoramento dos riscos operacionais é uma atividade compartilhada entre os gestores do processo de
negócio e a Gerência de Risco Operacional do Banco Cooperativo SICREDI.
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 7 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
8.5. REGISTRO DE PERDAS OPERACIONAIS
Todas as ocorrências de perdas operacionais são traduzidas, após a sua devida investigação e apuração,
em eventos de perda operacional. Esses eventos devem ser classificados conforme as categorias dispostas no
capítulo 2 deste documento, e performam a base de dados de perdas operacionais – ferramenta indispensável para
a qualificação da gestão de risco operacional.
Esse registro deve ser realizado assim que constatada a perda ou sua possibilidade real – e pode ser
realizada por qualquer colaborador do Sistema. A Gerência de Risco Operacional do Banco Cooperativo SICREDI é
a responsável pelo processo de registro de eventos de riscos operacionais.
8.6. RELATÓRIOS ANUAIS DE RISCO OPERACIONAL
Todo o ciclo de gerenciamento de risco operacional (identificação, avaliação, tratamento e monitoramento –
descritos nos itens 8.1 a 8.4 deste documento) deve ser documentado para a geração de relatório anual de risco
operacional. Esse relatório é gerado individualmente para cada instituição componente do Sistema, e leva em conta:
a)
b)
c)
d)
e)
f)
os incidentes e eventos de perda ocorridos no período analisado;
as análises e matrizes de risco operacional geradas no período analisado;
os planos de ação trabalhados no período analisado;
o desempenho dos indicadores chave de risco no período analisado;
valores de alocação de capital para risco operacional gerados no período analisado;
outras condições externas que podem favorecer uma melhor análise do processo de negócio no período
analisado.
O relatório anual gerado pela Gerência de Risco Operacional do Banco Cooperativo SICREDI é aprovado
pelo Conselho de Administração de cada instituição.
A responsabilidade pela manutenção das informações necessárias para a elaboração e construção do
relatório é da Gerência de Risco Operacional do Banco Cooperativo SICREDI.
9. ALOCAÇÃO DE CAPITAL PARA RISCO OPERACIONAL
Em abril de 2008, o Banco Central do Brasil publicou a Circular BACEN n° 3.383/08, dispondo sobre a
alocação de capital que as instituições financeiras brasileiras devem realizar para risco operacional. Essa
normatização, ligada ao que dispõem as Resoluções CMN n° 3.380/06 e CMN n° 3.490/07, conclui um primeiro
ciclo de implantação no sistema financeiro nacional dos conceitos e proposições ligados ao Novo Acordo de
Capitais da Basiléia (2004).
Especificamente ao que é relacionado a Risco Operacional, a normatização vigente sugere três
possibilidades (modelos) de cálculo de alocação de capital referente à parcela de Risco Operacional (POpr) - a
Abordagem do Indicador Básico, a Abordagem Padronizada Alternativa e a Abordagem de Mensuração
Avançada.
Estes três modelos de cálculo já foram objeto de estudo desde a sua criação, abrangendo quais modelos
são passíveis de adoção pelo Sistema num primeiro momento, seus requisitos para a implantação, que
implementações (de processos de negócio e de sistema) serão necessárias para cada uma das abordagens e que
esforços seriam necessários para cada modelo implementado.
A partir destes estudos preliminares, o Sistema resolveu adotar – para todas as Cooperativas Singulares e
Centrais Estaduais – o modelo da Abordagem do Indicador Básico. A opção por este modelo deve-se à
necessidade, para adoção dos modelos mais complexos (a Abordagem Padronizada Alternativa e a Abordagem de
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 8 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
Mensuração Avançada), de históricos de informações e de adaptações na estrutura e nos sistemas que prescindem
de prazo para desenvolvimento e implantação (tais como a base de dados de eventos de perda de risco operacional
e a segregação contábil das linhas de negócio de cada instituição). Cabe lembrar que o diagnóstico pelas
autoridades fiscalizadoras da inadequação da adoção de modelos superiores à Abordagem do Indicador Básico
pode acarretar conseqüências danosas a toda a estrutura de alocação da capital para risco das instituições fazendo com que a opção por um caminho seguro e de crescimento e complexidade gradativos seja vista como a
ideal.
A Abordagem do Indicador Básico está definida no Novo Acordo de Capitais da Basiléia (e respaldada na
legislação atinente brasileira) como "...a média de uma porcentagem fixa (designada alfa) da receita bruta anual
positiva dos três anos anteriores." (Parágrafo 649 do documento "Convergência Internacional de Mensuração de
Capital e Padrões de Capital", publicado pelo Comitê da Basiléia sobre a Supervisão Bancária). Para o cálculo
dessa média, alguns conceitos precisam ser expostos:
i.
ii.
Para a mensuração dos valores de receita bruta, consideram-se os valores de receitas financeiras líquidas
e as receitas financeiras não-líquidas. Nessas despesas, devem estar incluídas quaisquer provisões
existentes, despesas operacionais (incluindo taxas pagas para prestadores de serviço terceirizados e
excluídos os lucros e perdas realizados da venda de títulos mobiliários no registro bancário e os itens
extraordinários ou irregulares - bem como a receita originada de seguro;
A média da receita bruta dos três últimos anos deve excluir resultados negativos (e a divisão para obtenção
da média deve considerar, como denominador, a quantidade de meses em que se obteve resultado
positivo).
Apurando-se a base de cálculo como exposto acima, aplica-se o percentual alfa - obtendo-se assim o valor
necessário da alocação de capital. Esse percentual, segundo a Circular BACEN n° 3.383/08, será de 15% (quinze
por cento).
Especificamente para o Brasil, os órgãos reguladores estabeleceram um modelo escalar para o cálculo da
parcela de alocação de capital (POpr) - inserindo um multiplicador (chamado de multiplicador "Z") no cálculo da
parcela de alocação de capital. O resultado da aplicação desse multiplicador é a diminuição do impacto inicial nas
instituições financeiras dessa nova metodologia. O agendamento da utilização do multiplicador para Cooperativas
Singulares e Centrais Estaduais é exposto na tabela abaixo:
Prazo de utilização
De 01.07.2008 a 31.12.2008
De 01.01.2009 a 30.06.2009
De 01.07.2009 a 31.12.2009
De 01.01.2010 a 30.06.2010
De 01.07.2010 a 31.12.2010
A partir de 01.01.2011
Valor do multiplicador
0,05
0,20
0,35
0,50
0,80
1,00
Figura 3 – Valores do multiplicador Z para cooperativas e centrais estaduais.
No mesmo sentido, o agendamento do multiplicador Z para o Banco Cooperativo SICREDI é:
Prazo de utilização
De 01.07.2008 a 31.12.2008
De 01.01.2009 a 30.06.2009
De 01.07.2009 a 31.12.2009
A partir de 01.01.2010
Valor do multiplicador
0,20
0,50
0,80
1,00
Figura 4 – Valores do multiplicador Z para o Banco Cooperativo SICREDI.
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 9 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
A parcela POpr é componente do Patrimônio de Referência Exigível, regulado pela Resolução CMN n°
3.490/07. O Sistema SICREDI comunicou, dentro dos prazos adequados pela Circular BACEN n° 3.383/08, ao
Banco Central do Brasil, a forma pela qual as instituições ligadas ao SICREDI irão calcular sua alocação de capital
para risco operacional.
Paralelo a isso, a Gerência de Risco Operacional do Banco Cooperativo SICREDI já desenvolve esforços
para a adoção de modelos avançados de cálculo da parcela de alocação de capital para risco operacional. Dessa
maneira, a base de dados de perdas operacionais já vem sendo composta pela Gerência de Risco Operacional
do Banco Cooperativo SICREDI – registrando as informações dos eventos de risco acontecidos em todo o Sistema.
A organização dessas informações se dará através de classificações atribuídas a cada evento de risco –
identificando a linha de negócio atingida e o tipo de evento de risco associado à perda financeira.
Com essas classificações, produz-se uma matriz de informações 8x8 – construção de modelo de
informações que vem sendo direcionado pelo Banco Central do Brasil como forma de armazenamento de dados
mais conveniente para o suporte a metodologias avançadas de cálculo de alocação de capital para risco
operacional. Cada valor de cada registro deverá ser totalizado com as demais ocorrências com a mesma
classificação, gerando informações sobre o seu total, seu montante individual e a sua freqüência de ocorrência
(como na tabela a seguir):
Matriz de
perdas
operacionais
1 Corporate
finance
2 Negociação
e vendas
3 Banco de
varejo
4 Banco
Comercial
5 Pagamento
e liquidação
6 Serviços de
agência
7Administração
de ativos
8 Corretagem
de varejo
1 - Fraudes
internas
2 - Roubos e
fraudes
externas
3 - Demandas
trabalhistas e
segurança
deficiente do
local de
trabalho
4 - Práticas
inadequadas
com clientes
5 - Danos a
ativos físicos
próprios da
instituição
6Interrupção
de atividades
7 - Falhas em
sistemas de
TI
8 - Falhas na
execução,
cumprimento
de prazos e
gerenciamento
∑ 1x1
∑2x1
∑3x1
∑4x1
∑5x1
∑6x1
∑7x1
∑8x1
∑1x2
∑2x2
∑3x2
∑4x2
∑5x2
∑6x2
∑7x2
∑8x2
∑1x3
∑2x3
∑3x3
∑4x3
∑5x3
∑6x3
∑7x3
∑8x3
∑1x4
∑2x4
∑3x4
∑4x4
∑5x4
∑6x4
∑7x4
∑8x4
∑1x5
∑2x5
∑3x5
∑4x5
∑5x5
∑6x5
∑7x5
∑8x5
∑1x6
∑2x6
∑3x6
∑4x6
∑5x6
∑6x6
∑7x6
∑8x6
∑1x7
∑2x7
∑3x7
∑4x7
∑5x7
∑6x7
∑7x7
∑8x7
∑1x8
∑2x8
∑3x8
∑4x8
∑5x8
∑6x8
∑7x8
∑8x8
Figura 5 – Classificação dos valores de eventos de risco operacional.
Para que seja atingido esse direcionamento, a elaboração do dicionário de dados para o armazenamento e
detalhamento das informações acerca dos eventos de risco baseou-se nas orientações emanadas do AIGOR
(Accord Implementation Group´s Operational Risk Subgroup, órgão componente do Comitê de Basiléia para a
Supervisão Bancária) – que, por sua vez, foram objeto de estudo para adequação à realidade brasileira pela
FEBRABAN (através da subcomissão de Risco Operacional dessa entidade)4.
A base de dados de perdas operacionais produz informação para uma modelagem estatística – que,
através da técnica de LDA (loss distribution approach), calculará a maior perda possível para cada elemento da
matriz 8x8. O uso dessa técnica para a determinação do valor da parcela de alocação de capital se justifica pela
possibilidade da integração de quatro elementos diferentes para sua realização, a saber:
a) Base de dados interna, com seu cálculo de distribuição de freqüência e severidade sendo determinados
pelo registro de eventos de risco;
4
O detalhamento do dicionário de dados para o armazenamento e detalhamento das informações sobre eventos de risco está no Anexo IV do
Regulamento de Gestão de Risco Operacional.
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 10 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
b) Base de dados externa, composta por informações de eventos de risco que permitem complementar os
intervalos sem dados das curvas de distribuição das bases de dados internas;
c) Análise de cenários, em que serão avaliadas as possibilidades teóricas de cada risco dadas modificações
nos cenários macro e microeconômicos;
d) Avaliações de risco, onde as informações dos mapas de risco operacional são convertidas em informações
estatísticas suficientes para compor a modelagem.
Os modelos de distribuição estatística para a freqüência das perdas operacionais comumente usados no
mercado são as de Poisson, geométrica e binomial negativa. Da mesma forma, para a severidade utiliza-se de
forma mais comum as distribuições exponenciais, gamma, Weibull e log-normal. O SICREDI ainda não padronizou
suas distribuições, preferindo aguardar a maturidade da sua base de dados de perdas operacionais para determinar
essas possibilidades.
Sob qualquer espécie de distribuição, a técnica de cálculo visada é dependente de ferramenta computacional
que tenha robustez e solidez na execução dos seus procedimentos. O SICREDI já envida estudos para a aquisição
de ferramenta que possua as características adequadas para a manutenção e utilização da técnica LDA,
associando-a com simulações de Monte Carlo para calcular a estimativa de perda esperada.
A partir desses conceitos (que, em maior ou menor escala, já vem sendo utilizados pelo SICREDI – e
continuamente estarão sendo aprimorados até a aplicação completa dos modelos propostos), estipula-se que o
capital a ser alocado para risco operacional é a diferença entre a perda esperada e a medida do VaR (Value at Risk)
calculado com um intervalo de confiança de 99,9% (noventa e nove vírgula nove por cento), como demonstrado na
fórmula a seguir:
Sendo:
ACro é o valor da alocação de capital gerada para risco operacional
VaR99,9 é o valor do VaR calculado para risco operacional com um intervalo de confiança de 99,9%
E(x) é o valor da perda esperada para o cálculo realizado (normalmente, o somatório do cruzamento entre a linha de negócio e a categoria de
evento de risco operacional)
O gráfico abaixo demonstra a distribuição dos valores de perda esperada e de perda inesperada para o
SICREDI. Adicionalmente, também calcular-se-á a parcela TVaR (Tail Value at Risk), que representa o valor
esperado de perda quando esta for maior do que o VaR com 99,9% de confiança.
Figura 6 – Curva de distribuição de eventos de risco operacional.
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 11 de 12
Nota explicativa sobre a estrutura de gerenciamento de risco operacional
Em consonância com o que o Banco Central do Brasil estipula no Comunicado BACEN 16.137, a base de
dados de perdas operacionais do SICREDI deverá receber quantos dados possíveis forem nos anos de 2010, 2011
e 2012 – para que seja possível a submissão do Sistema à primeira etapa de habilitação para o uso de modelos
avançados de alocação de capital. Essa alimentação deverá ser continuamente validada por auditoria interna (ou
consultoria contratada para tal fim), de modo a garantir a consistência desse instrumento para a definitiva adoção de
uma metodologia mais adequada à necessidade negocial do Sistema.
10.
GESTÃO DE CONTINUIDADE DE NEGÓCIO
A gestão de continuidade de negócio é uma disciplina da gestão de risco operacional e age sobre a
continuidade e disponibilidade dos serviços oferecidos pelo SICREDI aos seus associados. Essa ação de garantia
da continuidade deve prever, tanto por força da regulamentação disposta pela Resolução CMN 3.380/06 quanto
pelo próprio requerimento de alta disponibilidade dos serviços, estruturas e planos de contingência que resultem na
garantia de continuidade total dos serviços e sistemas do SICREDI – minimizando, assim, a ocorrência de eventos
de perda operacional.
Todos os serviços considerados como críticos dentro do SICREDI possuem planos de continuidade
operacional devidamente compostos, documentados e testados segundo a norma BS25999 (norma mais aceita
mundialmente em Gestão de Continuidade de Negócio, organizada pelo British Standart Institute) – seguindo-se
assim as melhores práticas do mercado em continuidade de negócios. Os testes periódicos para continuidade
operacional são agendados semestralmente e os testes de verificação para recuperação de desastres são
revisados anualmente – estando, portanto, em aderência à legislação vigente.
Toda a gestão de continuidade de negócio é normatizada pelo Regulamento de Segurança da Informação
do SICREDI.
11.
REVISÃO E ATUALIZAÇÃO
A Diretoria de Economia e Riscos do Banco Cooperativo SICREDI – através da Gerência de Risco Operacional
– é a responsável pela monitoria, revisão e atualização desta estrutura, atendendo a Resolução CMN 3.380/06.
Gerência de Risco Operacional
Diretoria de Economia e Riscos
Banco Cooperativo SICREDI
Página 12 de 12
Download