Governo da Gestão de Risco
A gestão de risco no Grupo é governada por um modelo de controlo transversal e multidoméstico, no
qual cabe ao Conselho de Administração (CA) do Millennium bcp a responsabilidade última pela
gestão de risco, sendo a mesma supervisionada pela Comissão de Auditoria (órgão que emana do
CA). Graficamente, o modelo de governo da gestão de risco pode ser representado da seguinte
forma:
Modelo de gestão de riscos
Política de gestão e
controlo de riscos
Gestão diária
Medição, monitorização
e controlo de riscos
Conselho de Administração
Responsabilidades
pela supervisão ao
nível do Grupo
Comissão de
Avaliação de Riscos
Comissão de
Auditoria
Comissão Executiva
Responsabilidades
pela execução ao
nível do Grupo
Group CALCO
Comissão de Risco,
SCARC e SCRFP
Group Treasurer
Group Risk Officer
Comissão Executiva
Responsabilidades
pela execução ao
nível de cada
Entidade
Comissão de
Controlo de Risco
CALCO
Risk Officer local
Nos parágrafos seguintes apresentam-se sucintamente os órgãos de governo da gestão de risco.
Comissão de Auditoria
À Comissão de Auditoria (são cometidas, designadamente, as matérias de fiscalização da gestão, dos
documentos de reporte financeiro e ainda das medidas qualitativas de aperfeiçoamento dos
sistemas de controlo interno, da política de gestão de risco e da política de compliance,
competindo-lhe ainda supervisionar a atividade de auditoria interna, bem como zelar pela
independência do Revisor Oficial de Contas e emitir recomendação sobre a contratação de Auditores
Externos, formulação da respetiva proposta de eleição e condições contratuais de prestação de
serviços por parte destes e receber as comunicações de irregularidades apresentadas por Acionistas,
Colaboradores ou outros, assegurando o seu acompanhamento pela Direção de Auditoria Interna ou
pela Provedoria do Cliente.
Compete ainda à Comissão de Auditoria emitir parecer sobre os créditos concedidos sob qualquer
forma ou modalidade, incluindo prestação de garantias, bem como qualquer outro contracto que o
Banco ou qualquer sociedade do Grupo celebre com membros dos seus corpos sociais, detentores de
participações superiores a 2% no capital social do Banco, bem como com entidades que, nos termos
do Regime Geral das Instituições de Crédito e Sociedades Financeiras, estejam com qualquer um
destes relacionados.
A Comissão de Auditoria é a primeira destinatária dos Relatórios da Direção de Auditoria Interna e
do Revisor Oficial de Contas e Auditores Externos, reunindo regularmente com o Administrador
1
executivo responsável pela área financeira, o Group Risk Officer, o Compliance Officer e o
Responsável pela Auditoria Interna.
Comissão de Avaliação de Riscos
A Comissão de Avaliação de Riscos, composta por uma maioria de membros não executivos do
Conselho de Administração, tem as seguintes competências:
Acompanhar os níveis globais de risco de crédito, de mercado, de liquidez e operacional,
assegurando que os mesmos são compatíveis com os objetivos, recursos financeiros
disponíveis e estratégias aprovados para o desenvolvimento da atividade do grupo.
Aconselhar o Conselho de Administração em matérias relacionadas com a definição da
estratégia do risco, da gestão de capital e liquidez e da gestão dos riscos de mercado.
–
–
Comissão de Risco
É responsável por acompanhar os níveis globais de risco (riscos de crédito, de mercado, de liquidez
e operacional), assegurando que os mesmos são compatíveis com os objetivos, os recursos
financeiros disponíveis e as estratégias aprovadas para o desenvolvimento da atividade do Grupo.
Integram esta Comissão todos os membros da Comissão Executiva, o Group Risk Officer, o
Compliance Officer e os primeiros responsáveis das direções de Auditoria, Tesouraria e Mercados,
Planeamento e Controlo Orçamental, Participações Financeiras, Crédito, Rating, Gabinete de
Estudos e Assets and Liabilities Management.
Subcomissão de Acompanhamento do Risco de Crédito
Tem as seguintes funções e responsabilidades:
–
–
–
–
–
–
–
–
–
–
Acompanhar a evolução da exposição de crédito e do processo de contratação;
Acompanhar a evolução da qualidade da carteira e dos principais indicadores de
performance e risco;
Acompanhar o risco de contraparte e o risco de concentração das maiores exposições;
Acompanhar a evolução da imparidade e dos principais casos de análise individual de
imparidade;
Análise da performance dos processos de recuperação de crédito;
Acompanhamento do desinvestimento da carteira de imóveis;
Propostas para definição das políticas e normativos de concessão de crédito;
Acompanhamento dos modelos de PD (Probability of Default) e LGD (Loss Given Default);
Acompanhamento dos modelos subjacentes ao cálculo da imparidade;
Acompanhamento dos processos automáticos de decisão e de recuperação de crédito.
Subcomissão de Risco dos Fundos de Pensões
Esta Subcomissão especializada tem por missões a monitorização da performance e do risco dos
Fundos de Pensões do BCP (o Fundo de Benefício Definido e o Fundo Complementar) e o
estabelecimento de políticas de investimento adequadas e das respetivas estratégias de cobertura.
Group CALCO
É responsável pela gestão do capital global do Grupo, gestão de ativos e passivos e definição de
estratégias de gestão da liquidez ao nível consolidado. Em concreto, o Group CALCO (igualmente
designado por Comissão de Planeamento e Alocação de Capital e Gestão de Ativos e Passivos) é
responsável pela gestão estrutural dos riscos de mercado e liquidez, incluindo, entre outros, os
seguintes aspetos:
–
Monitorização e gestão dos riscos de mercado associados à estrutura de ativos e
2
–
–
passivos;
Planeamento e propostas de alocação de capital;
Elaboração de propostas para definição das políticas adequadas à gestão dos riscos de
liquidez e de mercado, no balanço consolidado do Grupo.
O Group CALCO é presidido pelo membro da Comissão Executiva responsável pela área financeira,
sendo também membros mais quatro elementos dessa Comissão. Os restantes membros do Group
CALCO são nomeados pela Comissão Executiva.
Group Risk Officer
É responsável pela função de controlo de risco para todas as entidades do Grupo. Assim, por forma a
assegurar a monitorização e alinhamento de conceitos, práticas e objectivos transversalmente,
compete ao Group Risk Officer informar a Comissão de Risco do nível geral de risco e propor
medidas para melhorar o ambiente de controlo e implementar os limites aprovados.
O Group Risk Officer tem poder de veto em qualquer decisão que não esteja sujeita a aprovação
pelo CA ou pela Comissão Executiva e que possa ter impacto nos níveis de risco do Grupo (exemplo:
lançamento de novos produtos ou alterações de processos).
De forma a cumprir a sua missão, as funções do Group Risk Officer incluem:

Suportar o estabelecimento de políticas e metodologias de gestão de risco para a
identificação, medição, limitação, monitorização, mitigação e reporte dos diversos tipos de
risco;

Propor e implementar um conjunto de métricas aplicável aos vários tipos de risco;

Assegurar a existência de um corpo de regras e procedimentos para suportar a gestão de
risco;

Controlar, numa base permanente, a evolução de diferentes riscos e a conformidade com as
políticas, regulações e limites aplicáveis;

Assegurar a existência de uma plataforma de IT efectiva e uma base de dados de informação
para a gestão de risco robusta e completa;

Participar em todas as decisões com relevância no risco e com impacto no sistema de
controlo interno, tendo autoridade para assegurar a conformidade com os regulamentos e
objectivos de risco do Grupo;

Preparar informação relativamente à gestão de risco para ser divulgada, internamente e ao
mercado.
O Group Risk Officer é nomeado pelo CA e apoia os trabalhos da Comissão de Risco.
3
Função de gestão de riscos, tipologias de risco e respectivo controlo/gestão
O Aviso n.º 5/2008 do Banco de Portugal define o sistema (ou função) de gestão de riscos enquanto
parte integrante do sistema de controlo interno das instituições financeiras, destinando-se a
identificar, avaliar, acompanhar e controlar todos os riscos que possam influenciar a estratégia e os
objectivos definidos pela instituição, assegurando o seu cumprimento bem como as acções
necessárias para responder adequadamente a desvios não desejados.
O Grupo encontra-se dotado de um sistema de gestão de riscos que cumpre estas disposições e gere
o conjunto das tipologias de risco definidas igualmente no Aviso n.º 5/2008, agrupadas da seguinte
forma:

Risco de crédito;

Riscos de mercado (nos quais se inclui a gestão e controlo do risco de mercado, do risco de
taxa de juro e do risco de taxa de câmbio);

Risco de liquidez;

Risco operacional (no qual se inclui a gestão e controlo do risco de sistemas de informação e
o risco de compliance);

Outros riscos (risco de estratégia, risco de reputação e risco do Fundo de Pensões).
Por outro lado, é importante referir que o Grupo gere também o tema da continuidade de negócio,
em duas vertentes do planeamento de contingência face a eventos de extrema gravidade que
possam afectar de forma muito significativa ou mesmo pôr em causa a própria sobrevivência da
instituição: o DRP (Disaster Recovery Plan) e o PCN (Plano de Continuidade de Negócios).
Em seguida, descrevem-se sucintamente as principais características e abordagens relativas ao
controlo e gestão destas vertentes de risco.
Risco de crédito
O Banco está dotado de uma adequada estrutura de gestão do risco de crédito, que abarca a análise
de risco, a decisão da concessão de crédito, o acompanhamento das operações de crédito e a
recuperação de crédito (em incumprimento ou vencido).
A avaliação do risco de crédito é feita através de um conjunto de sistemas e modelos de rating,
adequados aos diversos segmentos de negócio, que atribuem uma notação interna aos clientes,
representativa da respectiva capacidade creditícia, sendo que é utilizada uma única escala de graus
de risco (Rating Masterscale), comum a todos os segmentos.
Compete à Unidade de Controlo de Modelos (integrada no Risk Office do Grupo) o acompanhamento
e validação independente dos modelos de risco de crédito, sendo no primeiro caso igualmente
acompanhados e validados os próprios sistemas de rating em que os modelos em causa se integram.
A estrutura de acompanhamento e validação implementada envolve ainda os responsáveis pelo
modelos (Model Owners), os responsáveis pelos sistemas de rating (Rating System Owners), o
Comité de Validação, a Comissão de Risco e a Direcção de Auditoria.
Por outro lado, a cada operação de crédito é atribuída uma notação – o “Nível de Protecção” – que
entra em linha de conta com as características da operação, nomeadamente, com o valor dos
colaterais afectos à operação e a relação entre esse valor e o valor do crédito.
Neste sentido, o Banco cumpre plenamente os princípios de Basileia II, avaliando o risco de crédito
relativamente aos clientes e a cada operação em concreto.
Para apuramento dos requisitos de capital regulamentar relativo às suas actividades em Portugal, o
Banco utiliza, mediante autorização do Banco de Portugal, metodologias baseadas nas notações
internas acima referidas (IRB – Internal Ratings Based). A concessão desta autorização pelo
4
Supervisor resulta da adequação dos processos e sistemas do Banco dedicados à identificação,
avaliação, acompanhamento e controlo do risco de crédito.
O acompanhamento do risco de crédito do Grupo é feito mensalmente, através de diversos
indicadores da qualidade da carteira de crédito, sendo o Risk Office (a estrutura encabeçada pelo
Group Risk Officer) responsável pelo reporte regular desses dados, nos quais se incluem, por
exemplo, os valores relativos à imparidade e sinistralidade presentes na carteira. O reporte é feito
internamente – aos órgãos de administração e supervisão – e também externamente, cumprindo a
regulamentação em vigor sobre estas matérias.
Existem, também, estruturas independentes entre si, dedicadas à análise de crédito (5 unidades de
análise, integradas na Direcção de Crédito) e à recuperação de crédito (2 Direcções de Recuperação
e a Direcção de Contencioso), as quais estão definidas, em termos organizacionais, de acordo com
os diferentes segmentos de clientes ou de negócio.
Quanto à notação interna dos clientes, a mesma é da exclusiva responsabilidade de uma unidade de
estrutura específica e independente das demais (a Direcção de Rating) embora, para os clientes de
retalho, essa avaliação seja feita por modelos automáticos.
Finalmente, no que se refere à decisão de concessão crédito, esta função é assegurada por
diferentes níveis de decisão, claramente definidos e hierarquizados por regulamentação interna, em
função dos montantes e tipos de operações de crédito em causa.
Riscos de mercado
Para os riscos de mercado da carteira de negociação (Trading Book), o Banco utiliza uma medida
integrada de riscos de mercado que permite uma monitorização de todas as sub-tipologias de risco
consideradas relevantes. Esta medida integra a avaliação dos seguintes tipos de risco: risco
genérico, risco específico, risco não linear e risco de mercadorias.
Para a medição diária do risco genérico de mercado – relativo a risco de taxa de juro, risco cambial,
risco de acções e risco de preço dos Credit Default Swaps (CDS) - é utilizado um modelo de VaR
(Value-at-risk).
Em complemento ao apuramento do VaR, visando a identificação de concentrações de risco não
capturadas por essa métrica e, também, por forma a testar outras possíveis dimensões de perda, o
Grupo testa de forma contínua um conjunto alargado de cenários de esforço (stress scenarios) sobre
a carteira de negociação, analisando os resultados desses testes de esforço.
Para além disso, De modo a assegurar que o modelo interno de VaR é adequado para avaliar os
riscos envolvidos nas posições assumidas, são efectuadas diversas validações ao longo do tempo,
com diferentes âmbitos e frequências, nos quais se incluem o backtesting, a estimação dos efeitos
de diversificação e a análise da abrangência dos factores de risco.
Note-se que utilização do modelo interno de VaR para o apuramento dos requisitos de capital para o
risco genérico de mercado do Grupo (relativamente à sua actividade em Portugal) foi aprovada pelo
Banco de Portugal.
No que se refere ao risco específico e ao risco de mercadorias, estes são medidos através das
metodologias standard definidas na regulamentação aplicável (decorrente do Acordo de Basileia II),
com a correspondente alteração do horizonte temporal considerado.
As posições de tesouraria são medidas diariamente e intra-diariamente com base nas métricas
definidas para as diversas tipologias de risco de mercado, monitorizando-se, assim, os níveis de
risco incorridos. Estes níveis são controlados a partir de um conjunto de limites prudenciais
definidos internamente que reflectem a apetite ao risco do Grupo. Qualquer ultrapassagem desses
limites obriga à respectiva ratificação superior. Existem igualmente limites de stop-loss para estas
posições, definidas com base no referido conjunto de limites, que visam limitar, numa base
trimestral e anual, as perdas máximas acumuladas nestas carteiras.
A avaliação do risco de taxa de juro originado por operações da carteira bancária (Banking Book) é
efectuada através de um processo de análise de sensibilidade ao risco, realizado todos os meses,
para o universo de operações que integram o Balanço consolidado do Grupo.
5
As variações das taxas de juro de mercado têm efeito ao nível da margem financeira do Grupo,
tanto numa óptica de curto como de médio/longo prazo, afectando o valor económico da mesma
numa perspectiva de longo prazo. Os principais factores de risco advêm do mismatch de repricing
das posições da carteira (risco de repricing) e do risco de variação do nível das taxas de juro de
mercado (yield curve risk). Para além disso – embora com menor impacto - existe o risco de
variações desiguais em diferentes indexantes com o mesmo prazo de repricing (basis risk).
Por forma a identificar a exposição da carteira bancária do Grupo a estes riscos, a monitorização do
risco de taxa de juro entra em consideração com as características financeiras das posições
registadas nos sistemas de informação, sendo efectuada uma projecção dos respectivos cash-flows
esperados de acordo com as datas de repricing, calculando-se assim o impacto no valor económico
resultante de cenários alternativos de alteração nas curvas de taxas de juro de mercado.
Risco de liquidez
O controlo do risco de liquidez do Grupo, para horizontes temporais de curto prazo (até 3 meses), é
efectuado diariamente com base em métricas internamente definidas – o indicador de liquidez
imediata e o indicador de liquidez trimestral - as quais medem as necessidades máximas de tomada
de fundos que podem ocorrer cumulativamente nos respectivos horizontes temporais, considerandose as projecções de cashflows para períodos de, respectivamente.
No que se refere à liquidez estrutural, o Grupo efectua o controlo do respectivo perfil através de
um acompanhamento regular, por parte das suas estruturas e órgãos de gestão, de um conjunto de
indicadores definidos tanto internamente como pela regulamentação, que visam caracterizar o risco
de liquidez, como sejam o rácio de transformação de depósitos em crédito, os gaps de liquidez a
médio prazo e os rácios de cobertura de financiamentos em mercados de wholesale funding por
Activos Altamente Líquidos (HLA - Highly Liquid Assets).
Ainda no âmbito da gestão e controlo do risco de liquidez, o Grupo estabeleceu um Plano de
Contingência de Capital e Liquidez (PCCL), no qual se definem as prioridades, responsabilidades e
medidas específicas a tomar na ocorrência de uma situação de contingência de liquidez. O PCCL
define, enquanto objectivo, a manutenção de uma estrutura de liquidez e capital equilibrada,
estabelecendo também a necessidade de uma contínua monitorização das condições de mercado,
bem como linhas de acção e triggers que visam a tomada de decisões atempada perante cenários de
adversidade antecipados ou verificados.
Risco operacional
Para a gestão e controlo deste tipo de risco, o Grupo tem vindo a adoptar, de forma crescente e
muito relevante, um conjunto de princípios, práticas e mecanismos de controlo claramente
definidos, documentados e implementados, de que são exemplos a segregação de funções, a
definição de linhas de responsabilidade e respectivos níveis de autorização, a definição de limites
de tolerância e de exposição aos riscos, os códigos deontológicos e de conduta, os indicadores-chave
de risco (KRI – key risk indicators), os controlos de acessos (físicos e lógicos), as actividades de
reconciliação, os relatórios de excepção, os planos de contingência, a contratação de seguros e a
formação interna sobre processos, produtos e sistemas.
Assim, visando-se uma cada vez maior eficiência na identificação, avaliação, controlo e mitigação
das exposições ao risco operacional, o Grupo tem vindo a reforçar o seu sistema de gestão de risco
operacional e a alargar a sua abrangência às principais operações no exterior.
A gestão do risco operacional assenta numa estrutura de processos end-to-end, definida para todas
as subsidiárias do Grupo, beneficiando-se, dessa forma, de uma percepção mais abrangente dos
riscos, decorrente de uma visão integrada das actividades desenvolvidas ao longo da cadeia de
actividades de cada processo.
O conjunto dos processos definidos para cada entidade é dinâmico, sendo ajustado e diferenciado
em função das práticas operacionais e de negócio de cada uma, por forma a cobrir todas as
actividades relevantes desenvolvidas. Em Portugal, por exemplo, estão definidos cerca de 100
processos de negócio e de suporte ao negócio, sobre os quais é feita a gestão do risco operacional.
6
A responsabilidade pela gestão dos processos foi atribuída a process owners que têm por missão:

caracterizar as perdas operacionais capturadas no contexto dos seus processos;

realizar a auto-avaliação dos riscos (RSA – risks self-assessment), no âmbito de 20 subtipologias definidas para o risco operacional;

identificar e implementar as acções adequadas para mitigar exposições ao risco,
contribuindo para o reforço do ambiente de controlo interno;

monitorizar os indicadores de risco (KRI).
O objectivo da auto-avaliação dos riscos é o de promover a identificação e a mitigação (ou mesmo
eliminação) de riscos, actuais ou potenciais, no âmbito de cada processo. A classificação de cada
risco é obtida através do seu posicionamento numa matriz de tolerância, para três cenários
diferentes, o que permite:

determinar o risco operacional sem considerar a influência dos controlos existentes (Risco
Inerente);

avaliar a influência do ambiente de controlo existente na redução do nível das exposições
(Risco Residual);

identificar o impacto das oportunidades de melhoria na redução das exposições mais
significativas (Risco Objectivo).
O reconhecimento da política de gestão e controlo de risco operacional delineada resultou na
aprovação do Banco de Portugal relativa à utilização do Método Standard (TSA) para o cálculo dos
requisitos de fundos próprios para a cobertura do risco operacional.
Continuidade de negócio
O Grupo tem vindo a reforçar e aperfeiçoar a sua gestão da continuidade de negócio, destinada a
assegurar a continuidade da execução das principais actividades - de negócio ou suporte ao negócio
- em caso de catástrofe ou de contingência importante.
No Grupo, esta temática é abordada por via de duas vertentes distintas mas complementares: o
Disaster Recovery Plan (DRP), para os sistemas e as infra-estruturas de comunicações e o Plano de
Continuidade de Negócio (PCN), para as pessoas, instalações e equipamentos requeridos para o
suporte mínimo dos processos seleccionados, considerados como críticos. A título de exemplo,
refira-se que em Portugal há 36 processos críticos abrangidos pelo PCN, nos quais estão envolvidas
62 unidades de estrutura.
O desenho destes planos e a gestão desta área específica, muito ligada ao risco operacional, é
efectivada, promovida e coordenada por uma unidade de estrutura específica, transversal ao Grupo:
a Unidade de Continuidade de Negócio.
Em Portugal, na Polónia, na Grécia e na Roménia estão definidos e implementados os respectivos
PCN, estando já definidos e aprovados, em Portugal, a estratégia e o programa regular de
exercícios, que abrange todas as equipas operacionais que intervêm nos processos críticos. O
programa estabelece o treino de todas as unidades referidas até ao final de 2011, em exercícios e
simulações com complexidade e realismo crescentes.
O tema da continuidade de negócio encontra-se divulgado em termos de comunicação interna,
sendo disso exemplo a criação de sites na intranet do Millennium bcp dedicados à continuidade de
negócio – enquanto uma das vertentes da prevenção e segurança - e ao DRP.
Outros riscos
O risco de estratégia é gerido ao mais alto nível, pelo Conselho de Administração Executivo do
Millennium bcp, sendo que os órgãos homólogos em cada subsidiária actuam em consonância com as
políticas e estratégias definidas pela casa-mãe.
7
Relativamente ao risco de reputação, a respectiva gestão é feita, sobretudo, pela Direcção de
Comunicação do Banco embora, no âmbito da auto-avaliação de riscos operacionais (RSA) atrás
referida, esse exercícios sejam igualmente utilizados para capturar informação sobre o impacto na
reputação que advém da ocorrência dos riscos operacionais avaliados.
Resta referir que o Banco também enquadra, na sua gestão de riscos, o referente ao Fundo de
Pensões de Benefício Definido do BCP, o qual decorre da desvalorização potencial dos respectivos
activos ou da diminuição dos retornos esperados do Fundo que impliquem a efectivação de
contribuições não previstas. A regular monitorização deste risco e o acompanhamento da respectiva
gestão cabe à Sub-Comissão de Acompanhamento do Risco do Fundo de Pensões.
8