1.1. Função de Gestão de Risco

1.1.1.Introdução

A Gestão de Risco estabelece princípios e normas padrão de controlo dos riscos a que uma organização está exposta, registando e fornecendo uma estrutura e linguagem partilhadas para melhorar a sensibilização face aos processos de gestão de risco assim como uma clara responsabilização e responsabilidade pela gestão de risco.

A categorização de riscos por parte do SCBA pode ser descrita pela tabela em baixo:

Risco de CréditoPerda potencial devido à incapacidade de uma contraparte cumprir as suas obrigações de pagamento dentro do acordado.
Risco de Country Cross BorderPerda potencial por não se conseguir obter pagamentos de clientes ou terceiros das suas obrigações contratuais, como resultados de certas acções tomadas por governos estrangeiros, principalmente relativas à conversão e transferência de moeda estrangeira.
Risco de MercadoPerda potencial de lucros ou de valor económico devido a alterações adversas nas taxas ou preços de mercados financeiros.
Risco de PensõesPerda potencial por ter que assegurar um défice actuarialmente avaliado nos regimes de pensões do Grupo.
Risco de Liquidez a Curto PrazoRisco de não existirem recursos financeiros de curto prazo ou que o acesso a estes recursos tenha custos muito altos e o Banco não seja capaz de cumprir as suas obrigações.
Risco de Liquidez EstruturalIncapacidade em atingir os objectivos e estratégias definidas por falhas no balanço do Banco, como por exemplo uma dependência excessiva de fontes de financiamento específico.
Risco CapitalPerda potencial devido à alocação de capital insuficiente ou de aumentos excessivos no custo de capital.
EstratégicoPerda potencial devido à incapacidade de optimizar o potencial de ganhos na franquia do Grupo.
ReputacionalPerda de rendimentos ou impactos adversos para o Grupo na sequência de um stakeholder assumir uma posição negativa que afecte a percepção do público em relação ao Grupo.
OperacionalPerdas decorrentes de falhas em processos, pessoas, tecnologia ou também impactos de eventos exteriores ao Grupo.

De seguida serão detalhados os principais riscos que o Banco deve gerir de forma cautelosa. Eles são o Risco de Crédito, Risco de Mercado e Liquidez e o Risco Operacional.

1.1.2.Risco de Crédito

O Risco de Crédito é definido como sendo a perda potencial devido à incapacidade de uma contraparte cumprir as suas obrigações de pagamento dentro do acordado. A governação do Risco de Crédito pode ser descrita pelo seguinte esquema:


Figura 15 - Governação de Risco de Crédito

Os responsáveis pelo risco de crédito assumem variadas responsabilidades na sua gestão, entre elas destacam-se:

Definir e propor a estrutura, a tolerância e o apetite ao risco das políticas e procedimentos do Banco;
Tomar decisões e delegar responsabilidades assegurando sempre um alto nível de expertise na gestão do risco;
Estabelecer mecanismos de reporte do risco;
Assegurar a existência de controlos de risco;
Exercer a autoridade directa na aprovação dos créditos;

As responsabilidades enumeradas são transversais às equipas de risco de crédito para o segmento de Retalho e segmento de Empresas e Instituições. A gestão e controlo do risco de crédito (RMF) assenta em 6 diferentes categorias:


Figura 16 - Categorias RMF

A categoria de “planeamento” alinha o apetite de risco com os objectivos e estratégias definidas pelo Banco. A categoria “Informar” incorpora a identificação, mensuração e monitorização de todos os riscos materiais sendo que a categoria de “Controlo” pretende restringir o perfil de risco dentro da tolerância e apetite ao risco definidos na categoria de planeamento. A categoria “Originar” garante a estrutura e documentação de todas as transacções. A categoria de “Optimização” irá balancear o risco e retorno até ao seu ponto de equilíbrio. Finalmente, a categoria de “Comunicação” pretende assegurar que a gestão de risco está em compliance com os requisitos de todas as partes interessadas e reguladores.
Cada uma destas categorias inclui vários processos que permitem que o seu objectivo seja cumprido. De forma resumida serão mencionados de seguida os processos para cada uma das categorias.

Planear
Tolerância ao RiscoBarreira definida pelo Banco que determina o máximo de risco que se dispõe a incorrer.
Apetite de RiscoÉ o montante de risco que o Banco determina como óptimo para gerar retornos.
Limites da IndústriaEm função da indústria onde o cliente opera é analisado o outlook económico e determinados limites em função desse outlook.
Níveis de Referência de CréditoValores de exposição de crédito que acima dos quais a concentração de risco pode causar preocupação.
DEFCONÉ um processo de avaliação de risco com 5 passos que pretende, numa fase inicial, estabelecer uma possível mudança na percepção de risco ou mesmo no ambiente económico e avaliar quais as implicações desta mudança para o Banco.
Controlar
Autoridades de CréditoDefine qual a governação do risco de crédito e os responsáveis pela aprovação ou recusa final de créditos.
Políticas de CréditoDetalha as duas principais políticas de crédito:
  • Política de Autoridades de Risco;
  • Política do Grupo de Grandes Exposições.
Reporte de Informação de Risco (RIR)Detalha a gestão da tolerância de risco, análise da carteira de crédito por nota de rating, cliente, produtos e sector, a concentração de risco por cliente e segmento e a delinquência de crédito e os alertas prematuros.
Programa de Risco Sénior (Empresas)Este programa pretende identificar os maiores clientes empresariais e convida-los a reunirem-se com os responsáveis de gestão de risco e a equipa de gestão do Banco.
Gestão de Contas Vulneráveis (Empresas)Contas que podem criar vulnerabilidades para o Banco e devem ser monitorizadas de perto e em alguns casos podem ser necessárias acções correctivas.
Política de Originação e DistribuiçãoDetalha os princípios para originar, distribuir e manter activos.
Gestão de risco de crédito comercialA gestão de risco de crédito comercial é feita em diferentes fases:
  • Monitorização ao nível da transacção;
  • Monitorização ao nível do segmento/carteira.
Documentação de CréditoDefine todos os documentos que devem ser emitidos e guardados relativos a informação de créditos e da sua gestão.
Originar
Documentação de transacçõesA documentação de transacções permite que seja possível diminuir o risco da transacção e torná-la mais transparente cumprindo os requisitos de tolerância de risco e a estratégia do Banco.
Optimizar
Avaliação de Risco de Crédito EstruturadaOs clientes e contrapartes devem ser alvo de uma avaliação robusta de crédito na altura em que se inicia a contratação do crédito. Esta avaliação permite mitigar vulnerabilidades.
Aplicações de Risco de CréditoEstas aplicações são usadas para limitar os montantes associados as propostas de créditos para clientes de Empresas e Instituições, para cumprir os requisitos de tolerância de risco.
Padrões da CarteiraDefine os padrões mínimos que uma carteira de crédito deve cumprir com o objectivo de evitar demasiada concentração de créditos de um único sector ou cliente.
Comunicar
Implementação da Abordagem de Compliance Prudencial para Risco de CréditoDeve ser garantido que os todos os requisitos de regulação, dos vários supervisores, são cumpridos. Anualmente é feita uma avaliação interna que pretende concluir que os requisitos estão a ser cumpridos.
Revisão de RiscoAnualmente é efectuada uma análise á qualidade, performance e áreas de incerteza de crédito. As conclusões são publicadas no relatório anual.
Updates PeriódicosDiferentes organismos internos do Banco vão emitindo updates regulares referentes a temas de risco de crédito.

Os sistemas de risco de crédito que suportam a gestão do risco de crédito são, também, um factor importante. Estes cobrem uma grande quantidade de funcionalidades que permitem garantir que cada uma das categorias anteriormente mencionadas é cumprida e podem ser resumidas da seguinte forma:

Sistemas garantem a gestão de:
Limite de aprovação de crédito
Mensuração do risco
Ratings de crédito
Documentação do Crédito
Gestão de Colaterais
Monitorização e reporte de exposição
Cobrança
Problemas de gestão de contas

O processo de crédito pode ser descrito pelas seguintes políticas e procedimentos internos do SCBA:


Figura 17 – Políticas e Procedimentos de Risco de Crédito

Como é possível verificar o SCBA dispõe de políticas para definição de segmentos, tipos de cliente, produtos e processo de aprovação e monitorização de crédito, garantindo que o Banco acompanha devidamente as suas exposições a este tipo de risco.

1.1.3.Risco de Mercado e Liquidez

O Risco de Mercado é definido como a perda potencial de lucros ou de valor económico devido a alterações adversas nas taxas ou preços de mercados financeiros. A sua governação é garantida por:


Figura 18 - Governação Risco de Mercado

O Comité de Risco de Empresas e Banca Institucional (CIBRC) é responsável pela definição dos níveis de risco de mercado no negócio e os triggers de perdas de nível 2. A revisão e aprovação dos níveis de risco de mercado e triggers de perdas deve ser realizada uma vez por ano.

O Risco de Mercado e Transacções de Crédito (MTCR) é responsável por:

  • Definição de limites de risco de mercado ao nível 2 e 3;
  • Monitorização do compliance com a tolerância de risco de mercado do Grupo e de todos os limites e triggers de risco de mercado definidos;
  • Reportar os níveis de tolerância com as respectivas acções de mitigação quando estes não são cumpridos.

As unidades de negócio têm a responsabilidade de conhecer os limites de risco de mercado pelos quais podem ser responsabilizados. Devem conseguir monitorizar o risco face a estes limites e rever as exposições ao risco para garantir a compliance com a tolerância de risco de mercado.
Os limites de risco de mercado devem ser definidos em função da estratégia e objectivos do Grupo SCB. Todas a unidades de negócio que geram risco de mercado devem concordar com os limites de risco para o seu controlo, antes de estes serem implementados. Apenas com aprovação podem ser aumentados os limites diários de risco de mercado por parte do Banco.
O controlo de mercado de risco começa com os limites do Value at Risk (VaR). Quando o VaR não reflecte o risco de mercado que pode afectar a forma como o Grupo se mantém dentro dos limites de tolerância de risco devem ser definidos mecanismos extra de controlo do risco de mercado como de garantir que o Banco cumpre com a tolerância definida. Outras medidas de controlo de risco de mercado são o Stress VaR e o Stress Loss, sendo aplicadas adicionalmente várias medidas de sensibilidade.
Quando é apropriado, o Banco usa como mecanismos de controlo o preço por pontos base (PV01 – Prive Value per basis points), limites de maturidade e limites de exposição aberta líquida (NOP – Net Open Position). Os responsáveis pela gestão do risco de mercado assumem como principais responsabilidades as seguintes:

Monitorizar de forma atempada as actividades de risco de mercado e investigar e reportar excessos.
Analisar exposições e emitir opinião sobre variâncias e parâmetros sobre aferição de risco local e do grupo.
Apoiar o processo de mark to market (MTM) garantindo que as fontes estão actualizadas e reflectem a informações de preço e taxas de mercado.
Garantir o back testing e stress tests.
Elaborar relatórios diários sobre níveis de liquidez, risco e posições em aberto.
Dar apoio contínuo aos comités e áreas de risco do grupo e locais.
Representar as funções de risco de mercado nos comités ALCO e CER.

Os sistemas informáticos usados para controlo do risco de mercado são:

  • OPICS – Utilizado pela equipa de ALM para transaccionar títulos e operações no mercado monetário e cambial;
  • IDS (Inter Graded Data System) – Utilizado como repositório de dados e informação;
  • LMS (Limit Monitoring System) – Utilizado como repositório de excesso de limites.

Relativamente ao risco de liquidez o Banco utiliza diversas medidas para garantir que os seus níveis estão dentro da tolerância de risco definida. As principais medidas utilizadas para garantir uma análise robusta do risco de liquidez e do seu nível são:

Rácio de Adiantamentos e DepósitosÉ o rácio entre os adiantamentos concedidos ao segmento de Empresas pelo valor dos depósitos. Permite avaliar a medida em que o valor de adiantamentos se encontram a ser financiados pelo valor de depósitos.
Rácio de Financiamento de Médio PrazoOs activos de médio prazo são activos com maturidade contractual ou residual superior a um ano. Pretende reflectir até que ponto os activos de médio prazo são financiados por obrigações de médio prazo.
Guideline de Fundos de SwapsNormalmente os activos em moeda local são financiados por obrigações em moeda local. Este guideline pretende monitorizar o financiamento em moeda de forma transversal no Balanço do Banco.
Commitment GuidelinesO nível de linhas de crédito não utilizadas pode implicar futuros levantamentos que podem afectar a liquidez do banco. Estes guidelines pretendem garantir que o Banco é capaz de angariar financiamento a taxas de mercado normais, sem comprometer os níveis de liquidez.
1.1.4.Risco Operacional

A gestão do risco operacional é encarado pelo SCBA como uma forma de antecipar todos os riscos materiais e de demonstrar que todos esses riscos, com um grande nível de confiança, estão controlados. As três linhas de defesa são um factor essencial na identificação e controlo do risco operacional e, também, na atribuição de responsabilidades dos riscos.

Ao nível do SCBA a governação do Risco Operacional pode ser descrita pelo seguinte esquema:


Figura 19 - Governação Função Risco SCBA

O SORO assume responsabilidade directa pela gestão do Risco Operacional e estabelece a ponte com os Risk Officers responsáveis pela gestão de risco de mercado, liquidez e de crédito. O BORM assume a responsabilidade na gestão do risco operacional relacionados com as áreas de negócio, conforme exposto no capítulo 3. O UORM assume a responsabilidade na gestão do risco operacional relacionados com as áreas de suporte, conforme exposto no capítulo 3.

As funções BORM e UORM são a primeira linha de defesa para as funções de negócio e suporte, respectivamente. As três funções encontram-se representadas no Comité de Risco (ERC- Executive Risk Committee) do SCBA.

Para o caso de serem identificados riscos que afectem o Banco como um todo foram desenvolvidos planos de gestão de crises. O SCBA rege-se, então, por um plano de gestão de crises, conforme descrito de seguida:


Figura 20 - Plano de Gestão de Crises

À semelhança do risco de crédito, o risco operacional é gerido em função da tolerância ao risco definida pelo Banco e deverá cumprir com os seguintes objectivos:

Os grandes riscos e os riscos emergentes devem ser identificados em conjunto com as equipas de gestão e o Conselho de Administração. Estas deverão também definir o tratamento adequado que poderá implicar restrições no negócio.
Todos os processos serão mapeados e será atribuída a respectiva responsabilidade com controlos de mitigação definidos associados.
O Banco incorpora, através de novas acções de mitigação, aquilo que aprende com eventos que tenham acontecido tanto internamente como externamente.

A abordagem de tolerância de risco operacional rege-se com base em quatro pilares:


Figura 21 - Pilares de Risco Operacional

Grandes Riscos
O primeiro pilar da abordagem de tolerância de risco operacional é a identificação e priorização dos grandes riscos operacionais. Um grande risco operacional é aquele risco, ou um grupo de riscos muito correlacionados, que têm uma grande probabilidade de incumprir a política de tolerância de risco operacional do Banco.

Universo de Processos do Grupo
O segundo pilar da abordagem de tolerância de risco operacional define os requisitos de mapear todos os processos com os respectivos riscos e controlos para mitigação dos mesmos. O Banco pretende garantir que cumpre a abordagem de tolerância de risco operacional garantindo que:

  • Todos os processos estão identificados, têm responsáveis alocados e estão incluídos no universo de processos[1];
  • Todos os processos estão mapeados e todos os riscos identificados;
  • Todos os processos estão padronizados, com excepção dos riscos regulatórios e de sistema;
  • Todos os riscos brutos estão classificados através do pior cenário possível do processo que lhes está associado não resultar;
  • Todos os processos associados a riscos de Muito Alto ou Alto são classificados como Críticos e têm a maior probabilidade de incumprir com a política de tolerância de risco operacional;
  • Os padrões de controlo de tolerância estão definidos para cada quantidade, materialidade e tempo de detecção e rectificação de deficiências;
  • Os processos padrão da indústria são aplicados aos processos críticos.

Eventos e Perdas de Risco Operacional
O terceiro pilar da abordagem de tolerância de risco operacional é o requisito de uma aprendizagem contínua com eventos externos ou mesmo internos para que a sua resolução e mitigação sejam incorporadas.

Capital
O quarto pilar da abordagem de tolerância de risco operacional é garantir a adequação de capital através da criação de diferentes cenários e de stress testing. O Banco pretende:

  • Deter capital suficiente para conseguir absorver eventos de grande severidade;
  • Manter os requisitos de capital interno dentro dos limites dos requisitos de capital regulatório.

Após a identificação de um evento de risco operacional (ORE) está definido um processo até que o evento possa ser considerado como resolvido:


Figura 22 - Processo de Evento de Risco Operacional

A escala dos eventos significativos de risco operacional (SORE) segue os seguintes critérios:

  • Considera-se com impacto financeiro quando atinge os $250.000 USD;
  • Incumprimento de normas regulatórias são classificadas como Muito Altas ou Altas;
  • Os danos reputacionais são classificados como Muito Altos, Altos ou Médios.

Para que um ORE necessite de ser alvo de uma revisão de Root Cause[2] terá que atingir os seguintes critérios:

  • Impacto financeiro:
    • Perda Bruta Operacional deve ser maior ou igual a $2 milhões USD;
    • Perda potencial operacional deve ser superior a $10 milhões USD.
  • Sem impacto financeiro:
    • Quando classificada como Falha no relatório de Auditoria;
    • Quando um ORE tem uma classificação de 5 ou 4 na escala GORAM[3] de Dano Reputacional ou Impacto Regulatório.

A matriz de avaliação de risco operacional (GORAM) apresenta a seguinte escala de riscos:


Figura 23 - Matriz de Avaliação de Risco Operacional

A monitorização do risco operacional faz uso da ferramenta Optial, uma ferramenta web based que permite a monitorização dos controlos implementados pela primeira linha de defesa, e é conseguida através dos seguintes tipos de controlos:

  • Indicadores risco chave (KRI – Key Risk Indicators);
  • Indicadores de controlo chave (KCI – Key Control Indicators);
  • Testes de amostra para controlo (CST – Controlo Sample Testing);
  • Controlos chave padrão (KCS – Key Control Standards);

Os KRIs controlam a mudança de probabilidade de ocorrência de eventos de risco. Por sua vez, o CST é um processo para garantir que os controlos chaves estão a funcionar. Os KCS são os requisitos específicos associados a um procedimento de controlo de risco que permitem efectuar verificações para além das associadas ao processo normal.

Dentro dos KCS o Grupo SCB desenvolve ainda os seguintes controlos:

  • KCS do Grupo (GKCS);
  • KCS de negócios e funções (BKCS);
  • KCS Locais (LKCS).

Em função dos KCS são delineados controlos específicos pela área responsável pela actividade. São três os papéis neste processo:

  • Colaborador responsável (RP) – Colaborador que realiza os KCS e documenta os resultados;
  • Responsável pela aprovação (Approver) – Realiza a revisão efectiva e aprova o KCS executado pelo colaborador;
  • BORM e UORM – Responsáveis pela qualidade e execução dos KCSs.

O sistema Phoenix é utilizado pelo SCBA para registar eventos que geram perdas operacionais, exposições de risco e planos de acção para mitigação do risco. Os dados carregados e gerados pelo Phoenix servem como base dos relatórios de gestão de riscos operacionais e de requisitos de capital.

Todas as áreas de negócio e suporte do Banco assumem responsabilidades na recolha e divulgação de riscos operacionais. As responsabilidades de recolha e gestão de risco operacional assume uma importância maior porque:

  • Divulgar e gerir de riscos a todos os níveis do Banco;
  • Capacitar o Banco de um processo de mitigação, controlo e monitorização robusto e baseado nas decisões de análise de impacto dos riscos, suportado pelo sistema Phoenix;
  • Cumprir com os requisitos básicos do acordo de Basileia II e cumprir, também, os requisitos regulamentares.

Desta forma, o sistema Phoenix constitui uma ferramenta e repositório de todos os dados sobre riscos operacionais do SCBA através da informação recolhida e posteriormente carregada no sistema. O acesso ao sistema Phoenix é assegurado por um pedido que é aprovado de acordo com a política de controlo de acessos.

A função de risco operacional tem um papel activo na implementação do processo de resolução de eventos de risco operacional e em assegurar que os pilares de tolerância de risco são respeitados. Esta função é assegurada pelos responsáveis de risco operacional para monitorizar e manter o risco operacional dentro dos limites definidos pela tolerância de risco operacional. A função de risco operacional é, então, responsável por:

Implementar as políticas, procedimentos e metodologia de risco operacional de forma transversal em todas as áreas de gestão do risco operacional.
Garantir que os responsáveis de processos e os responsáveis de risco compreendem as suas responsabilidades de gestão.
Monitorizar os Comités de gestão de risco operacional: Comités de Governação de Processos de Negócios (PGCs), Comité de Função de Risco Operacional (FORC) e Comité de Risco Operacional ao nível do país (CER).
Garantir um ponto de controlo fulcral sobre o risco operacional do Banco.

Tal como a função de risco operacional também as linhas de defesa assumem diferentes responsabilidades na gestão do risco operacional.


Figura 24 - Papel das Linhas de Defesa

A primeira linha de defesa, composta pelos colaboradores, assume uma responsabilidade quase diária na gestão do risco operacional. Por sua vez a segunda linha de gestão, composta pelos responsáveis de unidades de negócios e administradores, assumem uma gestão mais estratégica do risco operacional, estando focados em priorizar a mitigação do risco e em escalar potenciais incumprimentos. Finalmente, a terceira linha de gestão, composta pela Auditoria Interna, assume um papel de gestão periódica com objectivo de garantir a independência da gestão do risco operacional e verificar que o processo de gestão de risco operacional se encontra a ser correctamente realizado.

O sistema de registo de eventos de perdas por risco operacional, exposições de risco e planos de acção de mitigação usado pelo SCBA é o sistema Phoenix. Os dados guardados no sistema servem de base para os relatórios de gestão dos riscos operacionais e requisitos de capital. A recolha e gestão destes dados é de enorme importância na medida em que:

  • Permitem organizar e divulgar a gestão de risco a todos os níveis do SCBA;
  • Permitem ao Banco a realização de um processo de mitigação, controlo e monitorização robusto com base na análise dos impactos dos riscos;
  • Permitem cumprir com os requisitos de Basileia II e III para cumprimento dos requisitos regulamentares.

O reporte do risco operacional é a forma que o Banco tem em garantir que a equipa de gestão de topo fica ao corrente dos riscos operacionais existentes e consegue então tornar o Banco capaz de responder a eventos de risco quando estes surgirem. É também uma forma de o Banco manter uma postura de comunicação verdadeira para com os parceiros internos e externos.

O reporte para os gestores de topo deve incluir, pelo menos, os seguintes temas:

  • Comparação dos grandes riscos com os limites de tolerância do risco;
  • Mudanças no ambiente interno e externo;
  • Exposição ao risco e controlos correspondentes;
  • Eventos que estejam a ocorrer ou sejam previsíveis e as respectivas respostas de gestão;
  • Perdas e os respectivos ensinamentos;
  • Conclusões de auditorias, revisões regulatórias e outras conclusões independentes.
 

Nossa presença Global

Estamos presentes nos mercados emergentes a mais de 150 anos, é nosso objectivo liderar os principais mercados de África, Ásia e Médio Oriente.

Conheca mais sobre o nosso negócio global »

Here for good

“Here for good” é a essência do que somos, baseada na relação de proximidade com os nossos clientes em todas as circunstâncias, procurando fazer sempre da forma mais correcta.

Saiba mais sobre a essência “Here for good” »

Back to Top