Page 6 - rcf126_Neat
P. 6
6
Em concreto, pode-se sistematizar a seguinte matriz descriti-
va dos diversos riscos operacionais (por ordem alfabética): Matriz de riscos
operacionais
Descrição ou exemplo de eventos
Tipologia do risco operacional
Tarefa/operação executada fora do prazo pretendi-
Adiantamento/atraso na execução do/adequado (antes ou depois da data/hora estipula-
da tarefa/operação
da)
Exemplos: incêndios, inundações, desastres por
Desastre/terrorismo/vandalismo causas naturais, desastres civis, atividades terroristas
e vandalismo
Documentos com incorreções ou inadequados,
Documentos/contratos/reportes ausência de documento de suporte para evidência de fraude clientes, execução, Prática e falhas nos ativos fraude
práticas
insuficientes aceitação de condições, sua perda ou atraso na Interna comerciais gestão de segurança no sistemas físicos externa
processos
emprego
entrega.
Exemplos: extravio de documentação ou arquivo
Extravio/perdas físicas indevido
Exemplos: falhas nas comunicações a nível interno e
Falhas de comunicação externo (e.g. e-mail, telefone)
Exemplos: falhas de hardware, erro físico no equipa- incoerência Incumpri-
Falha de hardware mento informático Requisitos procedimen- nos dados mento leg. segurança falha de
laboral
tos
infra-
Exemplos: falhas de software, erro na parametrização legais/formais incorretos do sistema estruturas
Falha de software do sistema, falha na gravação telefónica
Acesso a dados cuja integridade é questionável ou
Falha na integridade da informação duvidosa documentos
Exemplos: falência do fornecedor, utilização indevida incumpri- insuficientes falha de
de informação confidencial, contrato inadequado, fraude mento de comunica-
Fornecedores / clientes interna procedimen- ções desastre
nível de serviço prestado, falhas de entrega, gestão tos vandalismo
incorreta de fornecedores, recusa do negócio
Perdas decorrentes de atos praticados por um escassez de
terceiro, com intencionalidade de fraude, apropriação rec. humanos
falha do
Fraude externa indevida de ativos ou contornar legislação. Exemplos hardware
de fraudes externas: fraude em cheque, abertura de
conta, falsificação, branqueamento de capitais Informação atraso na
execução
privilegiada
Perdas decorrentes de atos destinados intencional-
mente à prática de fraudes, à apropriação indevida de não integridade falha do
ativos ou a contornar regulamentações, legislações da informação software
Fraude interna ou políticas empresariais que envolvam, pelo menos,
uma parte interna da empresa. Um exemplo são as inércia no
desempe-
atividades de fraude voluntária praticadas por funcio- nho
nários
Inexistência/introdução incorreta (de forma involuntá-
Incoerência nos dados/modelo de ria)/ reconciliação indevida de dados/engano na perdas
cálculo transmissão de instruções/falha do modelo de valori- físicas
zação, nomeadamente de ativos
Inação perante uma operação para a qual é necessá-
Inércia no desempenho da tarefa
rio realizar algumas tarefas
Inexistência/definição incorreta de Não se encontra implementado internamente nenhum Abordagens para estimar o risco operacional
normativo ou o existente não se enquadra no objetivo
procedimentos
pretendido
Não cumprimento da legislação do Exemplos: assédio, segurança, saúde e rescisão ou
trabalho não cumprimento do contrato
Não cumprimento de procedimentos escritos ou A estimação do risco operacional pode ser alcançada através
Não cumprimento de procedimentos verbais, no âmbito das funções / tarefas definidas de abordagens top-down ou bottom-up.
pela instituição, de forma deliberada
Perda/escassez de recursos huma- Recursos humanos insuficientes face às funções a A abordagem top-down parte do pressuposto de que as per-
nos desempenhar e/ou às operações a executar
Perturbações de atividades comerci- Perdas decorrentes da perturbação das atividades das passadas são uma boa estimativa das perdas futuras.
ais comerciais ou de falhas do sistema Neste caso, os dados estatísticos são relevantes. Nesta abor-
Cumprimento de requisitos legais, fiscais ou normas
Requisitos legais/formais e regulamentos dagem a avaliação passa por entender o risco operacional
Segurança em relação ao exterior, segurança interna,
Segurança dos sistemas fraude por programação, introdução de vírus no como o produto de um determinado coeficiente por um indica-
sistema, inexistência de planos de contingência dor de atividade, por exemplo o produto bancário ou receitas
Uso de informação confidencial e do seu âmbito de
Uso de informação privilegiada
funções adstritas e/ou afins para benefício próprio da atividade de intermediação. Esta é a abordagem consagra-
da no Acordo de Basileia, nomeadamente, no indicador bási-
co (BIA), a ser desenvolvido adiante, que tem por base um
O que conduz ao seguinte esquema gráfico: indicador relevante (receitas brutas) e uma percentagem fixa
(). Entre outras limitações, esta abordagem não leva em
consideração a qualidade dos controlos.
Pelo contrário, a abordagem bottom-up é uma abordagem
estrutural, em que as medidas de perda e risco são definidas
