ITAÚ UNIBANCO HOLDING S.A.
CNPJ 60.872.504/0001-23
Companhia Aberta
NIRE 35300010230
RELATÓRIO DE ACESSO PÚBLICO – GESTÃO INTEGRADA DE RISCO OPERACIONAL, CONTROLES INTERNOS
E COMPLIANCE
Objetivo
Este documento tem por objetivo estabelecer as diretrizes e responsabilidades associadas à estrutura de gerenciamento
de Risco Operacional, Controles Internos e Compliance, observando as melhores práticas de mercado, normas e
regulamentações aplicáveis.
Diretrizes
O Conselho de Administração aprova as diretrizes, estratégias e políticas referentes ao Risco Operacional, Controles
Internos e Compliance, garantindo que haja claro entendimento dos papéis e responsabilidades para todos os níveis do
conglomerado.
Diretrizes de Risco Operacional:

Identificar os eventos de risco operacional que podem influenciar o cumprimento dos objetivos estratégicos e
operacionais definidos pelo conglomerado.

Avaliar os eventos de risco operacional identificados e mensurar a exposição do conglomerado a esses riscos.

Controlar e/ou mitigar os eventos de risco operacional identificados.

Monitorar as exposições aos eventos de risco operacional, de forma a manter atualizado o montante de capital
necessário correspondente.

Reportar os eventos de risco operacional relevantes associados a cada instituição individualmente e ao
conglomerado e os respectivos desvios em relação aos níveis de tolerância estabelecidos e aprovados, com
periodicidade mínima anual.

Assegurar que as atividades de identificação, avaliação, mensuração, controle, monitoramento e reporte
considerem os eventos de risco operacional inerentes às atividades do conglomerado e aos serviços
terceirizados relevantes sob sua coordenação.

Manter documentadas e armazenadas as informações referentes às perdas associadas ao risco operacional,
incorridas pelo conglomerado e reportadas, quando aplicável.

Reportar as informações referentes às perdas associadas ao risco operacional.
Diretrizes de Controles Internos:

Definir políticas e processos para controlar e/ou mitigar os eventos de risco operacional inerentes às atividades
do conglomerado e aos serviços terceirizados relevantes sob sua coordenação.

Avaliar e monitorar a qualidade e efetividade do ambiente de controle para controlar e/ou mitigar os eventos de
risco operacional do conglomerado, com periodicidade mínima anual, de forma a que se possa certificar se os
controles estabelecidos estão sendo cumpridos.

Estabelecer plano de contingência contendo as estratégias a serem adotadas para assegurar condições de
continuidade das atividades e para limitar perdas decorrentes de risco operacional.

Garantir revisão e atualização periódicas dos controles internos do conglomerado, de forma a que sejam a eles
incorporadas medidas relacionadas a eventos de risco operacional novos ou anteriormente não abordados.

Acompanhar o endereçamento dos apontamentos levantados pelas auditorias e Reguladores.

Reportar deficiências de controle relevantes associados a cada instituição individualmente e ao conglomerado,
com periodicidade mínima anual.
Diretrizes de Compliance:

Acompanhar as modificações no ambiente regulatório, garantindo a conformidade dos produtos e processos às
normas internas e externas vigentes em cada país.

Desenvolver e atualizar políticas e circulares próprias e apoiar a criação e revisão de políticas e circulares do
conglomerado, garantindo sua padronização, organização e publicação.

Coordenar o relacionamento e reporte aos Reguladores, acompanhar as ações originadas dos compromissos
assumidos, facilitando o compartilhamento de informações e garantindo a consistência do posicionamento
institucional.

Orientar e aconselhar os administradores e colaboradores do conglomerado, direcionando soluções a consultas
específicas relacionadas ao cumprimento de normas externas.

Reportar as situações de não conformidade relevantes associadas a cada instituição individualmente e ao
conglomerado.
Responsabilidades
O Itaú Unibanco adota a estratégia das três linhas de defesa como meio primário para operacionalizar sua estrutura de
gerenciamento de Risco Operacional, Controles Internos e Compliance, e assegurar o cumprimento das diretrizes
definidas por meio de uma abordagem integrada.
Primeira Linha de Defesa
A “primeira linha de defesa” é representada pelos Vice-Presidentes, Diretores e demais gestores de cada área de
Negócio ou Suporte, que são responsáveis diretos por:

Identificar, mensurar, avaliar, entender e gerenciar os eventos de risco operacional que podem influenciar o
cumprimento dos objetivos estratégicos e operacionais definidos.

Comunicar prontamente à Área de Controle e Gestão de Riscos e Finanças sempre que identificar riscos
potenciais não previstos no desenvolvimento das atividades de controle, ou alterações em relação às normas e
regulamentações vigentes.

Manter um efetivo ambiente de controle relacionado às atividades desenvolvidas; aos seus sistemas de
informações financeiras, operacionais e gerenciais; ao cumprimento das normas externas e internas aplicáveis e;
consistente com a natureza, complexidade e risco das operações realizadas.

Documentar, armazenar e reportar as informações referentes às perdas associadas ao risco operacional e
reportá-las.

Gerir os eventos de risco operacional e controles dos processos de sua atribuição e das atividades terceirizadas
relevantes sob sua coordenação, por meio de abordagens preventivas e detectivas.

Avaliar as normas externas e internas e verificar o impacto que estas podem ter nos seus processos e
procedimentos e a necessidade de planos de ação para garantir sua aderência.

Definir e implantar os planos de ação para endereçamento dos apontamentos efetuados pelas Auditorias,
Reguladores e Controles Internos.

Garantir a aplicação das decisões, políticas e estratégias aprovadas, e a manutenção do ambiente de controle
adequado.
Segunda Linha de Defesa
A “segunda linha de defesa” é representada pelas áreas indicadas a seguir:
Área Controle e Gestão de Riscos e Finanças (Brasil e Unidades Internacionais)

Divulga e garante a aplicação das decisões, políticas e estratégias para o gerenciamento do Risco Operacional,
Controles Internos e Compliance às áreas de Negócio e Suporte e aos Chief Risk Officers (CROs) das Unidades
Internacionais.
Diretoria de Gestão de Capital

Efetua o cálculo e a alocação de capital para risco operacional por Unidade de Negócio e de Suporte pela
Abordagem Padronizada Alternativa (ASA).

Monitora a adequação do nível de Patrimônio de Referência (PR) com relação ao risco operacional assumido
pelo conglomerado.
Diretoria de Controles Internos, Compliance e Risco Operacional

Apóia a primeira linha de defesa na observação de suas responsabilidades diretas por meio de sua estrutura de
Oficiais de Controles Internos e Riscos.

Dissemina a cultura de riscos e controles e divulga as melhores práticas e políticas relacionadas ao
gerenciamento integrado de Risco Operacional, Controles Internos e Compliance.

Desenvolve e disponibiliza as metodologias, ferramentas, sistemas, infraestrutura e governança necessárias
para suportar o gerenciamento integrado de Risco Operacional, Controles Internos e Compliance nas atividades
do conglomerado e terceirizadas relevantes sob sua coordenação.

Coordena as atividades de Risco Operacional, Controles Internos e Compliance e sua atribuição junto às áreas
de Negócio e Suporte, sendo independente no exercício de suas funções e possuindo comunicação direta com
qualquer administrador ou colaborador e acesso a quaisquer informações necessárias no âmbito de suas
responsabilidades. Por esse motivo, é vedada a essa Diretoria realizar a gestão de qualquer negócio que possa
comprometer a sua independência.

Coordena as atividades de gestão de crises e de elaboração e aplicação dos planos de continuidade de
negócios.

Certifica a eficiência e a eficácia do ambiente de controle da primeira linha de defesa, através de programas de
monitoramento, testes de controles chaves, reportando o risco residual de modo independente.

Atua em conjunto com outras áreas de Suporte do conglomerado que, dentre suas atribuições, também possuem
atividades de segunda linha de defesa, como: prevenção e combate a atos ilícitos, segurança corporativa,
sustentabilidade e jurídico consultivo, dentre outras.

Acompanha, periodicamente, o endereçamento dos apontamentos efetuados pelas Auditorias e Reguladores.

Gerencia o processo de elaboração, revisão e aprovação de políticas institucionais de riscos, atendendo às
diretrizes regulatórias.

Assegura a governança dos temas de Risco Operacional, Controles Internos e Compliance, por meio de reporte
aos órgãos colegiados do conglomerado.

Valida, de forma independente, políticas e processos para fins de certificação.

Avalia previamente o risco operacional envolvido na alteração e criação de novos produtos.

Valida a classificação de Risco Operacional ou Regulatório dos projetos que demandem desenvolvimento de
software interno.

Reporta relatórios que permitam a identificação e correção das deficiências de controle relevantes associados a
cada instituição individualmente e ao conglomerado, com periodicidade mínima anual.

Mantém documentadas e armazenadas as informações referentes às perdas associadas ao risco operacional,
incorridas pelo conglomerado e por outras instituições.

Realiza o monitoramento das negociações de títulos e valores mobiliários de emissão do Itaú Unibanco e suas
controladas, a fim de evitar descumprimento à legislação e à Política de Negociação de Valores Mobiliários do
Itaú Unibanco. Além disso, é responsável por manter o sistema de aderentes solicitando atualização sempre que
necessário ou definido em política.
Documentos Relacionados
Resolução 3.380/06 CMN - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional.
Resolução 2.554/98 CMN - Dispõe sobre a implementação e implantação de sistema de controles internos.
Glossário
Abordagem Padronizada Alternativa (ASA): o conglomerado utiliza a abordagem ASA para o cálculo e reporte de seu
capital regulatório de risco operacional, sendo ambos realizados pela Diretoria de Controle Gerencial e Orçamentos. Para
fins de gestão, o cálculo do capital gerencial pode considerar as informações de bases de eventos de risco, indicadores,
planos de continuidade de negócios e cenários, dentre outras.
Reguladores: Órgãos Reguladores, Autorreguladores, Supervisores, Fiscalizadores e entidades representativas dos
setores de atuação do conglomerado no Brasil e no exterior.
Aprovado pelo Conselho de Administração de 27/08/2015.