12





            2.  Auditoria interna: deve ser criada uma função de audi-  5.  Monitorização: após a fase anterior, torna-se necessá-
              toria interna que assegure que a estratégia de gestão   rio  desenvolver  processos  de  acompanhamento  do
              do risco operacional da instituição é sujeita a uma efe-  perfil  de  risco  operacional  e  de  exposição  a  perdas
              tiva e completa auditoria interna por pessoal habilitado   significativas. Deve existir um reporte regular de infor-
              e operacionalmente independente. A função de audito-  mação ao pessoal sénior e ao órgão de administração
              ria interna não deve ser diretamente responsável pela   que apoie a gestão pró-ativa do risco operacional. As-
              gestão do risco operacional. Para este efeito, deve ser   sim, é imprescindível a regularidade de prestação de
              criada  uma  equipa  de  projeto  para  a  implementação   informação sobre os “semáforos” do risco operacional.
              do modelo metodológico. Assim, deve competir à fun-   Esta prestação de informação pode justificar a imple-
              ção de auditoria interna: 1) exercer vigilância, orienta-  mentação/revisão dos controlos efetivos em cada ca-
              da  ao  processo,  sobre  o  cumprimento  do  normativo   deia de valor, árvore de funções, processos, procedi-
              interno;  2)  reportar  eventos  originadores  de  custos   mentos e/ou tarefas adstritas.
              operacionais,  resultantes  de  reclamações  de  clientes
              ou das suas ações de auditoria e 3) participar, se apli-
              cável, os resultados dos questionários de autoavalia-  6.  Limitação: as instituições devem ter políticas, proces-
              ção que realizem às estruturas orgânicas auditadas.   sos  e  procedimentos  para  controlar  e/ou  atenuar  o
                                                                    risco  operacional.  Devem,  também  rever  periodica-
                                                                    mente  as  estratégias  de  controlo  e  de  limitação  de
            3.  Responsabilização  da  estrutura  orgânica:  deve  ser   risco e ajustar o seu perfil de risco operacional, usando
              dada a conhecer e assumida a responsabilidade pela    políticas apropriadas e coerentes com o perfil de risco
              execução da estratégia da gestão do risco operacional   definido. Um aspeto relevante é a detenção de siste-
              a todos os níveis hierárquicos da organização. Particu-  mas  aplicacionais  que  permitam  uma  quantificação
              lar destaque deve ser dado à atribuição de responsabi-  direta dos eventos passíveis de gerar custos operacio-
              lidade ao pessoal sénior (direção de topo e intermé-  nais. Outro aspeto passa por motivar os colaboradores
              dia). O pessoal sénior deverá ser também responsável   a  preencherem  os  questionários  de  autoavaliação,
              pelo desenvolvimento de políticas, processos e proce-  atrás referidos, por forma a minimizar o custo operaci-
              dimentos para a gestão do risco operacional relativa-  onal afeto ao custo padrão dos processos. Um aspeto
              mente  a  todos  os  produtos,  atividades,  processos  e   crítico tem a ver com a imposição de limites de risco
              sistemas.  Aconselha-se  a  nomeação  de  “chefes  de   máximo que devem ser escrupulosamente cumpridos,
              risco”  em  cada  estrutura  orgânica  que  acompanhem   a assumir por linhas de negócio e por tipo de risco. De
              de forma regular os processos inerentes ao órgão em   notar que a implementação dos referidos limites deve
              que estão integrados. Estes “chefes de risco” são res-  ocorrer após análise do histórico dos custos operacio-
              ponsáveis, em última instância, pela validação e atuali-  nais.
              zação,  sempre  que  se  justifique,  dos  relatórios  de
              identificação dos riscos operacionais, assim como da
              decisão da contabilização de um evento de perda co-  7.  Planos de contingência: as instituições devem ter pla-
              mo custo operacional.                                 nos de contingência e de continuidade que assegurem
                                                                    a capacidade operativa e limitem as perdas na ocor-
                                                                    rência de perturbações graves da atividade. Refira-se
            4.  Identificação e avaliação do risco operacional: devem   que os planos de contingência devem ser adequados
              ser  identificados  e  avaliados  os  riscos  operacionais   de forma a assegurar a capacidade operativa e a limi-
              inerentes a todos os produtos, atividades, processos e   tar as perdas na ocorrência de perturbações graves da
              sistemas; assim como, assegurar que, antes da intro-  atividade.
              dução  ou  do  lançamento de novos  produtos,  ativida-
              des, processos e sistemas, o risco operacional subja-
              cente foi objeto de adequados procedimentos de avali-  Métodos  de  cálculo  dos  requisitos  de  fundos  pró-
              ação. Refira-se que, após uma primeira fase de levan-  prios para cobrirem o risco operacional
              tamento e desenho dos processos, devem ser identifi-
              cados os riscos de cada tarefa que são parte de cada   No âmbito do acordo de Basileia, as instituições poderão es-
              processo.