Procedimentos de Controles Internos

Junho/2015
Identificando e
registrando
um incidente
operacional
•
Mobilizar e alertar os funcionários da importância
do contínuo processo de melhoria no desenho e
na performance de controles, reduzindo nossa
exposição a riscos financeiros e danos a nossa
reputação;
•
Identificar e mitigar novos riscos, evitando sua
reincidência e também diminuindo seus possíveis
impactos financeiros e na reputação do BNP; e
•
Permitir, sempre que necessário, declarar os
incidentes significativos aos reguladores, além de
demonstrar a existência de um processo robusto
para identificação de falhas e aplicação de ações
corretivas.
2OPC LATAM
O que é…
• Perda, ganho ou custo de oportunidade efetivos;
• Potencial perda ou ganho, que pode vir a se materializar no futuro ou não;
• Impacto regulatório, normalmente quando avisamos o regulador de um
incidente ou quando somos acionados pelo próprio. Neste grupo incluímos
o BACEN, CVM, BSM, CETIP e ANBIMA.
• Um ato deliberado, por exemplo fraude interna,
problemas de conduta;
• Um erro, falha humana;
• Uma retroatividade (obrigatório registro de
incidente);
• Uma falha de sistema;
• Falha de um prestador de serviços interno;
• Não cumprimento de uma obrigação regulamentar;
• Um procedimento ou processo mal concebido ou
inadequado.
• Fraude externa;
• Um desastre natural, acidente, um assalto;
• Falha de uma contraparte, parceiro, administrador,
ou gestor de um fundo BNP;
•
O Evento
•
A Causa
•
Seus Efeitos
• Falha de um fornecedor/prestador de serviços;
• Um processo judicial, ou uma sanção, mesmo que a
entidade considere que a ação seja improcedente,
porém a mesma já possui uma provisão associada;1
•
1Se
a instituição considerar que falhou na prestação das obrigações legais, o incidente é considerado falha de processo interno
2Incluir
3
A aplicação retroativa de uma norma legal, fiscal
ou regulatória.
tentativa ou suspeita, para casos internos ou externos a nossa organização
Informar a Auditoria Interna também
2OPC LATAM
2
• É função de todos os funcionários do grupo BNP Paribas reportar um
incidente de risco operacional para seu superior ou para qualquer
pessoa indicada para esse propósito: Operational Permanente ControlOPC.
• O superior ou o correspondente verificará se o evento possui todas as
características de um incidente e realizará o registro quando
necessário.
• Uma perda ou ganho financeiro com impacto efetivo no PnL do Grupo BNP; ou
• Um custo de oportunidade, relacionado a perda de um rendimento esperado que não se
materializou devido ao incidente (ex.: uma perda operacional na eventualidade de uma
catástrofe , perda de um negócio por atraso ou falhas internas, etc.).
Exemplos de impactos financeiros:
• Um ganho e/ou perda não provisionados (ex.: multas, ressarcimento a clientes, etc.);
• Montante dos custos irrecuperáveis ou indevidamente pagos (pagamento a maior a
fornecedores ou contrapartes, fees não recebidos, etc.);
• Ganho ou perda provenientes da liquidação ou do ajuste de uma operação/posição/hedge;
• Os custos incorridos para defender os nossos interesses no âmbito de um processo
apresentado contra o BNPP BR (ações judiciais, fiscalizações apresentadas por uma
entidade administrativa ou judicial);
• Penalidades financeiras aplicadas ao Grupo BNP (ex.: Poder Judiciário, Bacen, Receita,
etc.) e suas respectivas provisões constituídas;
• Custos decorrentes de um atraso significativo ou da paralisação de um projeto (ex.:
implantação de controles compensatórios, compra de outros componentes, etc.);
• Custos extraordinários para a recuperação de dados perdidos, incluindo horas extras;
• Custo decorrente do tratamento de contas transitórias ou de irregularidades;
• Custos de reparação (TI, logística, etc.).
.
2OPC LATAM
3
• No sistema Relatório de Ocorrências todo e qualquer incidente deve ser
registrado, independente de ter ou não um impacto financeiro
materializado.
• No sistema FORECAST (acesso restrito) devem ser registrados os
incidentes com valor igual ou superior a €10.000, ou equivalente em outra
moeda. Além disto, independentemente do valor envolvido, qualquer
incidente relacionado com:
§ Fraude interna ou externa;
§ Incidentes envolvendo regulador.
• Alguns eventos reincidentes podem ser objeto de um mesmo registro no
FORECAST, desde que o valor agregado ultrapasse o mínimo de €10.000.
• Para registro de um incidente informe seu superior, contate o OPC de sua área
ou a área de 2OPC.
§
Suspeitas de fraudes e desvios de conduta não são considerados como incidentes de risco
operacional, enquanto não forem comprovados;
§
Gestos ou operações de cortesia(desde que se tenha um acordo comercial) e reclamações de
clientes não são considerados incidentes de risco operacional a menos que indiquem falha de
processo interno;
§
Contas transitórias ou problemas de reconciliação apenas são considerados incidentes se estiverem
relacionadas a um ganho e/ou perda não provisionados e/ou a custos extraordinários decorrentes
deste reprocesso;
§
Auditorias regulatórias ou fiscalizações que possam resultar em multas ou sanções de natureza
jurídica, administrativa, fiscal ou regulatória são considerados incidentes se houver:
§
§
Sanções emitidas contra o Grupo BNP. Caso a penalidade for considerada improcedente, a
mesma só será definida como incidente após a execução de todos os recursos apresentados
pelo BNPP BR ou da constituição de provisão contábil para o evento;
§
Custos decorrentes do processo de defesa;
§
Solicitação de correção de processos ou carta de recomendações emitidas por reguladores.
Impactos no PnL causados pela tomada voluntária de posição em um mercado ou pelo não
pagamento por parte do cliente são eventos de risco de mercado/ crédito e apenas serão
considerados incidentes de risco operacional se:
§
O evento resultar da falha no processo de gestão do risco de mercado ou crédito. (ex.: falha
no controle de garantias, utilização de parâmetros inadequados/ desatualizados na definição
e controle de limites, etc.);
§
Eventos cuja liquidação gere um risco de mercado ou crédito (ex.: liquidação de uma
operação /transação indevidamente).
2OPC LATAM
4
Operational Risk management Policy
Política de Gerenciamento do Risco
Operacional
Status
Version
Date of the previous version
Level
Type
Validated
14
Out/2015
3
Policy
Scope of Application
Issuer
Owner Entity
Process scope
Level of Risk
Key word
Banco BNP Paribas Brasil S.A. (CIB, IP, WM
and BP2S)
2OPC
CIB
All process
medium
Risk and Controls
Author
Approver
Date of approval
Effective date
Expiry date
Ronaldo Fuzinato
Luis Pontes
January/2016
January/2016
January/2018
Group Related Procedures
Reference from Basel Committee
CG0088, CG0145 and CG0121
International capital framework- Basel II
Agreement
Resolution 2.554/98
Resolution 3.380/06
Circular 3.340/13
CVM Instruction 505/11
Regulatory reference from Brazilian Central
Bank- BACEN
Regulatory reference from Exchange
Securities Commission - CVM
1
INDEX
INDICE
1. General Considerations.............................. 3
1. Considerações Gerais…............................. 3
2. The Objetcives.............................................. 3
2. Objetivos……................................................ 3
3. Operational Risk Concept........................... 4
3. Conceito de Risco Operacional................... 4
4. Formalized Governance.............................. 5
4.1. Roles and Responsibilities.................... 5
4.2. Organization Chart- 2OPC and OPC.... 7
4. Governança……………….............................. 5
4.1. Papeis e Responsabillidades................ 5
4.2. Organograma - 2OPC e OPC…..…….. 7
5. The Methodological Framework.................... 7
5.1. Risk Identification and Assessment and
Control Plan Methodologies………..…. 8
5.2. Managing Historical Operational Risks
Incidents………………………………...12
5. Estrutura Metodológica………….................... 7
5.1. Metodologia para Identificação e
Avaliação de Riscos e Plano de
Controle………………………..……..…. 8
5.2. Gerenciamento Incidentes Históricos de
Risco Operacional……………………...12
6. Regulatory Capital: Operational Risk
Purposes........................................................15
6. Capital Regulatório: Risco
Operacional....................................................15
7. Other Elements of Governance ...................15
7.1. Internal Controls Committee.............…...15
7. Outros Elementos de Governança...............15
7.1. Comitê de Controles Internos............…...15
Appendix 1 ………………………. 17
Anexo 1 ………………………. 17
Appendix 2 …………………...…. 19
Anexo 2 …………………...…. 19
2
POLICY
1. General Considerations
TRANSLATION
1. Considerações gerais
This document consolidates the synthesis of the
definitions established by BNP Paribas Brasil S.A.
(BNPPBR), which includes CIB, BP2S, Wealth
Management and IP related to operational risk.
Este documento consolida a síntese das definições
estabelecidas pelo BNP Paribas Brasil S.A.
(BNPPBR), que inclui o CIB, BP2S, Wealth
Management e IP, relativo a risco operacional.
The issue of a local policy for operational risk
management aims to consolidate the various group
policies and regulatory requirements on the theme,
in order to facilitate its understanding and
dissemination to all employees. For a detailed
description of group rules and regulatory
requirements please refer to related procedures
listed on the cover of this normative.
A emissão de política local para gestão de riscos
operacionais objetiva consolidar as várias políticas
do grupo e as exigências regulatórias sobre o
tema, a fim facilitar sua compreensão e
disseminação a todos os colaboradores. Para uma
descrição detalhada das regras do grupo e dos
requerimentos regulatórios favor consultar os
procedimentos relacionados listados na capa deste
normativo.
BNPPBR understands that:
· Risks are dynamic and inherent of our activity,
and may have the following disposal
alternatives: assumed, treated or disposed
according to the risk level tolerance.
· Treat the risks adequately demonstrates the
commitment to best corporate governance
practices.
· It is essential that there is a comprehensive
cultural approach involving all employees
disseminating that risks must be investigated,
monitored, mitigated and monitored.
· The organization need to implement process
and incentive policies in order to facilitate the
commitment and the achievement of results,
including insert the risk theme in the budget
process
BNPPBR entende que:
· Os riscos são dinâmicos e inerentes de nossa
atividade, e podem ter as seguintes alternativas
de
destinação:
assumidos,
tratados
ou
transferidos de acordo com o nível de tolerância
ao risco.
· Tratar adequadamente os riscos demonstra o
comprometimento com as melhores práticas de
governança corporativa.
· É essencial que haja uma abordagem cultural
abrangente envolvendo todos os colaboradores,
disseminando que os riscos devem ser
investigados,
controlados,
mitigados
e
monitorados.
· A organização deve implementar processos e
políticas de incentivo a fim facilitar o
comprometimento
e
o
atingimento
dos
resultados, incluindo a inserção do tema de risco
no processo orçamentário.
2.
2. Objetivos
The Objectives
The objectives targeted by the operational risk
management policy are:
· To mobilize everyone within the company with
regard to risks control actions
· To reduce the probability of the occurrence of
operational risk events that could threaten
· To protect the reputation of the BNP Paribas
group,
· To reinforce the confidence that it enjoys from
customers, shareholders and employees
· To reinforce the quality of the services and
Os objetivos visados pela política de gestão de
riscos operacional são:
· Mobilizar todos dentro da empresa no que diz
respeito às ações de controle dos riscos
· Reduzir a probabilidade da ocorrência dos
eventos do risco operacional que podem
ameaçar
· Proteger a reputação do grupo de BNP Paribas
· Reforçar a confiança apreciada por clientes,
acionistas e colaboradores
· Reforçar a qualidade dos serviços e dos produtos
3
products that it markets
· To mitigate threats that could hamper the
profitability of its business activities
· To seek the efficiency of the processes that it
manages.
· To establish a consistent system throughout the
group, with an adequate level of formalization
and traceability, and that will serve to provide
the management, the deliberating body and the
regulators with reasonable assurance of the risk
control.
· To provide a good balance between the
accepted risks and the cost of the operational
risk management system
·
·
·
·
colocados no mercado
Mitigar as ameaças que poderiam impedir a
rentabilidade de suas atividades de negócios
Buscar a eficiência dos processos que
administram.
Estabelecer um sistema consistente por toda
parte do Grupo, com um nível adequado de
formalização e de rastreabilidade, e que servirá
para oferecer à gestão, ao corpo deliberativo e
aos reguladores a garantia razoável de controle
do risco.
Prover um bom equilibrio entre os riscos aceitos
e o custo do sistema de gestão de riscos
operacionais
3. Operational Risk Concept
3. Conceito de Risco Operacional
Operational risk is defined as the risk resulting
from the inadequacy or failure of internal
processes, or from external events, that has led,
could led or could have led in a loss, a gain or an
opportunity cost.
This risk must be managed, in the sense that it
must be contained within acceptable limits by
means of avoidance, reduction or transfer actions.
This definition applies to the internal processes of
all Business lines and of their support functions.
O risco operacional é definido como o risco
resultante da insuficiência ou da falha de
processos internos, ou de eventos externos, que
conduziram, podem conduzir ou poderiam ter
conduzido a uma perda, a um ganho ou a um custo
de oportunidade.
Esse risco deve ser administrado, no sentido que
deve ser contido dentro dos limites aceitáveis por
meio de evitar, de redução ou ações de
transferência. Essa definição se aplica aos
processos internos de todas as linhas de negócio e
de suas funções de apoio.
The external events mentioned in this definition
include those of human or natural origin. External
events include neither the defaults of borrowers or
counterparties, apart if coming from a fraud of the
borrower or the counterpart, which are events that
relate to credit risk, nor variations of the financial
markets, which are events linked to market and
liquidity risks.
Losses attributed to credit risk and market risks are
not included in the operational risks, nor are
consequences affecting the reputation. However,
the definition of an incident includes events that
result from a failure or inadequacy of the
management processes for credit or market risks,
as well as events of human or natural origin that
would have finanacial consequences.
As the definition of operational risk, there are
plenty of situations that can be characterized as an
operational risk event. Thus, for a better
management of these events BNP Paribas typifies
Os eventos externos mencionados nessa definição
incluem aqueles de origem humana ou natural. Os
eventos externos excluem a inadimplência de
devedores ou de contrapartes, exceto se advindo
de fraude do devedor ou da contraparte, os quais
são eventos relacionados ao risco de crédito, nem
variações do mercado financeiro, que são eventos
vinculados aos riscos de liquidez e de mercado.
As perdas atribuídas ao risco de crédito e aos
riscos de mercado não são incluídos nos riscos
operacionais, nem são conseqüências que afetam
a reputação. Contudo, a definição de um incidente
inclui os eventos que resultam da falha ou
insuficiência dos processos de gestão dos riscos
de crédito ou de mercado, bem como os eventos
de origem humana ou natural que podem ter
conseqüências financeiras.
Como definição de risco operacional, há uma
abundância de situações que podem ser
caracterizadas como um evento de risco
operacional. Assim, para uma melhor gestão
4
them as follows (basically the level 1 Basel type):
Internal fraud
External fraud
HR practices and safety in the workplace
Failure
with
customers,
products
and
commercial practices
· Assets damage
· IT failure
· Failure on execution, delivery and management
of activities.
desses eventos o BNP Paribas as tipifica:
· Fraude interna
· Fraude externa
· Demandas trabalhistas e segurança do local de
trabalho
· Práticas inadequadas relativas a clientes,
produtos e serviços
· Danos a ativos físicos
· Falhas em sistemas de TI
· Falhas na execução, cumprimento de prazos e
gerenciamento das atividades
4. Formalized Governance
4. Governança
4.1. Roles and Responsibilities
4.1.Papéis e Responsabilidades
First Line of Defense
Controlling and managing risks is first and
foremost the responsibility of the staff, each for the
processes for which s/he is responsible. The staff,
and first and foremost the entity managers, must
therefore adopt the permanent control framework
that best suits their environment and the profile of
their risks. In particular, this first level control
framework must:
· Identify and assess the risks facing them as a
result of the activities for which they are
accountable keeping the risk mappings and
control plans updated. Any changes in these
documents must be aligned with 2OPC
(Oversight of Operational Permanent Control).
· Execute the tests defined in specific control
plans and report the controls results in to the
global tools (PCR tool, Mercator, etc.) and to
2OPC.
· Define key risk indicators (KRI) for main
activities and report in quarterly bases the
results to management and to 2OPC. The key
risks indicators must be aligned with 2OPC.
· Manage all internal normatives issued keeping
then update.
· Coordinate the report and analyses for
operational risks incidents.
Primeira linha de defesa
Controlar e gerenciar riscos é a primeira e principal
responsabilidade dos funcionários, cada qual para
os processos para os quais é responsável. Os
funcionários, e principalmente os gerentes da
entidade, devem conseqüentemente adotar a
estrutura de controle permanente que melhor se
adapte ao ambiente e ao perfil de seus riscos. Em
particular, esse primeiro nível da estrutura do
controle deve:
· Identificar e avaliar os riscos enfrentados como
conseqüência das atividades pelas quais são
responsávéis, mantendo os mapeamentos do
risco e os planos de controle atualizados. Todas
as mudanças nesses documentos devem ser
alinhadas com 2OPC (Supervisão do Controle
Permanente Operacional).
· Executar os testes definidos nos planos de
controle específicos e reportar os resultados dos
controles nas ferramentas globais (PCR,
Mercator, etc.) e para 2OPC.
· Definir os indicadores chaves do risco (KRI) para
atividades relevantes e reportar em bases
trimestrais os resultados à gestão e a 2OPC. Os
indicadores chave de risco devem ser alinhados
com o 2OPC.
· Administrar todos os normativos internos
emitidos mantendo-os atualizados.
· Coordenar o reporte e as análises dos incidentes
de risco operacional.
Within this framework, the management must,
each on his or her level, implement a specific
Operational Permanent Control framework known
as “OPC”, which will be in charge of the
operational permanent control, as well as of the
identification, measurement and management of
Dentro dessa estrutura, a gestão deve, cada qual
em seu nível, implementar uma estrutura
específica de Controle Permanente Operacional
conhecida como o “OPC”, que será responsável
pelo controle permanente operacional, assim como
pela identificação, mensuração e gestão dos riscos
·
·
·
·
5
operational risks.
operacionais.
Employees referred to as OPCs have therefore to
be identified in each of the business areas in order
to carry out the tasks. Based on the size and
complexity of the process/ business, these
employees perform their task on a full-time basis,
possibly even as part of a team, or only part-time in
the capacity of correspondents. The Appendix 2
contains the list of territories and areas eligible to
have OPC function.
Colaboradores indicados como OPCs tem portanto
que serem identificados em cada uma das áreas
de negócio a fim realizar as tarefas. Baseado no
tamanho e na complexidade dos processos /
negócios, esses colaboradores performam suas
atividades em base de tempo integral,
possivelmente mesmo como parte de uma equipe,
ou somente parte do tempo na qualidade de
correspondentes. O apêndice 2 contem a lista de
territórios e de áreas elegíveis para ter a função de
OPC.
Todas essas tarefas devem ser alinhadas com os
requerimentos de 2OPC, especialmente o
processo da avaliação de risco que deve ser
centralizado
All these tasks must be aligned with 2OPC
requirements, specially the risk assessment
process that must be centralized by 2OPC team.
Second Line of Defense
Segunda linha de defesa
A second line of defense consisting of independent
permanent control functions, and in particular
2OPC teams in charge of defining the general
framework for the operational risk management
system and for providing a second look with regard
to how these operational risks are identified,
assessed and managed by the first line of defense.
Uma segunda linha de defesa consiste das
funções independentes de controle permanente, e
em particular as equipes 2OPC responsáveis por
definir a estrutura geral para o sistema de gestão
de riscos operacionais e para fornecer um
segundo olhar no que diz respeito a como esses
riscos operacionais são identificados, avaliados e
administrados pela primeira linha de defesa.
While operational risk management is everyone’s
responsibilities, the promotion of a culture and of
methodologies in this area is part of the second
line of defense (2OPC) objectives.
Enquanto a gestão de riscos operacional é
responsabilidade de todos, a promoção de uma
cultura e de metodologias nessa área é parte dos
objetivos da segunda linha de defesa (2OPC).
The 2OPC will monitor the progress of all risk
mitigation actions that would result from the
recommendations coming from internal and
external audits and regulators reviews or from
observations resulting from the permanent control
framework.
O 2OPC monitorará o progresso de todas as
ações de mitigação do risco que resultaram das
recomendações de auditoria interna, externa e de
reguladores ou das observações resultantes da
estrutura de controle permanente.
The conclusions and main observations from this
oversight process should be reported to Internal
Control Committee (ICC). To see more details
about ICC please refer to the chapter “Other
Elements of Governance” in this policy.
As conclusões e as observações principais desse
processo de supervisão devem ser relatadas ao
Comitê de Controles Internos (CCI). Para ver mais
detalhes sobre CCI favor consultar o capítulo
“Outros Elementos de Governança” nesta política.
For a detailed description of 2OPC and OPC
function and responsibilities please refer to
procedure
CG0088
Permanent
Control
Operational
Risk
Measurement
and
Management
2
OPC
Missions
and
Responsibilities. Also Appendix 1 contains the
mission letter for 2OPC function.
Para uma descrição detalhada da função e
responsabilidades de 2OPC e OPC favor
consultar o procedimento CG0088 Mensuração
e Administração do Risco Operacional e
Controle
Permanente
2OPC
Missão
e
Responsabilidades. Igualmente o apêndice 1
contem a carta de missão para a função 2OPC.
6
4.2. Organization
Functions
Chart-
2OPC
and
OPC
CG- 2 OPC
Jean- Marie Savin
Global Head
4.2. Organograma - 2OPC e OPC
CG- 2 OPC
Jean- Marie Savin
COMPLIANCE & CONTROL
Global Head
Luís Carlos Pontes
Director
2OPC LATAM
2OPC LATAM
Ronaldo Fuzinato
Manager
Manager
2OPC Brazil
OPCs LATAM
Luís Carlos Pontes
Director
Ronaldo Fuzinato
OPCs RESOURCES
COMPLIANCE & CONTROL
TBD
OPCs RESOURCES
2OPC Brazil
OPCs LATAM
TBD
Supervisor
Supervisor
Victória Criscuolo
Victória Criscuolo
Intern
Intern
Appendix 2 contains the list of areas eligible to
have OPC function
Anexo 2 contém a lista de áreas elegíveis para ter
a função OPC
5. The Methodological Framework
5. Estrutura Metodológica
The effort to identify and assess risks is at the
heart of the permanent operational control
approach; it is a dynamic process that justifies the
implemented system for mitigating risk while also
feeding on the information provided by this same
system.
O esforço para identificar e avaliar riscos está no
centro da abordagem do controle operacional
permanente; isso é um processo dinâmico que
justifica o sistema implementado para mitigação do
risco enquanto também alimenta a informação
provida por esse mesmo sistema.
The exercise to identify and assess risks is carried
out under the responsibility of the management of
the entities/business/functions, which are required
to know about, formalize their risks, and in the end,
to manage them. The analysis is carried out along
the axis of managerial accountability, but must
involve the entities/business impacted by any
materialization of risk.
O exercício para identificar e avaliar riscos é
realizado sob a responsabilidade da gerencia das
entidades/negócio/funções,
as
quais
são
requeridas a conhecer sobre eles, formalizar seus
riscos, e em fim administrá-los. A análise é
realizada ao longo do eixo central da
responsabilidade administrativa, porém deve
envolver as entidades/negócios impactados por
qualquer materialização do risco.
This process is driven by 2OPC function in order
to established standard method to assess and
control risks, that contemplates the main risks
established by group function (major scenarios )
and specific risk defined by the local entity.
Este processo é conduzido pela função 2OPC a
fim de estabelecer um método padrão para
avaliação e controle dos riscos, o qual contempla
os principais riscos estabelecidos pela função
Grupo (cenários principais) e pelo risco específico
definido pela entidade local.
7
Operational risks must be:
· Identified, assessed and, in many cases,
quantified.
Os riscos operacionais devem ser:
· Identificados, avaliados e, em muitos casos,
quantificados.
·
Managed within a formalized framework based
on procedures, organizational principles that
begin with the segregation of functions, and
verifications (four eyes) before or after the fact,
whether automated or not.
· Controlados dentro de uma estrutura formalizada
baseada em procedimentos, em princípios
organizacionais que começam com a segregação
das funções, e nas verificações (quatro olhos)
antes ou depois do fato, seja automatizado ou
não.
·
Communicated to the various management
levels in order for the latter to be able to define
the necessary actions in compliance with the
risk tolerance, while monitoring their proper
implementation.
· Comunicados aos vários níveis da administração
para que os superiores possam definir as ações
necessárias em conformidade com a tolerância
ao risco, enquanto monitoraram a apropriada
implementação.
5.1. Risk Identification and Assessment and
Control Plan Methodologies
5.1. Metodologia de Identificação e Avaliação
dos Riscos e do Plano do Controle
5.1.1. Risk and Control Mapping
5.1.1. Mapeamento de Riscos e Controles
The effort to identify and assess risks is the central
point of the approach of permanent control. In this
sense, the methodology adopted for the mapping
of operational risks using as reference norms
defined by BNPP Group and the methodological
standards set internationally.
O esforço para identificar e avaliar riscos é o ponto
central da abordagem do controle permanente.
Nesse sentido, a metodologia adotada para o
mapeamento de riscos operacionais utiliza como
referência as normas definidas pelo grupo BNPP e
os padrões metodológicos internacionais.
The mapping of operational risks is mainly to
understand the functioning of core processes
performed by the areas of the business, as well as
the activities and consequent sub-activities that
compose them, with subsequent selection of those
processes / activities that may contain risks, these
should be properly measured.
O mapeamento de riscos operacionais é
principalmente compreender o funcionamento dos
processos relevantes executados pelas áreas de
negócio, assim como as atividades e as
conseqüentes sub-atividades que as compõem,
com subseqüente seleção daqueles processos /
atividades que podem conter riscos, devendo
esses ser apropriadamente mensurados.
Each area is responsible for the processes that
plays and therefore competes with it to provide the
Cada área é responsável pelos processos que
trata e portanto compete a ela fornecer o nível
8
appropriate level and relevant information required
for the identification and assessment of operational
risks.
apropriado e a informação relevante requerida
para a identificação e a avaliação de riscos
operacionais.
During the risk assessment process each area
should take into account information / indicators
that can influence the degree of risk, such as:
Durante o processo da avaliação de risco cada
área
deve
levar
em
consideração
a
informação/indicadores que podem influenciar o
grau de risco, como:
· Historical Incidents
· Audit recommendations (internal, external and
regulatory)
· Metrics available, especially from the control
plan (KRIs- key risks indicators)
· Incidentes históricos
· Recomendações de auditoria (interna, externa e
de regulador)
· Métricas disponíveis, especialmente do plano do
controle (KRIs- indicadores chave de riscos)
The identified risks should be measured / scaled
from assessment of impact, which considers the
probability matrix (frequency) and consequence
(severity). The first exercise should consider the
risk to come to materialize without considering the
existence of mitigating controls – gross risk and the
second exercise should consider the controls effect
and other mitigators- residual risk.
Os riscos identificados devem ser mensurados /
escalados a partir da avaliação de impacto,
a
matriz
de
probabilidade
considerando
(freqüência) e consequencia (severidade). O
primeiro
exercício
deve
considerar
a
materialização do risco sem considerar a
existência de controles mitigadores - risco bruto e
o segundo exercício deve considerar o efeito dos
controles e outros mitigadores - risco residual.
The 2OPC function acts as manager and facilitator
of this process, supporting the areas with
information about risks inherent in the processes
and controls in order to prevent significant items
not properly discussed and evaluated and assure
that the requirements from Group Policy and
Regulators are properly applied.
A função 2OPC atua como gestor e facilitador
desse processo, apoiando as áreas com
informação sobre os riscos inerentes aos
processos e controles, visando evitar que itens
significativos não sejam discutidos e avaliados
apropriadamente e assegurar que as exigências
da Política do grupo e dos reguladores estejam
aplicadas corretamente.
OPC function is responsible to coordinate and/or
facilitate the process according to 2OPC
definitions. The risk assessment should be
updated every two years by OPC functions under
their scope process, unless a significant event (e.g.
set up of a new activity, relevant incidents, high
level of turnover, etc.) occurs in between two
assessments, that would require an immediate
update. In absence of OPC function 2OPC will be
responsible do update the risk mappings.
A função OPC é responsável por coordenar e/ou
facilitar o processo de acordo com as definições
de 2OPC. A avaliação dos riscos deve ser
atualizada a cada dois anos pelo OPC das funções
sob seu processo de escopo, a menos que um
evento significativo (por exemplo estabelecido de
uma atividade nova, incidentes relevantes, nível
elevado de rotatividade, etc.) ocorrerem entre duas
avaliações, que exigiriam uma atualização
imediata. Na ausência da função OPC, 2OPC será
responsável por atualizar os mapeamentos de
riscos.
9
5.1.2. Risk Evaluation
5.1.2. Avaliação dos Riscos
Underlyning Risk Matrix
Matrix de Risco Inerente (Bruto)
Parameters to determine frequency
Parâmteros para definição de frequência
Very low
Low
Medium
High
1
2
3
4
Frequency
Once in 2 years
(or less)
Once in 1 year
Once during the quarter
Once per month
Impact
Less than or equal to
BRL 5.000
Greater than BRL 5.000
and smaller or equal
to BRL 20.000
Greater than BRL 20.000
and smaller or equal
to BRL 100.000
Greater than
BRL 100.000
Parameters to determine Impact
Parâmteros para definição de Impacto:
Residual Risk Analyses:
Análise Risco Residual:
A residual risk must be a risk assessment that
considers the various steps of the analysis:
underlying risk, quality of the actual permanent
control system, risk indicators. It is subject of a
rating based upon two criteria: the level of
underlying risk and the level of risk control.
Um risco residual deve ser fruto de uma
avaliação de risco que considera as várias
etapas da análise: risco bruto, a qualidade
do sistema atual de controle permanente e
indicadores de risco. Sua classificação é
efetuada com base em dois critérios: o grau
de risco bruto e o nível de controle de risco.
Level of Risk
Control: KRI /KSP
Level of Risk
Control: KRI /KSP
The level of risk control is determined from the
quality of the actual permanent control system and O nível de controle de risco é determinado a
the synthesis on dynamic risk indicators, using to partir da qualidade do sistema de controle
the following grid:
permanente e a síntese de indicadores de
risco dinâmico, usando com a seguinte
matriz:
Underlying Risk
Underlying Risk
10
5.1.3. Control Plan (KSP and KRI)
5.1.3. Plano de Controle (KSP e KRI)
The objective of a control is to prevent a risk or to
limit its impact through early detection. A control is
necessarily linked to a risk, irrespective of its
nature.
In practical terms, the set-up of a control results
from an analysis of the risks facing the entity. The
control must be proportionate with the risk in
question, and with the entity’s defined risk
tolerance. The greater the risk, the stronger the
control must be (number and level of participants,
frequency, selectiveness, etc.)
O objetivo de um controle é impedir um risco ou
limitar seu impacto com a detecção antecipada.
Um controle está necessariamente vinculado a um
risco, independentemente de sua natureza.
Em termos práticos, a implantação de um controle
resulta de uma análise dos riscos que ameaçam a
entidade. O controle deve ser proporcional ao risco
em questão, e com a tolerância ao risco definida
pela entidade. Quanto maior o risco, mais robusto
deve ser o controle (quantidade e nível de
participantes, freqüência, seletividade, etc.)
If the risk in an activity or process is assessed as
low and acceptable, then the control may be
limited to a self-control carried out by the person
performing the activity or process. The more the
risk is considered significant, the more additional
controls over and above a simple self-control must
be implemented while involving other people, the
hierarchy or dedicated teams (1st level controls)
and/or independent permanent control functions
(2nd level controls).
Se o risco em uma atividade ou processo é
avaliado como baixo e aceitável, então o controle
pode ser limitado a um auto-controle performado
pela pessoa que executa a atividade ou o
processo. Quanto mais o risco é considerado
significativo, mais controles adicionais acima e
além do simples auto-controle devem ser
executados envolvendo outras pessoas, a
hierarquia ou equipes dedicadas (controles de 1º
nível) e/ou funções independentes de controle
permanente (controles de 2º nível).
Each risk mapping generates a control plan, which
formalizes the controls that should be monitored,
the tests that will be applied, evidence that should
be kept and provided at request, those responsible
for running the tests and key indicators (KSP). The
controls that supports key risks must be prioritized
under this scope, which means those gross risks
classified as high risks.
Cada mapeamento de risco gera um plano de
controle, o qual formaliza os controles que devem
ser monitorados, os testes a serem aplicados, a
evidência a ser mantida e fornecida quando
requerida, os responsáveis pela execução dos
testes e os indicadores chaves (KSP) . Os
controles que suportam riscos chaves devem ser a
priorizados sob esse escopo, o que significa
aqueles riscos brutos classificados como risco alto.
During the control plan implementation phase all
areas must consider the Generic Control Plans
defined (if is available).
Durante a fase de aplicação do plano de controle
todas as áreas devem considerar os planos de
controle genéricos definidos (caso disponível)
The results of controls plans should be also
formalized and managed by OPC functions or in
their absence by 2OPC function. Also these
results and key indicators (KRI) defined must be
report to 2OPC function and the management
involved with the process/controls monitored and
evidences must be available for audit process and
2OPC review process under residual risk matrix.
Os resultados dos planos de controles devem ser
igualmente formalizados e controlados pela função
OPC ou em sua ausência pela função 2OPC. Da
mesma forma esses resultados e indicadores
chaves (KRI) definidos devem ser reportados à
função 2OPC e ao gestor envolvido com o
processo/controle monitorado e as evidências
devem estar disponíveis para o processo de
auditoria e o processo de revisão de 2OPC sobre
as matrizes de risco residual.
11
5.2. Managing
Incidents
Historical
Operational
Risks
5.2. Administrando Incidentes Históricos de
Risco Operacional
A historical operational risk incident is “an actual
event arising from the inadequacy or failure of
internal processes, or from external events, which
has led, may lead or could have led to a loss, gain
or opportunity cost.”
Um incidente histórico de risco operacional é “um
evento real que se origina da insuficiência ou falha
de processos internos, ou de eventos externos,
que conduziram, podem conduzir ou poderiam ter
conduzido a uma perda, a um ganho ou a um
custo de oportunidade.”
It is the duty of any employee of the BNP Paribas
group to report an operational risk incident, to his
superior or to any person who has been appointed
for this purpose.
É dever de todo colaborador do grupo de BNP
Paribas reportar qualquer incidente de risco
operacional, ao seu superior ou a qualquer outra
pessoa indicada para essa finalidade.
5.2.1. Collection of data
5.2.1. Coletânea de dados
The information related to operational risk events
follow a formal record from the electronic
documentation by originators (the person who
identified the incident), providing a historical
database that allows the evaluation of incidents
and the control´s efficiency. Basically there are two
data bases for operational risks incidents:
A informação relacionada aos eventos de risco
operacional segue um registro formal a partir da
documentação
eletrônica
por
parte
dos
originadores (pessoa que identificou o incidente),
fornecendo uma base de dados histórica que
permite a avaliação dos incidentes e da eficiência
dos controles. Basicamente há duas bases de
dados para incidentes de riscos operacionais:
·
Local data base- System “Relatório de
Ocorrências” designed to record incidents of
any kind of nature. The originator needs to
register the incident description, amounts
involve (gains or losses) and the criticality. All
BNP employees have access to this system,
but only 2OPC has the system authority to
manage the database.
·
A base de dados local - sistema “Relatório de
Ocorrências” foi desenhada para documentar
incidentes de qualquer tipo da natureza. O
originador deve registrar a descrição do
incidente, os montantes envolvidos (ganhos ou
perdas) e a criticidade. Todos os colaboradores
do BNPP têm acesso a esse sistema, mas
somente 2OPC tem a autoridade no sistema
para administrar a base de dados.
·
Global data base- System “FORECAST”,
consists of the institutional system of the BNPP
Group to reporting incidents eligible for Basel
purposes. By definition, the reference value
adopted locally to register incidents is bigger
than € 7.000, but fraud or regulatory breach
event which should be reported from 0€. The
access to this system is limited to OPC and
2OPC functions.
·
A base de dados global – Sistema
“FORECAST”, consiste no sistema institucional
do grupo BNPP para reporte dos incidentes
elegíveis para as finalidades da Basileia. Por
definição, o valor de referência adotado
localmente para o registro incidentes é acima
de 7,000 Euros, porém, eventos de fraude ou
de violação regulatória devem ser relatados a
partir de 0 (zero) Euro. O acesso a esse
sistema é limitado às funções OPC e 2OPC.
For both systems there is a monthly process
with Finance (account) to check the integrity of
the events registered against official numbers.
Para ambos os sistemas há um processo mensal
junto com a área de Finanças (contábil) para
verificar a integridade dos eventos registrados
versus os números oficiais.
12
5.2.2. Deadlines for registration:
5.2.2. Prazo para o registro:
·
For any fraud event: as soon as it is detected
and at latest within three days.
· Para qualquer evento de fraude: assim que for
detectado e no prazo máximo de três dias.
·
For any other case: at latest within 10 days of
its detection, even if the financial impact is
unknown.
· Para qualquer outro caso: no prazo máximo de
10 dias de sua descoberta, mesmo se o impacto
financeiro é desconhecido.
5.2.3. Register of financial impacts
5.2.3. Registro dos impactos financeiros
Operational incidents that involve financial
losses/gains must be registered in accounting
records. Therefore all entries in the accounting
records regarding operational losses/gains must
be associated with an event recorded into data
bases of historical operational incidents.
Os incidentes operacionais que envolvem perdas /
ganhos financeiros devem ser contabilizados.
Conseqüentemente todas as entradas de registros
contábeis relativos às perdas/ganhos operacionais
devem estar associadas com um evento registrado
na base de dados histórica de incidentes
operacionais.
In order to ensure the quality of these registers a
monthly cross checking process will be execute
comparing the accounts register for losses/gains
against the data bases of historical operational
incidents. The results from this reconciliation
process will be present during the monthly meeting
that discusses incidents.
A fim assegurar a qualidade desses registros um
processo mensal de verificação transversal será
executado comparando o registro das contas de
perdas/ganhos versus as bases de dados de
incidentes operacionais históricos. Os resultados
desse
processo
de
reconciliação
serão
apresentados durante a reunião mensal de
discussão de incidentes.
Should be performed every six months the review
of accounts list used to register operational
incidents losses/gains. This review is responsibility
of 2OPC function and Finance.
To register an operational risk incident in
FORECAST system need to be defined one or
more profit centre(s), irrespective of the chain of
responsibility for the incident’s occurrence. As
such, an incident resulting in the liability of a
function may be financially allocated to the profit
centres that benefited from the related earnings or
services rendered. When the number of
beneficiaries becomes too high or an allocation
key is too complex to put together, the allocation
will be carried out according to the distribution keys
of this function’s expenses, established as part of
the Finance processes.
Deve ser executada semestralmente a revisão da
lista
de contas utilizada
para registrar
perdas/ganhos operacionais dos incidentes. Esta
revisão é responsabilidade da função 2OPC e
Finanças
Para registrar um incidente de risco operacional no
Sistema FORECAST deve ser definido um ou mais
centros de resultado, independentemente da
cadeia de responsabilidade pela ocorrência do
incidente. Como tal, um incidente resulta no
compromisso financeiro de uma função podendo
ser financeiramente alocado aos centros de
resultado que se beneficiaram dos respectivos
ganhos ou dos serviços prestados. Quando o
número de beneficiários se torna demasiado alto
ou uma chave de alocação é demasiada complexa
para ser composta, a alocação será realizada de
acordo com as chaves de distribuição das
despesas desta função, estabelecidas como parte
dos processos de Finanças.
13
5.2.4. Incidents analyses
5.2.4. Análise dos incidentes
To present the analysis of incidents there is a
monthly meeting with key managers, including
representatives from support domains, compliance
& control and the COO. The agenda includes
discussion under the causes, impacts and actions
plans for all incidents where it is applicable.
Para apresentar a análise dos incidentes existe
uma reunião mensal com os principais gerentes,
incluindo representantes das áreas de suporte,
Compliance & Control e o COO. A agenda inclui a
discussão das causas, impactos e definição de
planos de ação para todos os incidentes quando
aplicável.
The basic material that supports the meeting is
prepared by OPC ITO and 2OPC that also includes
the reconciliation of the losses and detailed
understanding about the occurrences.
It is very important to understand during the
process analyses the following three aspects:
·
·
·
Event: An analysis of the evolution of
recognised and potential events facilitates the
operational risk management insofar as it
provides information that will make it possible
to anticipate incidents or to define warning
signs that are indicative of an insufficient or
faulty process. Such information can result
from an observation of external events, from an
assessment of internal processes or an
analysis of potential events. The operational
risk analysis will focus on events.
Cause: By understanding and managing the
causes of recognised and potential events, it is
possible to decrease the frequency of their
occurrence and the severity of their impacts
when they do occur, or to prevent them from
happening again. The managers must
determine where the causes of these events
are located within their key processes such as
to deal with them by taking appropriate
corrective measures.
Effect: The effect of recognised or potential
events is generally felt in a financial impact on
the Group’s earnings or shareholders equity.
One of the objectives of the operational risk
management process is to reduce the effects of
adverse events. In the absence of
management, the severity of the incident’s final
loss may be greater.
O material básico que apoia a reunião é preparado
por OPC ITO e 2OPC que também inclui a
reconciliação das perdas e compreensão
detalhada sobre as ocorrências.
É muito importante compreender, durante
processo de análise, os seguintes três aspectos:
·
Evento: Uma análise da evolução dos eventos
reconhecidos e potenciais facilita a gestão de
risco operacional tanto que fornece a
informação que tornará possível antecipar
incidentes ou definir os sinais de alerta que são
indicativos de um processo insuficiente ou
falho. Tal informação pode resultar de uma
observação de eventos externos, de uma
avaliação de processos internos ou de uma
análise de eventos potenciais. A análise de
risco operacional será focada sobre eventos.
·
Causa: Compreendendo e controlando as
causas de eventos reconhecidos e potenciais,
é possível diminuir a freqüência de sua
ocorrência e a severidade de seus impactos
quando ocorrerem, ou impedir que aconteçam
outra vez. Os gerentes devem determinar onde
as causas desses eventos estão localizadas
dentro de seus processos chaves assim como
tratá-las, tomando as medidas corretivas
apropriadas.
·
Efeito: O efeito de eventos reconhecidos ou
potenciais é geralmente sentido em um
impacto financeiro na rentabilidade do Grupo
ou no capital dos acionistas. Um dos objetivos
do processo de gestão dos riscos operacionais
é reduzir os efeitos de eventos adversos. Na
ausência de gestão, a severidade da perda
final do incidente pode ser maior.
14
6. Regulatory
Purposes
Capital
–
Operational
Risk
As a measure to protect the solvency of financial
institutions and stakeholders in their business, the
Basel II Agreement establishes the need for
institutions to allocate a portion of their capital to
cover
any
operating
losses.
6. Capital Regulatório para Risco Operacional
Como medida para proteger a solvabilidade das
instituições financeiras e as partes envolvidas em
seus negócios, o acordo da Basiléia II estabelece a
necessidade das Instituições alocarem uma
parcela de seu capital com vistas à fazer frente à
eventuais prejuízos operacionais.
The BNPPBR defined to use the methodology of
basic approach (BIA - Basic Indicator Approach)
for allocation of regulatory capital for operational
risk purposes, considering that it is most
appropriate according to the nature and complexity
of products, services and activities of the Bank, as
well as due to the current Latin America scenario.
O BNPP BR optou por utilizar a metodologia de
abordagem básica (BIA – Basic Indicator
Approach) para a alocação de capital regulatório
para fins de riscos operacionais, por considerar
que a mesma é a mais apropriada de acordo com
a natureza e a complexidade dos produtos,
serviços e atividades do Banco, bem como em
função do atual cenário da América Latina.
The operationalization of the calculation of capital
allocation by BIA methods and analysis /
assessments for senior management, including the
report is provided by the Finance area, since all the
calculation, according to the rules of the Brazilian
Central Bank, is based on Financial Institutions
standard
accounts
(COSIF).
A operacionalização do cálculo de alocação de
capital pelo método BIA, e análises/avaliações
para a Alta Administração do BNPP, incluindo os
demonstrativos é providenciada pela área de
Finanças, uma vez que todo o cálculo, de acordo
com as normas do Banco Central do Brasil, é
baseado nas contas do Plano Contábil – COSIF.
It is a permanent objective of the BNPPBR.
continuous achieves standards improvement of the
quality of risk management and that enable future
migration to more sophisticated methodologies that
allow smaller portion allocate capital.
É objetivo permanente do BNPP BR o
aprimoramento contínuo da qualidade na gestão
de riscos e atingir padrões que possibilitem a
migração
futura
para
metodologias
mais
sofisticadas que permitam alocar parcela menor de
capital.
7. Other Elements of Governance
7.Outros elementos de Governança
7.1. Internal Controls Committee
7.1.Comitê de Controles Internos
The Internal Control Committee, non-statutory body
of a permanent nature, is to advise senior
management on the performance of its duties
related to the adoption of strategies, policies and
measures aimed at disssimating the culture of
internal controls and mitigate risks aligned with
BNPP standards, regulatory authorities and with
good banking and business practices.
O Comitê de Controles Internos, órgão não
estatutário de caráter permanente, tem por objetivo
assessorar a Alta Administração no desempenho
de suas atribuições relacionadas à adoção de
estratégias, políticas e medidas voltadas à difusão
da cultura de controles internos e mitigação de
riscos em linha com as normas aplicáveis ao
BNPP, Autoridades Reguladoras e com as boas
práticas bancárias e empresariais.
The Committee aims to:
O Comitê tem por objetivo:
• Evaluate the effectiveness of internal controls and
the process of managing operational risks of the
Bank;
• Discuss and analyze with the responsible
directors, policies, procedures and systems of
·
·
Avaliar a efetividade dos controles internos e o
processo de gerenciamento de riscos
operacionais do Banco;
Debater e analisar com as diretorias
responsáveis, políticas, procedimentos e
15
measurement and management of operational
risks;
• Ensure that the Board develop and implement
reliable internal controls; and
• Recommend to senior management the
correction or improvement of practices and
procedures, when such a need is identified within
the remit of this Committee.
The Internal Control Committee will meet every two
months, interspersed with the Compliance
Committee, with a quorum of three members.
For more details, access the Regiment of
Internal Controls Committee.
·
·
sistemas de mensuração e gestão de riscos
operacionais;
Zelar para que a Diretoria desenvolva e
implemente controles internos confiáveis; e
Recomendar a alta Administração a correção
ou
aprimoramento
de
práticas
e
procedimentos, quando tal necessidade for
identificada no âmbito das atribuições deste
Comitê.
O Comitê de Controles Internos se reunirá a cada
dois meses, intercalados com o Comitê de
Compliance, com um quórum mínimo de três
membros efetivos.
Para maiores detalhes acessar o Regimento do
Comitê de Controles Internos.
16
Appendix 1
17
18
19
Appendix 2
List of areas eligible to have OPC function
Business:
•
Global Markets Trading Desk
•
Global Markets Sales Desk
•
ALM & Treasury Desk
•
BP2S
•
Wealth Management
•
Asset Management
Support Domain:
•
Operations: Global Markets, ALM & Treasury, Corporate Banking, Wealth
Management and Asset Management
•
Middle Office: Global Markets and Corporate Banking
•
Onboarding- Due Diligence team
•
Human Resources
•
IT
•
Security Office
•
Finance
This does not mean that each business line or support function will have an exclusive OPC.
20
Risco Reputacional
20 de Fevereiro de 2014
Status1
Versão1
Nível1
Tipo2
Validado
Escopo de Aplicação2
Emissor2
Entidade Responsável2 (Ex. Linha de Negócio,
Função)
Processos Envolvidos2
Riscos1
Criticidade1
Palavra Chave2
BNPP BR (todos os colaboradores)
2OPC
Compliance & Control
3
Política
Autor2
Aprovador1
Data de Aprovação1
Data de Entrada em Vigor1
Data de Vencimento1
Todos
Alto
Procedimento,
Princípio.
Política,
Norma,
Instrução,
Edson Okubo
Luis Pontes
Indeterminada
Procedimentos de nível superior
Procedimentos Relacionados
Normativos Regulatórios Relacionados
Nota:
1
2
Preenchimento Obrigatório. Responsável: Organização.
Preenchimento Obrigatório. Responsável: Autor.
Documento de uso restrito
Página1
1. DISPOSIÇÕES GERAIS
A Política do Grupo para Gerenciamento do Risco reputacional estabelece a estrutura e os
padrões necessários para gerenciar o risco reputacional dentro dos negócios, atividades e
entidades que, juntos, formam o Grupo BNP Paribas (BNPP ou Grupo).
2. DEFINIÇÕES
Risco Reputacional é definido como o risco da quebra de confiança depositada no BNPP pelos
clientes, fornecedores, contrapartes, acionistas, colaboradores, reguladores ou qualquer outra
pessoa para as quais confiar no BNPP é, sob qualquer circunstância, uma condição necessária
para a condução dos negócios.
Uma forte reputação é crucial para um grupo financeiro. Isso é um elemento essencial que
habilita a coletar depósitos, realizar serviços de custódia, gerenciar ativos de clientes, provendo
eles com aconselhamentos e financiamentos, e de uma forma geral, atuar como intermediário
financeiro e provedor de serviços financeiros sob as melhores condições.
Como um importante banco internacional e diversificado, o BNPP é reconhecido nos mais
elevados padrões e, deve consequentemente proteger sua imagem e reputação.
3. NORMAS
O monitoramento do risco reputacional é responsabilidade de todos os membros do BNPP e é
uma das funções principais de controles internos do Grupo. Deve ser abrangente e reunir os
mesmos padrões para todos níveis do Grupo.
O primeiro passo na minimização do risco reputacional é a conformidade com as disposições
legais e regulatórias, padrões éticos e profissionais, e com as instruções, diretrizes e
procedimentos do Grupo.
Todas as entidades do Grupo (linhas de negócio centrais, funções, linhas de negócios,
territórios e afiliadas) devem monitorar o risco que pode prejudicar a reputação da entidade
específica, bem como prejudicar a imagem do Grupo como um todo.
•
Identificação do Risco Reputacional
Em geral, o risco reputacional é um efeito secundário, embora não menos importante que a
potencial materialização do risco de crédito, do risco de mercado ou do risco operacional. Seu
impacto financeiro é contabilizado no cálculo de capital econômico e regulatório.
Há alguns casos onde o prejuízo causado à reputação não pode ser conectado de forma clara a
um desses riscos. Dessa maneira, pode haver situações de risco reputacional no qual o risco de
crédito, o risco de mercado e o risco operacional são bem monitorados e os procedimentos são
rigorosamente cumpridos, todavia prejuízos à reputação podem surgir. Como um exemplo, isso
pode ser o caso quando a legitimidade de uma decisão passada é desafiada, seguida de uma
evolução dos padrões públicos ou quando o Grupo é associado, inesperadamente, a eventos
externos.
Geralmente, a consequência mais séria de um dano à reputação é a diminuição do valor do
negócio para os acionistas durante um período significativo, maior que uma perda que poderia
ser amortizada no capital da empresa;
Documento de uso restrito
Página2
Ao contrário de muitos outros riscos que o Grupo assume e trata, em vista do lucro
proporcionado, o risco reputacional deve ser reduzido ao menor nível possível, através da
promulgação de valores morais e corporativos e pela implementação de procedimentos
apropriados.
O risco de dano à reputação deve ser identificado de um lado pelas pessoas cuja confiança é
essencial ao Grupo e por outro lado pelas situações potenciais que possam surgir
•
Pessoas cuja confiança é essencial para o Grupo.
I.
Contrapartes do grupo
As contrapartes do Grupo são:
Clientes e prospectivos
O “Mercado” e outras contrapartes financeiras
Fornecedores
Acionistas e outros provedores de financiamento de longo prazo, existentes ou
potenciais.
A perda de confiança por uma contraparte pode conduzir à “fuga” ou recusa na aquisição de
produtos ou serviços do Grupo, rejeitando em fazer um contrato com o BNPP, ou evitando que
o BNPP financie suas operações.
II. Colaboradores do Grupo
Os colaboradores são um fator importante para o sucesso do Grupo. A habilidade do Grupo em
atrair novos funcionários e estabelecer um senso de orgulho pela companhia, nos funcionários
já existentes, está diretamente relacionado ao BNPP manter uma forte reputação como uma
empresa.
III. Reguladores
A perda de confiança no Grupo ou uma entidade dentro do Grupo por um Regulador pode levar
a uma supervisão forçada e à submissão do Grupo ou uma de suas entidades à ações
corretivas, limitação de atividades ou no pior caso, ser convidado à encerrar suas operações
IV. Formadores de Reputação”
“Formadores de Reputação” são aqueles que têm o poder de iniciar, retransmitir ou aumentar a
perda de confiança no Grupo ou em uma de suas entidades. Formadores de reputação incluem
a imprensa, autoridades públicas, agências de rating, analistas, associações de consumidores e
outros grupos. Eles possuem um papel chave em construir ou prejudicar a reputação,
repercutindo para os clientes, mercados, outras contrapartes, colaboradores, acionistas e
reguladores.
•
Situações de Risco Reputacional
Qualquer atuação do Grupo que é conhecida ou pode ser conhecida por clientes e
prospectivos, pelo mercado e por contrapartes, pelos reguladores e por qualquer pessoa
mencionada no item anterior, pode potencialmente levar a um dano na reputação. O âmbito do
Documento de uso restrito
Página3
risco reputacional é muito extenso. Mais ainda, o risco reputacional é volátil, do mesmo modo
que uma situação que hoje é aceitável pode vir a ser inapropriada mais tarde ou em outros
locais ou em outras circunstâncias.
Certas situações são mais propensas a colocar a reputação do Grupo em risco. Exemplos
incluem:
•
Situações de conflitos de interesse, existente ou potencial
•
Situações que estão em jogo:
O interesse dos clientes;
Integridade de mercado
Leis e regulamentações
Regras éticas, especialmente no campo de prevenção à lavagem de dinheiro.
•
Situações relacionadas à deficiência profissional, i.e., falha na execução, baixo nível do
serviço, etc)
•
Avaliação do Risco Reputacional
Identificação e gerenciamento de situações de riscos são difíceis, mas ao mesmo tempo
essenciais. Todos os colaboradores deveriam, no mínimo, considerar que qualquer ação,
inércia, processo ou outra atividade pode ter um efeito prejudicial na reputação do Grupo ou de
uma entidade do Grupo. Se um risco é propenso a surgir, o assunto deve ser endereçado de
acordo com essa Política.
Qualquer avaliação performada no âmbito da estrutura de controle de segundo nível dever ser
feita em referência ao gride de avaliação do risco utilizado pelo Controle Permanente e pelo
Controle Periódico. No caso de controle de primeiro nível, um simples método de avaliação
pode ser mantido.
•
Gerenciando o Risco Reputacional
A estrutura para monitoramento do risco reputacional é compreendida pelos seguintes
elementos:
1. Carta dos Valores do Grupo
2. Código de conduta do Grupo
3. Carta de Controles internos
4. A presente política e qualquer documento de aplicação
•
Estrutura para Treinamento de Colaboradores
Os colaboradores do Grupo têm papel de destaque no gerenciamento do risco reputacional.
Proteger a reputação do Grupo e suas entidades é a parte principal do treinamento dos
colaboradores. Treinamento de risco reputacional deve ser fornecido pelas Linhas de Negócio
Centrais, Funções e outras entidades, Recursos Humanos e Compliance.
Esse treinamento deve abordar a identificação, controle e monitoramento do risco reputacional;
valores do Grupo; e padrões de ética e conduta. Isso vai permitir aos funcionários entender
como incorporar controles de primeiro nível dentro de suas delegações.
Documento de uso restrito
Página4
•
Comunicações Corporativas
Um dos objetivos principais das comunicações corporativas dentro do Grupo e suas entidades é
a proteção reputacional do BNPP e de suas entidades. As comunicações corporativas têm dois
alvos, funciona como uma fonte de informação para os colaboradores do BNPP e o público em
geral, aqueles cuja confiança é essencial para o Grupo.
Todas as comunicações corporativas, como regra geral, são gerenciadas pela função de
Comunicação e Publicidade do Grupo e, em alguns casos particulares, pela área de Finanças e
Desenvolvimento (acionistas, investidores, agências de rating), área de Recursos Humanos
(colaboradores) e pela Compliance (reguladores).
Comunicações corporativas no âmbito da proteção à reputação do Grupo e suas entidades são
definidas em conjunto com a área de Compliance do Grupo.
•
Dispositivos de Controle Permanente
É de responsabilidade de todos os funcionários respeitar os requerimentos de controle
permanente relacionados ao monitoramento do risco reputacional. Os representantes da
Compliance dentro das entidades do Grupo possuem uma posição central dentro dessa
estrutura para monitorar o risco reputacional
•
Risco reputacional é considerado na Estrutura de Controle Permanente Geral
A identificação e monitoramento do risco reputacional é um dos aspectos pelo qual a estrutura
de Controle Permanente é construída. Procedimentos e controles devem ser reforçados e
sujeitos a rigorosos acompanhamentos onde esse risco é alto
•
Estrutura para Registro de Incidentes
Os procedimentos de Ouvidoria são parte dessa estrutura. Incidentes
tenham levado algum dano à reputação do grupo são registrados e
funções incluindo Compliance, Comunicação e Propaganda, Auditoria,
Risco Operacional. Resultados dos controles periódicos no âmbito
também são considerados
•
que possam levar ou
analisados por várias
Recursos Humanos e
do risco reputacional
Risco reputacional é considerado no Processo de Validação para Operações não
padrões de Novos Produtos e Novas Atividades
Produtos não padrões não podem ser introduzidos ou comercializados e novas atividades não
podem ser peformadas, a menos que eles já tenham sido previamente aprovados no processo
de validação do Grupo. Como resultado, operações não padrões, novos produtos, e novas
atividades estão atualmente dentro do escopo dos procedimentos, quanto aos riscos de crédito,
mercados, operacional, seguros e compliance. No âmbito de qualquer avaliação do risco de
compliance, o risco reputacional deve ser identificado e avaliado sistematicamente, de modo
isolado e ser considerado como parte da decisão de validação.
•
Risco reputacional é considerado no Processo de aprovação das Operações Padrão
Operações padrão que envolva a assunção de risco de crédito, mercado ou operacional, entram
no escopo do processo de aprovação. O processo de tomada de decisão para tais operações
Documento de uso restrito
Página5
que envolvam assunção de riscos (i.e., a decisão de um comitê de crédito ou a decisão tomada
dentro da delegação de crédito) deve sistematicamente incluir a identificação, avaliação e
contemplação de qualquer risco reputacional.
•
Estrutura para Controle Permanente Específico
O processo de assunção de risco mencionado acima pode ser insuficiente para lidar com as
situações de risco reputacional. Como mencionado anteriormente, o risco pode ser
materializado em relação às operações previamente validadas ou aprovadas dentro desses
processos ou devido a repetição de eventos ou uma combinação de fatores externos. Nesses
casos, as linhas de negócios principais, funções e outras entidades podem convocar um Comitê
de Risco Reputacional “Ad hoc”. Membros e regras de trabalho para um Comitê de Risco
Reputacional “Ad hoc” são estabelecidos pela Compliance ou outro grupo de controle sob a
delegação do Compliance.
Caso a área de Compliance do Grupo não seja diretamente um membro do Comitê, ela é
informada das reuniões e decisões.
•
Unidades “Ad Hoc” para tratar as conseqüências dos incidentes identificados
Assim que um risco reputacional é identificado, uma unidade “ad hoc” é criada, da iniciativa de
uma das partes mencionadas a seguir. Essa unidade “ad hoc” consistirá o gerenciamento dos
negócios ou de funções, Compliance, Comunicação e Publicidade, Finanças e Desenvolvimento
e qualquer outra parte envolvida.
4. PROCEDIMENTOS E RESPONSABILIDADES
4.1. Responsabilidades Area de Compliance do BNPP Brasil
De acordo com as disposições definidas nesta política, cabe à área de Compliance do BNPP
Brasil, na identificação ou conhecimento de alguma situação de Risco Reputacional, as
seguintes responsabilidades:
•
Recepcionar em documento específico, a situação de Risco Reputacional identificada
pela Compliance ou informada por outros colaboradores;
•
Dar tratamento à situação de Risco Reputacional identificada, tomando as providências
cabíveis definidas em conjunto com o Head da Área de Compliance & Control e ou por
um Comitê (“Ad Hoc”) convocado para definir para definir as providências a serem
tomadas;
•
Informar tempestivamente as instâncias superiores internas e externas da situação de
Risco Reputacional identificada e as providências tomadas;
•
Registrar, documentar e manter em arquivo todos os fatos e ações relacionadas com a
situação de Risco Reputacional identificada.
Documento de uso restrito
Página6
Anexo I
•
Escala de referência do risco reputacional
Nível do
Risco
Crítico
Alto
Situação Correspondente
Impacto potencial ou real no todo ou em parte do Grupo (sanções
administrativas, perda de valor de mercado, etc), ou
Impacto potencial significativo na atividade da entidade, ou
Impacto significativo na confiança da maioria das pessoas
mencionadas em “Pessoas cuja confiança é essencial para o Grupo”.
Impacto potencial elevado ou real na atividade da entidade, ou
Impacto elevado na confiança de algumas das pessoas mencionadas
em “Pessoas cuja confiança é essencial para o Grupo”.
Médio
Nenhum impacto real, ou impacto muito limitado na atividade da
entidade, ou
Baixo impacto na confiança de uma única categoria de pessoas
mencionadas em “Pessoas cuja confiança é essencial para o Grupo”.
Baixo
Nenhum impacto rastreado na confiança das pessoas mencionadas
em “Pessoas cuja confiança é essencial para o Grupo”.
Documento de uso restrito
Página7
Market Abuse
20 de Fevereiro de 2014
Status1
Versão1
Nível1
2
Tipo
2
Escopo de Aplicação
2
Emissor
2
Entidade Responsável (Ex. Linha de Negócio, Função)
2
Processos Envolvidos
1
Riscos
1
Criticidade
2
Palavra Chave
2
Autor
1
Aprovador
1
Data de Aprovação
Data de Entrada em Vigor1
Data de Vencimento1
Procedimentos de nível superior
Procedimentos Relacionados
Normativos Regulatórios Relacionados
Nota:
1
2
Validado
2
Instrução Permanente
BNPP BR (todos os colaboradores)
2OPC
Compliance & Control
Todos
Alto
Procedimento, Política, Norma, Instrução, Princípio.
Edson Okubo
Luis Pontes
Indeterminada
Preenchimento Obrigatório. Responsável: Organização.
Preenchimento Obrigatório. Responsável: Autor.
Documento de uso restrito
Página1
1. DISPOSIÇÕES GERAIS
Este normativo estabelece as diretrizes sobre “Abusos de Mercado” (Market Abuse) e tem o
objetivo de preservar a integridade do mercado financeiro e de capitais do Brasil, com a
adoção de medidas e de orientações relacionadas à conduta pessoal de nossos
colaboradores, que impeçam as possibilidades de manipulação do mercado e do uso de
informações privilegiadas (insider dealing) em benefício do colaborador ou do BNPP BR
(Banco).
Buscamos contribuir para a transparência completa e apropriada do mercado financeiro e de
capitais, que é um pré-requisito para realizar operações com os agentes e entidades que
participam do mercado e preservar a confiança do público em geral no mercado financeiro e
de capitais.
2. DEFINIÇÕES
Esta diretriz aplica-se a qualquer instrumento financeiro regularmente negociado no mercado
financeiro e de capitais, como por exemplo:
• Ações (à vista, termo e opções)
• Mercados Futuros e de Opções
• Swap´s e NDF´s
• Operações com taxas de juros e moedas,
• Outros instrumentos e operações financeiras regularmente aprovadas para
negociação pelo BNPP BR.
Os principais riscos visados em matéria de “Abuso de Mercado” são o uso indevido de uma
informação privilegiada (insider dealing) e a manipulação de mercado, conforme segue:
Informação Privilegiada (Insider Dealing).
Insider Dealing:
Significa o uso de uma informação interna (ou dispor dessa informação ou tentar adquirir
essa informação) de um instrumento financeiro, para benefício próprio ou de terceiros. O fato
de um colaborador guardar uma informação interna não o qualifica em insider dealing, mas
sim quando o colaborador usa ou transmite a informação para outras pessoas que não tem
relação ou necessidade de saber da informação privilegiada.
Manipulação do Mercado
Manipulações de mercado podem ser:
I) transações ou ordens de negociação que dão ou que existe a probabilidade de dar sinais
falsos ou enganadores a respeito da fonte, da demanda ou do preço de instrumentos
financeiros, ou que fixe para uma ou mais pessoas que atuam no negócio ou no mercado,
um nível anormal ou artificial de preço de um ou mais instrumentos financeiros;
II) transações ou ordens de troca que empreguem dispositivos fictícios ou quaisquer outras
formas de engano ou de dispositivo;
III) a disseminação de informações a partir da mídia, incluindo a Internet, ou por todos os
outros meios que dê, ou que haja a probabilidade de dar, sinais falsos ou enganadores a
Documento de uso restrito
Página2
respeito dos instrumentos financeiros, incluindo a disseminação de boatos e notícias falsas
ou enganadoras, onde a pessoa que fez a disseminação soube, ou deve ter sabido que a
informação era falsa ou enganadora.
A manipulação do mercado consiste em falsificar o mecanismo da determinação de preço de
instrumentos financeiros.
3. NORMAS
•
Obrigações de Vigilância
Orientações aos Colaboradores
Os colaboradores, notadamente do Wealth Management, envolvidos em transações de
mercado de capitais devem estar comprometidos a impedir o abuso de mercado e ficar
atento a todas as situações que possam representar um risco de abuso de mercado.
De modo específico, os colaboradores devem:
II) identificar no KYC os clientes que possuem vínculos empregatícios com empresas que
tem ações negociadas em bolsas de valores, e que exercem posição ou atividade de
destaque dentro da empresa, devendo exercer sobre eles um acompanhamento mais
próximo das aplicações e investimentos que realizam através da sua conta no BNPP BR;
II) prestar atenção aos sinais de alertas que podem revelar situações de abusos de mercado,
como exemplificado abaixo.
Sinais de Alerta
Exemplos de sinais de alerta de um “insider dealing”:
I) Concentração de transações não usuais em relação a um instrumento financeiro,
II) Concentração de ordens emitidas ou transações realizadas em um curto período de
tempo no período de encerramento do mercado, acarretando em substancial mudança de
preço de fechamento do ativo;
III) repetição não usual de uma transação durante um determinado período, entre um
pequeno número de clientes.
Exemplos de sinais de alerta de manipulação de mercado:
I) ordens ou transações que representam uma porção significante do volume diário de
transações em um instrumento financeiro que conduzem a uma variação de preço
significante;
II) grandes variações de preço em um instrumento ou no instrumento subjacente por
pessoas que possuem posições curtas ou longas significantes;
III) as melhores ofertas ou ordens de compra são canceladas antes da execução, em
particular para produtos que não tem liquidez ou que tem preço fixado;
IV) reversão de posição em um período curto, possivelmente junto a variações do preço;
V) transações que não levam a uma mudança no beneficiário final de um instrumento
financeiro ou destinado para alterar a avaliação de uma posição sem mudar seu tamanho;
VI) transações executadas em, ou perto de, um ponto de referência da sessão para a
cotação (por exemplo, fechamento, cálculo de chamada de margem, etc.), que têm um
impacto significativo (preço, volume, etc.);
Documento de uso restrito
Página3
VI) transações cuja finalidade parece ser mudar o preço de um instrumento imediatamente
antes da emissão de um produto relacionado;
VII) transação cuja finalidade parece ser mudar o preço do instrumento subjacente de um
produto derivativo comparado ao preço de exercício no vencimento.
Exemplos de sinais de alerta de “insider trading”:
I) o cliente abre uma conta e imediatamente dá uma ordem para realizar uma operação
significativa ou inesperada com uma ação (especialmente se o cliente insistir que a ordem
seja realizada urgentemente ou que deve ser conduzida antes de um período específico);
II) uma mudança significativa no perfil do comportamento ou de investimento do cliente (por
exemplo, tipo de ação, quantidade investida, tamanho da ordem, tempo com o papel);
III) o cliente pede especificamente a execução imediata de uma ordem não importando o
preço em que a ordem seria executada;
IV) transação significativa demandada por acionistas ou pessoas de posição relevante de
uma empresa, antes do anúncio de eventos importantes relacionados com essa empresa;
V) transação não usual ou significante antes de um comunicado público feito pela empresa,
que poderia ter um impacto no preço;
VI) transações pessoais dos colaboradores do Banco baseadas em informações obtidas no
desempenho de atividades.
•
Procedimentos em caso de suspeita
Quando identificada uma suspeita de abuso de mercado, devem ser tomadas as seguintes
providências:
I) o Gerente de Relacionamento deve fazer um cuidadoso acompanhamento das operações
realizadas pelo cliente suspeito;
II) assim que for detectado um comportamento anormal ou tiver alguma dúvida de uma ou
mais transação feita pelo cliente, baseado nos sinais de alertas mencionados acima, o
Gerente de Relacionamento deve comunicar a suspeita para o seu superior imediato ou para
o diretor responsável da área que entrará em contato com a área de Compliance;
III) o Compliance Officer deverá analisar o caso e armazenar todos os documentos
relevantes por um período de cinco anos, a partir da data em que o caso foi detectado;
IV) baseado na análise do caso, o Compliance Officer pode fazer a comunicação do caso
para as autoridades legais, se o resultado da análise apresentar claros indícios de
suspeição;
V) a comunicação do caso suspeito para as autoridades locais, deve ser reportada para o
Wealth Management em Paris ou para o métier responsável, observadas as limitações legais
aplicáveis;
VI) o Gerente de Relacionamento ou outro colaborador do BNPP BR está proibido de
informar o cliente e ou qualquer outra pessoa envolvida no caso suspeito, da comunicação
do caso feita pelo BNPP BR às autoridades locais.
•
Treinamento
Os colaboradores, especialmente aqueles que lidam diretamente com o mercado financeiro,
devem receber um treinamento sobre “Abusos de Mercado”.
Documento de uso restrito
Página4
Esse treinamento será organizado pela área de Compliance, utilizando material de
desenvolvimento próprio ou produzido pelo Grupo Compliance em Paris, sendo aplicado aos
colaboradores considerados mais expostos em relação ao tema.
A periodicidade de treinamento aos colaboradores não deve ultrapassar o período de dois
anos.
•
Penalidades
Importante ressaltar que qualquer colaborador do BNPP BR que cometa uma manipulação
de mercado ou que utilize informações privilegiadas, coloca em risco a boa imagem e
reputação do Banco e fica sujeito às sanções administrativas empregatícias e às
penalidades legais aplicáveis de acordo com ICVM nº 08 de 08/10/1979 e da Lei nº 6.385 de
08/09/1976.
Documento de uso restrito
Página5