Queria então dar continuidade nesta série de posts e comentar mais sobre os demais princípios de Basiléia para Riscos Operacionais, falando um pouco mais sobre cada um deles abaixo. E o interessante disto, que ao passar por cada um dos 6 próximos princípios, vai nos dar a oportunidade de falar sobre vários conceitos e pontos relevantes sobre a forma de gerir estes riscos operacionais.
Princípio 7: Gerenciamento de Mudanças
A gestão de mudanças é um elemento importante na gestão de riscos operacionais e deve ser tratada com o devido cuidado por todas as linhas de defesa da empresa, pois quando entra em novos mercados, inicia novas atividades ou modifica processos, a exposição ao risco operacional evolui, e por isto mesmo é importante que haja políticas e procedimentos robustos para gerir essas mudanças.
Mais uma vez o conceito de linhas de defesa é importante, e a primeira delas deve realizar avaliações abrangentes do risco e controle operacional para todas as novas iniciativas. Isso inclui desde a fase de planejamento até a revisão pós-implementação. Normalmente a área de riscos operacionais atua como segunda linha de defesa, e deve desafiar as avaliações feitas pela primeira linha, assim como também deve assegurar que todos os grupos de controle relevantes estejam envolvidos, como finanças, conformidade legal, negócios e gestão de riscos.
Princípio 8: Monitoramento e Relatórios
O monitoramento contínuo e o relatório são importantes para uma gestão eficaz do risco operacional. A senior management e os conselhos de administração devem estar bem informados com relatórios que sejam abrangentes, precisos, consistentes e acionáveis.
A frequência dos relatórios deve ser alinhada com a natureza e a velocidade das mudanças no ambiente operacional. Estes relatórios devem incluir avaliações internas e externas, bem como informações sobre eventos significativos de risco operacional e perdas.
Os processos de captura de dados e relatórios de risco devem ser analisados periodicamente para aprimorar o desempenho na gestão de riscos. Isso deve levar a avanços nas políticas, procedimentos e práticas de gestão de riscos.
O relatório deve incluir uma discussão e avaliação dos riscos-chave e emergentes, bem como qualquer violação dos limites ou requisitos de apetite e tolerância ao risco.
Princípio 9: Os bancos devem ter um ambiente de controle forte que utiliza políticas, processos e sistemas; controles internos adequados; e estratégias de mitigação e/ou transferência de risco adequadas.
Um programa de controle interno sólido consiste em quatro componentes integrais ao processo de gestão de risco: avaliação de risco, atividades de controle, informação e comunicação, e atividades de monitoramento. Estes componentes devem ser projetados para fornecer uma garantia razoável de que o banco terá operações eficientes e eficazes, salvaguardará seus ativos, produzirá relatórios financeiros confiáveis e cumprirá com as leis e regulamentos aplicáveis.
Estes devem incluir um sistema para garantir a conformidade com políticas, regulamentos e leis. Elementos principais de uma avaliação de conformidade de política podem incluir:
- Revisões de alto nível do progresso em relação aos objetivos declarados.
- Verificação da conformidade com controles de gestão.
- Revisão do tratamento e resolução de instâncias de não conformidade.
Os procedimentos de controle devem abordar como o banco garante que a resiliência operacional seja mantida tanto em circunstâncias normais quanto em caso de interrupção.
Um ambiente de controle eficaz também requer uma segregação adequada de funções para evitar conflitos de interesse e possíveis ocultações de perdas ou ações inadequadas.
Além da segregação de funções e controles duplos, os bancos devem garantir que outros controles internos tradicionais sejam implementados, como autoridades claramente estabelecidas para aprovação, monitoramento próximo da aderência aos limites de risco atribuídos, entre outros.
O uso eficaz e a implementação sólida da tecnologia podem contribuir para o ambiente de controle. No entanto, processos automatizados introduzem riscos que devem ser tratados através de uma governança tecnológica sólida.
A utilização de produtos, atividades, processos e canais de entrega relacionados à tecnologia expõe o banco a riscos operacionais, que devem ser gerenciados de forma integrada, seguindo os mesmos preceitos da gestão de riscos operacionais.
A terceirização pode ajudar a gerir custos e melhorar os serviços, mas também introduz riscos que devem ser geridos. A diretoria e a alta administração são responsáveis por entender os riscos operacionais associados aos acordos de terceirização e garantir que políticas e práticas de gestão de risco eficazes estejam em vigor.
Nos casos em que os controles internos não abordam adequadamente o risco, a gestão pode complementar os controles buscando transferir o risco para outra parte, como por meio de seguros.
Estas devem ser vistas como complementares aos controles internos rigorosos e aos programas de gestão de risco, e não como um substituto para eles.
Os bancos devem ter uma classificação unificada, metodologia e procedimentos de gestão de risco operacional estabelecidos pela área de RO.
Princípio 10: Implementação de um Robusto Programa de Gestão de Risco de TI alinhado com a política e estratégia Quadro de Gestão de Risco Operacional
Efetividade e segurança na Tecnologia da Informação e Comunicação são essenciais para a conduta adequada dos negócios bancários. A gestão destes riscos deve ser integrada ao quadro geral de gestão de risco operacional do banco, focando em mitigar perdas diretas, reclamações legais, danos à reputação e uso inadequado da tecnologia.
A gestão de risco de TI deve incluir:
- Identificação e avaliação de riscos em TI
- Medidas de mitigação de riscos (por exemplo, cibersegurança, programas de resposta e recuperação)
- Monitoramento contínuo dessas medidas
Para assegurar a confidencialidade, integridade e disponibilidade dos sistemas, o Conselho de Administração deve supervisionar regularmente a eficácia da gestão de risco de TI. Relatórios sobre riscos e controles devem ser frequentemente enviados à alta administração.
O programa de gestão de risco de TI deve ser revisado regularmente para garantir a sua completude e eficácia contra padrões da indústria e melhores práticas, bem como contra ameaças em evolução como ciberataques.
Princípio 11: Planos de Continuidade de Negócios
O Conselho de Administração deve revisar e aprovar regularmente os planos de continuidade de negócios (PCN). A alta administração e as unidades de negócio devem estar fortemente envolvidas na implementação do PCN.
Os PCN devem ser baseados em análises de cenário que identificam operações críticas e dependências chave. Cada cenário deve ser submetido a uma avaliação de impacto quantitativa e qualitativa.
Os PCN devem ser revisados e testados periodicamente para assegurar sua eficácia e alinhamento com operações e riscos atuais.
Princípio 12: Divulgação Pública para Avaliação da Abordagem sobre Gestão de Risco Operacional
A divulgação pública de informações sobre gestão de risco operacional pode levar a uma maior transparência e ao desenvolvimento de melhores práticas através da disciplina de mercado.
Os bancos devem divulgar informações pertinentes à exposição ao risco operacional, sem criar riscos adicionais através dessa divulgação.
Os bancos devem ter uma política formal de divulgação que seja revisada e aprovada regularmente pela alta administração e pelo Conselho de Administração. Essa política deve estabelecer abordagens para determinar que divulgações serão feitas e como serão controladas internamente.
Note que essas diretrizes são consistentes com padrões internacionais como os Princípios para a Gestão de Risco Operacional do Comitê de Basileia para Supervisão Bancária, que oferece um marco abrangente para a gestão de risco operacional eficaz.
Cada um destes princípios de Basileia para riscos operacionais, que constam no relatório do Comitê de Basileia para Supervisão Bancária de 2014 sobre os "Princípios para a sólida gestão de riscos operacionais".