Estrutura de Controles Permanentes & Risco Operacional

1. Introdução

Esta diretriz define a estrutura organizacional da área de risco operacional do conglomerado financeiro do CALYON no Brasil (“CALYON BRASIL”) e estabelece as suas principais responsabilidades, alinhadas com os regulamentos emitidos pelo Banco Central do Brasil, os conceitos do Comitê da Basiléia e as diretivas corporativas instruídas pela nossa Matriz (“CALYON”):

Resolução Nº 3380 do BACEN.
Comunicado 12746 do BACEN.
Diretiva 2.4.3.2. – Estrutura de Controles Permanentes no CALYON.

A área de risco operacional do CALYON BRASIL inclui as atividades de controles permanentes, conforme determinado pela Matriz. Portanto o nome oficial da área é CONTROLES PERMANENTES & RISCO OPERACIONAL (“CPRO”) ou “Permanent Control & Operational Risk”.

2. Escopo de CPRO

As atividades de CPRO abrange as entidades legais do conglomerado financeiro.

CPRO possui livre acesso à qualquer informação necessária ao exercício de suas atividades e também faz parte ou está informado com antecedência dos projetos existentes.

CPRO pode solicitar que a Auditoria Interna conduza uma missão de auditoria, se considerar necessário.

Auditoria Interna também deve programar missão de auditoria em CPRO.

3. Estrutura Organizacional de CPRO

CALYON BRASIL

Estrutura da Diretoria de Risco & Controles Permanentes

4. Missão de CPRO

Cabe a CPRO assegurar a existência e a pertinência de controles internos para todas as atividades internas e terceirizadas da organização, que monitorem permanentemente os vários tipos de riscos, além de executar, particularmente, a organização e mensuração de riscos operacionais.

O risco operacional é definido como a possibilidade de perda resultante de falha ou inadequação de processos internos, sistemas, comportamento humano, ou ainda, proveniente de eventos externos, que podem ocorrer em qualquer etapa de um processo operacional.

CPRO é responsável pela detecção, avaliação e mitigação dos riscos porventura encontrados nos procedimentos operacionais mapeados no sistema corporativo EUROPA, onde são classificados de acordo com as categorias de risco da Basiléia II:

Fraude interna: ações de caráter doloso de colaborador da instituição ou com a sua participação indireta.
Fraude externa: ações de caráter doloso praticados por terceiros.
Recursos Humanos: demandas trabalhistas, segurança deficiente do local de trabalho, medicina do trabalho, etc.
Relações Comerciais: práticas inadequadas nas relações comerciais com os clientes, oferecimento de produtos e serviços, ou com fornecedores e prestadores de serviços.
Eventos Externos: danos que acarretem a interrupção das atividades da instituição.
Tecnologia da Informação: falhas em sistemas que acarretem interrupções das atividades ou perdas de dados.
Processos: falhas na execução, cumprimentos de prazo e gerenciamento nas atividades da instituição.
Danos a ativos físicos próprios ou em uso pela instituição.

O risco legal é o associado à deficiência em contratos firmados pela organização, bem como as sanções em razão do não cumprimento de dispositivos legais e as indenizações por danos a terceiros decorrentes das atividades desenvolvidas.

Seguindo a diretiva de nossa Matriz, CPRO passa a convocar mensalmente a reunião do Comitê de Controles Permanentes para assegurar a coerência, eficácia e exaustiva necessidade da existência de controles permanentes em todas as linhas de negócios e processos da organização. Os participantes do Comitê são os representantes das seguintes áreas:

Risco de Crédito.
Risco de Contraparte
Risco de Mercado.
Segurança da Tecnologia de Informação / Site de Contingência.
Outros convidados, geralmente Controladoria.
CPRO, que atua como Secretário deste comitê.

Neste fórum são debatidos os eventos significativos, as dificuldades encontradas, sugestões de melhorias e os novos planos de ações ou aqueles em andamento, com o objetivo de implementar soluções integradas, abrangentes e inteligentes dentro da organização, que permitam controles permanentes sobre os seguintes riscos:

Operacional.
Concentração.
Residual.
Crédito.
País.
Taxa de Juros.
Liquidez.
Mercado.
Legal.
Sistema da Informação.
Contábil.
Liquidação.
Intermediação.
Compliance.

5. Responsabilidades de CPRO

Assegurar a eficácia e coerência dos controles existentes na organização, ambos por meio do exercício de mapeamento de risco ( inventário de atividades, riscos, controles permanentes e riscos residuais) e pelo exercício de auto avaliação.
Documentar o plano ou inventário de controles permanentes, validando-a junto ao Comitê de Controles Internos e reportando-as ao Controles Permanentes da Matriz.
Participar da implementação e atualização dos controles dentro de seu escopo e centralizar o monitoramento: descrição de controle, responsabilidade de execução, freqüência, relatório de resultado, etc.
Promover a formalização e atualização dos procedimento, assegurando sua centralização.
Promover qualquer melhoria necessária: equipe, sistema de informação, procedimentos, organização, controles, etc.
Redigir plano de ação global em conjunto com as unidades operacionais, integrando recomendações feitas pelas auditorias interna e externa, assim como as medidas corretivas necessárias, identificadas na forma de incidentes significativos ou durante a revisão anual do mapeamento de risco operacional.
Assegurar que os riscos, em particular os operacionais, inerentes às novas atividades ou produtos, junto aos controles associados, tenham sido mapeados antes do lançamento.
Analisar indicadores de controles chaves.
Revisar anualmente o mapeamento de risco operacional e de controles permanentes.
O Gerente de CPRO é também responsável por:

Desenhar seu próprio plano de controle para assegurar que o 1º nível de controle esteja sendo feito apropriadamente.
Realizar verificações ocasionais e não agendadas para aferir o cumprimento dos controles implementados, em adição àqueles realizados pelas auditorias.