GERENCIAMENTO DE RISCOS

A estrutura de gerenciamento de riscos deve prever:

a) Políticas e estratégias para um melhor gerenciamento de riscos, sendo necessário o

estabelecimento de limites e procedimentos para manter a exposição aos riscos em
conformidade com os níveis fixados na RAS;
b) Sistemas, rotinas e procedimentos;
c) Avaliação periódica da adequação dos sistemas, rotinas e procedimentos;
d) Políticas, processos e controles adequados para assegurar a identificação prévia dos
riscos inerentes a:
i.Novos produtos e serviços;
ii.Mudanças relevantes em produtos e serviços;
iii.mudanças significativas em processos, sistemas, operações e modelo de
negócio;
iv. Mudança de perspectiva macroeconômica;
v. Hedge e transferência de riscos;
vi. Reorganização societária significativa.
e) Papéis e responsabilidades para fins do gerenciamento de riscos, claramente
documentados, que estabeleçam atribuições ao pessoal da instituição em seus diversos
níveis, incluindo os prestadores de serviços terceirizados;
f) Programa de teste de estresse;
g) Avaliação contínua da efetividade das estratégias de mitigação de riscos utilizadas,
levando em consideração o resultado do teste de estresse;
h) Políticas e estratégias para a gestão de continuidade de negócio;
i) Relatórios gerenciais tempestivos para a diretoria da instituição, o comitê de riscos, e o
conselho de administração, quando existente, versando sobre:
i. Valores agregados de exposição aos riscos e seus principais determinantes;
ii. Aderência do gerenciamento de riscos aos termos da RAS e às políticas e aos
limites;
iii. Avaliação dos sistemas, das rotinas e dos procedimentos;
iv. Ações para mitigação dos riscos e avaliação da sua eficácia;
v. Grau de disseminação da cultura de gerenciamento de riscos;
vi. Premissas e resultados de testes de estresse.
As políticas de gerenciamento de riscos devem prever:

a) autorizações necessárias e ações apropriadas e tempestivas da diretoria da instituição e,

quando cabível, do conselho de administração, em caso de exceções às políticas, aos
procedimentos, aos limites e aos termos da RAS;
b) Instrumentos, serviços financeiros e estratégias de hedge com uso previsto pela
instituição, em conformidade com os termos da RAS.
A estrutura de gerenciamento de riscos deve identificar, mensurar, avaliar, monitorar, reportar,
controlar e mitigar:

a) Risco de crédito;
b) Risco de mercado;
c) Risco de variação de taxa de juros para instrumentos classificados na carteira bancária
(IRRBB);
d) Risco operacional: possibilidade da ocorrência de perdas resultantes de eventos
externos ou de falha, deficiência ou inadequação de processos internos, pessoas ou
sistemas;
São riscos operacionais:
 Fraudes internas e externas;
 Demanda trabalhista e segurança deficiente no local de trabalho;
 Práticas inadequadas relativas a usuários finais, clientes, produtos ou
serviços;
 Dano a ativos físicos;
 Situações que resultam na interrupção ou descontinuidade das atividades,
incluindo o de pagamentos;
 Falhas em sistemas, processos ou infraestrutura de TI;
 Incongruência no cumprimento de prazos ou gerenciamento das atividades;
Para atividades de pagamento, são falhas:
 Falha na proteção e na segurança de dados sensíveis relacionados tanto às
credenciadoras dos usuários finais quanto às outras informações trocadas
para realização de transações de pagamento;
 Falha em identificar e autenticar usuário final na transação de pagamento;
 Falha na autorização de transação de pagamento;
 Falha na iniciação de transação de pagamento;
Estrutura de gerenciamento de risco operacional:
 Políticas que contenham critérios para decisão sobre terceirização de
serviços e seleção de prestadores de serviços, inclusive condições
contratuais mínimas.
 Alocação adequada de recursos para avaliar, gerenciar e monitorar os riscos
operacionais decorrentes de serviços terceirizados que são relevantes para o
funcionamento da instituição.
  Estrutura de governança de TI em conformidade com o nível de apetite ao
risco estabelecido no RAS.
 Sistemas, processos e infraestrutura de TI que:
o Garantam integridade, segurança e disponibilidade dos dados
armazenados, processados ou transmitidos e dos sistemas de
informação utilizados;
o Mecanismo de proteção e segurança de redes, sítios eletrônicos,
servidores e canais de comunicação com vistas a reduzir a
vulnerabilidade e ataques digitais;
o Contenham procedimentos para monitorar, rastrear e restringir
acesso a dados sensíveis, redes, sistemas, base de dados e módulos
de segurança;
o Monitorem falhas na segurança dos dados e as reclamações dos
usuários finais a esse respeito;
o Sejam adequados às necessidades e às mudanças do modelo de
negócio, tanto em circunstâncias normais quanto em períodos de
estresse.
 Processo consistente e abrangente para:
o Coletar tempestivamente informações relevantes para a base de
dados de risco operacional;
o Classificar e agregar as perdas operacionais relevantes
identificadas;
o Efetuar, tempestivamente, análise da causa raiz de cada perda
operacional relevante;
 Análises de cenários com o objetivo de estimar a exposição da instituição a
eventos de risco operacional raros e de alta severidade;
 No caso de terceirização de serviços de TI, incluindo os relacionados com a
segurança dos serviços de pagamento oferecidos, o respectivo contrato de
prestação de serviços deve estipular que: o contratado deverá atender ao
disposto nos incisos IV, VII, VIII, IX e X do caput e ao disposto no § 3º, art.
XX.
Para atividades de pagamento, a estrutura deve prever:
 Identificação adequada do usuário final;
 Processos para garantir que todas as transações de pagamento possam ser
rastreadas;
  Mecanismos de monitoramento e de autorização de transações de
pagamento, com o objetivo de prevenir fraudes, detectar e bloquear
transações suspeitas de forma tempestiva.
 Avaliações e filtros para identificar transações de alto risco;
 Notificação ao usuário final de não execução de uma transação;
 Mecanismos que permitam ao usuário final verificar se a transação foi
executada corretamente;
 Tratamento adequado em relação ao risco de subcredenciador envolvido em
processo de liquidação de transações de pagamento, no caso de instituição
credenciadora;
 Mecanismos de monitoramento e controle de falhas na iniciação de
transações de pagamento.
e) Risco de liquidez: a incapacidade de honrar eficientemente as obrigações esperadas e
inesperadas, correntes e futuras sem afetar as operações diárias e sem incorrer em
perdas significativas.
A estrutura para risco de liquidez:
 Deve contar com políticas, processos e estratégias que assegurem:
o Identificação, mensuração, avaliação, monitoramento, reporte,
controle e mitigação do risco de liquidez em diferentes horizontes
de tempo, inclusive intradia, em situações normais ou de estresse,
contemplando a avaliação diária das operações com prazos de
liquidação inferiores a noventa dias;
o Manutenção de estoque adequado de ativos líquidos que possam ser
prontamente convertidos em caixa em situações de estresse;
o Manutenção de perfil de captação de recursos adequado ao risco de
liquidez dos ativos e das exposições não contabilizadas no balanço
patrimonial da instituição; e
o Diversificação adequada das fontes de captação de recursos;
 Plano de contingência de liquidez.
f) Risco social:
g) Risco ambiental:
h) Risco climático:
i) Risco país e risco transferência:
j) Os demais riscos relevantes, segundo critérios definidos pela instituição, incluindo
aqueles não cobertos na apuração do montante dos ativos ponderados pelo risco (RWA).