0%
 

Introdução ao Risco operacional do Citi (ERMTP-Foundational)

Sejam bem-vindos ao Risco operacional (ERMTP-Foundational)

Dicas de navegação do curso

O botão Menu fornece acesso a cada uma das seções.

O botão Início (Home) ao final de cada seção leva você ao início do curso.

O botão Recursos (Resources) exibe uma lista de links úteis.

O botão Trocar idioma (Switch Language) permite alternar para um idioma diferente.

O botão Fechar (Close) encerra a sessão de treinamento e fecha a janela do curso.

Se você estiver acessando o curso por meio de um dispositivo eletrônico pessoal, diretamente pela internet (ou seja, fora da rede do Citi), alguns links poderão não funcionar corretamente caso estejam vinculados a conteúdo na rede do Citi. Isso não afetará a sua capacidade de completar o curso.

Bem-vindos(as)

Este curso é uma introdução à gestão de risco operacional, que trata dos riscos reais capazes de impedir alcançar os nossos objetivos de negócio, desde falhas de sistemas e fraudes até erros de processo e riscos relacionados a pessoas.

Esses riscos estão presentes em tudo que fazemos e podem gerar consequências significativas, desde perdas substanciais aos clientes até danos à reputação, se não forem gerenciados de modo eficaz.

Este curso explica o que é o risco operacional e como toda a equipe do Citi têm um papel fundamental em identificar e mitigar os riscos operacionais para a empresa.

Este treinamento levará aproximadamente 15 minutos para ser concluído.

Role para baixo para continuar.

Enterprise Risk Management Training Program do Citi

Enterprise Risk Management Training Program Conhecimento de política de risco e controle Risco comun e habilidades para controles Risco especializado e habilidades para controles

Por que isto?

Este curso faz parte do Enterprise Risk Management Training Program (ERMTP) do Citi, uma série de cursos que desenvolverão sua compreensão sobre suas responsabilidades a respeito de risco e controle.

Por que agora?

Enterprise Risk Management Framework (ERMF) é padrão do Citi para a gestão de riscos. Como parte dos recursos que dão suporte à Enterprise Risk Management Framework (ERMF) do Citi, temos o compromisso de capacitar toda a equipe do Citi com o conhecimento e o treinamento para executar as responsabilidades diárias sobre risco e controle.

Por que nós?

A gestão de riscos é uma tarefa de todos no Citi. Todos somos gerentes de riscos. O risco é inerente aos negócios do Citi e não pode ser evitado. Todos devem estar atentos à gestão dos riscos mantendo a coerência e a responsabilidade, incluindo a conformidade com a legislação e os regulamentos aplicáveis.

Quais são os benefícios?

Conscientização e compreensão consistente do conhecimento de políticas de risco e controle, funções e responsabilidades em todas as linhas de defesa.

Introdução à ERMF


A ERMF estabelece uma abordagem ampla, integrada e consistente com a gestão de riscos em toda a empresa.

Este treinamento se concentrará especificamente no Risco operacional dentro do Pilar 3 (Gestão de riscos) da ERMF.

Os quatro pilares da estrutura de ERM do Citi.
Pilar 1: Cultura inclui valores, comportamentos e princípios de liderança, além de gestão de desempenho.
Pilar 2: Governança inclui Conselho e gestão, supervisão do Conselho, delegação, gestão executiva, comitês e escalonamento, linhas de defesa, e políticas, padrões e procedimentos.
Pilar 3: Gestão de riscos abrange o ciclo de vida de gestão de riscos (identificação, medição, monitoramento, controle e relatórios), riscos financeiros (crédito, mercado (negociação), mercado (não-negociação), liquidez] e riscos não-financeiros (operacionais, conformidade, estratégicos e reputação).
Pilar 4: Programas da empresa inclui identificação de riscos corporativos, apetite ao risco e limites, teste de estresse, planejamento estratégico e aprovação de novas atividades.
Recursos de suporte são: talento, gestão de desempenho e remuneração; comunicação e treinamento; tecnologia e dados, modelos e análises.

Objetivos de aprendizado do curso

Após concluir este curso, você será capaz de:

  • Definir Risco operacional
  • Reconhecer o significado de Risco operacional para a equipe do Citi e as suas responsabilidades para mitigá-lo

Critérios de conclusão

Este curso contém uma avaliação final. Você precisa alcançar a pontuação de 80% ou mais na avaliação para receber o crédito correspondente a este treinamento.

Este curso também inclui uma avaliação opcional. Se for aprovado(a), você não precisará revisar o conteúdo nem fazer a avaliação final e receberá o crédito pela conclusão.

Se preferir, pule a avaliação e siga diretamente para o conteúdo.

Entendendo o risco operacional

Entendendo o risco operacional

Nesta sessão, vamos examinar o Risco operacional do Citi, as categorias e os tipos de Risco operacional. Vamos começar com um cenário.

Role para baixo para continuar.

O que é Risco operacional?

Neste primeiro cenário, dois colegas do banco estão na fila do refeitório batendo um papo sobre Risco operacional. Mary é funcionária de outra área e John é gerente de Risco operacional.

Para prosseguir, selecione a seta à direita para saber mais.

 

Conhecendo o Risco operacional

Mary: “Olá, eu sou a Mary. Em que departamento você trabalha?”
John: “Olá, Mary, sou o John e trabalho na Gestão do risco operacional.”
Mary: “O que é Risco operacional? Não seria o mesmo que risco?”
John: “Terei prazer em explicar isso para você.”
 

O que é Risco operacional?

John: “Resumindo, um risco é a possibilidade de perder algo de valor e o Risco operacional, especificamente, é o risco de perda resultante da falha ou inadequação de processos internos, de pessoal, de sistemas ou eventos externos.”
 

Exemplos de Risco operacional

John: “Exemplos de Risco operacional são a violação de sistemas, o roubo, a perda de dados, os erros, etc.”
 

Exemplos de impacto

John: “Exemplos de impacto são os monetários, de reputação, disponibilidade de dados e de sistemas, etc.”
 
 

Risco operacional no Citi

Segue a definição de Risco operacional incluída na Operational Risk Management Policy:

O risco de perda resultante da falha ou inadequação de processos internos, pessoas, sistemas ou de eventos externos. Esta definição de risco operacional Inclui o risco jurídico, ou seja, o risco de perda (incluindo as custas processuais, acordos e multas regulatórias) decorrente da falha do Citi em cumprir leis, regulamentos, normas éticas adequadas e obrigações contratuais em qualquer aspecto dos negócios do Citi, mas exclui os riscos estratégicos e de reputação.

Nós também reconhecemos o impacto do Risco operacional no risco de reputação associado com as atividades de negócios do Citi.

A Operational Risk Management Framework e a Operational Risk Management Policy incluem outros detalhes para ajudar a entender melhor como garantir uma gestão eficaz no Citi.

Categorias de Riscos operacionais

Existem 11 subtipos de riscos operacionais: fraude, processamento, dados, cibernético, tecnologia, terceiros, interrupção e segurança de negócios, capital humano, produção de relatórios regulatórios e gerenciais, comunicação de demonstrações financeiras e risco de modelo.

Cada um desses está definido em detalhe na Taxonomia de riscos do Citi que pode ser consultada aqui.

Para continuar, selecione cada botão para revelar alguns exemplos desses riscos.

Risco cibernético

Risco cibernético

Risco cibernético, entendido como a possibilidade de acesso, uso, divulgação, modificação ou destruição não autorizados de informações e/ou interrupção de sistemas de informação.
Risco de dados

Risco de dados

Risco de dados, entendido como a retenção, descarte, uso ou manutenção da qualidade dos dados de forma indevida, bem como violações à privacidade de dados.
Risco de fraude

Risco de fraude

Risco de fraude, entendido como o uso fraudulento ou apropriação indevida de forma deliberada de ativos, recursos, serviços ou benefícios para um ganho pessoal ou para causar perdas.
Risco de interrupção e segurança do negócio

Risco de interrupção e segurança do negócio

Risco de interrupção e segurança do negócio, entendido como danos físicos ou a indisponibilidade de instalações do Citi, serviços de utilidade, ativos físicos e/ou pessoas.

Pense nisso…

Quais são os tipos de riscos operacionais que você identifica em seu trabalho e qual é o impacto em potencial que eles poderiam ter?

Tipos de Risco operacional:

  • violação de sistemas, roubo, perda de dados, erros de processamento, falhas tecnológicas, e muito mais

Tipos de impacto:

  • monetário, danos à reputação, impacto nos clientes, e muito mais

Em caso de dúvidas sobre Risco operacional, entre em contato com o gerente de Risco operacional sênior do Negócio (In-Business SORM) ou com o seu Líder de Categoria de Risco L1 (RCL L1).

Selecione os termos acima para saber mais sobre cada função.

Selecione Register of In-Business SORMs and Independent SORMs e Register of L1 RCLs and L1 RCSMEs para visualizar os indivíduos nomeados para essas funções.

A seguir

Agora que você aprendeu sobre os diferentes tipos de Risco operacional, veremos as lições aprendidas de experiências passadas e, em seguida, as lições aprendidas do setor. Vamos começar com o que foi aprendido de experiências passadas.

Aprendendo com a experiência passada

Aprendendo com a experiência passada

Nesta seção, vamos explorar como podemos usar o que foi aprendido no passado para reduzir o Risco operacional.

Role para baixo para continuar.

Lições aprendidas no passado

O cenário a seguir é um exemplo de Risco cibernético e Risco de fraude e furto. Neste caso, Abdullah e Lee estão em uma sala de reuniões conversando sobre um próximo projeto de aprimoramento de controles.

Abdullah é o gerente de Lee e trabalha com cibersegurança há dez anos. Lee se integrou ao grupo recentemente.

Para prosseguir, selecione a seta à direita para saber mais.

 

Abdullah e Lee se encontram

Abdullah: “Temos um projeto a caminho para fortalecer nossos controles contra possíveis ataques cibernéticos. Isso reduzirá a exposição ao risco de ataques cibernéticos e protegerá o Citi de prejuízos financeiros. Você se lembra de algum ataque cibernético que tenha causado grande perda financeira?”
Lee: “Não, não consigo me lembrar.”
 

Abdullah compartilha uma experiência do passado

Abdullah: “Permita-me contar sobre um ataque cibernético que aconteceu conosco. Isso vai ajudar você a entender melhor a importância do nosso próximo projeto.”
Lee: “Tudo bem.”
 

Abdullah alerta sobre ataques cibernéticos

Abdullah: “Há alguns anos, criminosos cibernéticos alvejaram o nosso portal de aquisições on-line que milhões de novos clientes utilizam para solicitar diversos produtos de cartão de crédito que oferecemos.

Houve um erro na validação da identidade dos clientes em um de nossos sistemas, que permitiu a abertura de contas fraudulentas. Nossas ferramentas de prevenção e detecção de fraudes não foram fortes o suficiente para prevenir ou detectar o fato.”
 

Abdullah explica o que aconteceu

 Abdullah: “Os criminosos cibernéticos perceberam o fato como uma oportunidade, que resultou em uma onda de pedidos fraudulentos. Isso gerou prejuízos de milhões de dólares.”
 

Abdullah conta sobre uma segunda tentativa

Lee: “Aposto que eles queriam nos atacar de novo.”
Abdullah: “Tem razão e eles fizeram isso. Eles então usaram ‘bots’ automatizados para nos atacar novamente. No entanto, tínhamos reforçado os nossos controles de prevenção e detecção de fraude, e eles não conseguiram.”
 

Lee descobre a lição aprendida com o passado

Lee: “Isso é ótimo! Então, o nosso projeto é implementar controles automatizados adicionais proativamente?”
Abdullah: “Sim. Vamos começar.”
 
 

Pense nisso…

Pense em algo que deu errado e impactou o modo como você age na rotina diária de trabalho.

O que você aprendeu com o evento e quais ajustes teve que fazer para minimizar as chances de que voltasse a acontecer?

A seguir

Agora que examinamos as lições de experiências passadas, vamos ver as lições aprendidas do setor financeiro.

Aprendendo com o setor financeiro

Aprendendo com o setor financeiro

Nesta sessão, vamos examinar as lições aprendidas com o nosso setor para reconhecer os Riscos operacionais e a nossa obrigação de comunicá-los.

Role para baixo para continuar.

Reconhecendo as pistas

Neste cenário, Molly, que trabalha no departamento de operações de um banco, ligou o noticiário e soube da violação de dados causada por um fornecedor terceiro que não mantinha controles suficientemente eficazes.

No dia seguinte, Molly avaliou o processo da sua organização e chegou à conclusão de que poderia haver um problema com esse fornecedor terceiro.

O que Molly deveria fazer?

Como Molly acredita que pode haver um problema com o fornecedor terceiro, quais seriam seus próximos passos?

Selecione a melhor resposta das quatro opções e clique em Enviar.

Utilize a barra de espaço apenas para selecionar a opção de rádio pelo teclado. A tecla Enter não é totalmente compatível. Se a tecla Enter foi usada para selecionar uma opção de rádio, use a tecla Esc. Em seguida, você poderá usar a barra de espaço novamente para selecionar uma opção de rádio.

Enviar

Obrigação de relatar riscos

Após ler a Escalation Policy do Citi, ela percebeu que tinha a obrigação de comunicar o fato, ainda que não tivesse em mãos todas as informações que julgava necessárias.

Durante uma reunião da equipe naquela semana, Molly falou sobre suas preocupações e o seu gerente a aconselhou a investigar o assunto. O seu gerente examinou bem e concluiu que Molly poderia estar certa. O assunto foi escalonado para a equipe de gestão de risco de terceiros para análise adicional. Um mês depois, foram apresentadas as recomendações de melhorias ao Comitê de terceiros.

Como resultado, foram implementados controles de forma proativa para minimizar futuras violações de controle.

Pense nisso…

Aproveite para fazer uma reflexão sobre a sua responsabilidade na gestão de riscos da empresa:

Quando observamos algo no noticiário e pensamos que isso também poderia acontecer no Citi, é sua responsabilidade atuar como um gerente de risco: identificá-lo e escaloná-lo.

A seguir

Em seguida, veremos um exemplo do risco de fraude e furto e a implementação de controles eficazes.

Implementando controles eficazes

Implementando controles eficazes

Nesta sessão, revisaremos um exemplo do risco de fraude e furto e a importância dos controles eficazes.

Role para baixo para continuar.

A importância dos controles eficazes

Nesse cenário, dois colegas, Imogen e Girish resolvem almoçar juntos. Imogen é funcionária de uma agência e Girish trabalha no setor de Marketing. Durante o almoço, Girish pergunta à Imogen se soube da história do caixa eletrônico, que está em todas as mídias sociais.

Para prosseguir, selecione a seta à direita para saber mais.

 

Girish: “Você soube da atualização de software do caixa eletrônico que causou exposição de toda a rede de caixas eletrônicos?”
Imogen: “Não, o que houve?”
 

Girish: “Os caixas eletrônicos pararam de verificar erros de PIN ou disponibilidade de fundos. Isso permitiu que os clientes retirassem mais dinheiro do que tinham na conta. Além disso, os criminosos puderam retirar dinheiro das contas de clientes sem precisar saber seus PINs.”
Imogen: “Como foi que isso aconteceu?”
 

Girish: “O banco estava atualizando o software dos caixas eletrônicos e um erro passou durante o teste. As notícias da falha se espalharam rapidamente pelas mídias sociais.”
 
Imogen: “Será que ninguém do banco sabia o que estava acontecendo com todo o ruído das mídias sociais?”
Girish: “Naquele momento, não. O banco não estava acompanhando as mídias sociais sobre eventos em tempo real.”
Imogen: “Então… o que eles fizeram?”
 

Girish: “O banco fez uma revisão completa do que houve de errado para determinar como evitar que aconteça novamente.

Eles implementaram controles adicionais durante o teste e começaram o monitoramento dos eventos em tempo real nas mídias sociais.

Portanto, Imogen, algo que pode parecer um simples upgrade pode ter um possível impacto significativo.”
 
 

Pense nisso…

Você consegue se lembrar de uma situação em que tenha ocorrido alguma violação na sua área de atuação?

A violação foi causada por pessoas, processos, tecnologia ou todas as alternativas acima?

A seguir

No próximo cenário de Risco de processamento, vamos examinar como aprender com eventos near miss.

Aprendendo com eventos near miss

Aprendendo com eventos near miss

Nesta sessão, vamos identificar como podemos aprender com eventos near miss.

Role para baixo para continuar.

Cenário de Risco de processamento

Jayden trabalha no setor contábil. Realizar transferências bancárias para os clientes é uma de suas responsabilidades.

Um cliente solicitou a Jayden a transferência de uma quantia elevada de fundos.

Jayden seguiu o processo normal de preparação da transferência dos fundos para o banco do cliente. Ele enviou os fundos e foi para a casa, ao final do expediente. No dia seguinte, Jayden chegou no banco e imediatamente se dirigiu ao escritório da Nancy, sua gerente.

Para prosseguir, selecione a seta à direita para saber mais.

 

Jayden se encontra com sua gerente

Nancy: “Olá, Jayden.”
Jayden: “Olá, Nancy.”
Nancy: “Você pode revisar uma transferência bancária realizada ontem à noite?”
 

Nancy explica o problema

Nancy explica ao Jayden que a transferência foi enviada na moeda errada e com um valor significativamente maior do que deveria ter transferido. Jayden ficou em choque.
 

Nancy explica o evento near miss.

Jayden: “O que houve?”
Nancy: “Parece que houve um erro manual no campo de moeda ao configurar a conta; algo que faltou durante o processo de criação/verificação. O valor foi recuperado integralmente em poucas horas e o valor correto foi transferido para o cliente. Isso se chama evento near miss.”
 

Lição aprendida com um near miss

Jayden: “Parece que precisamos avaliar o que é necessário para fortalecer os nossos controles.”
 
 

Pense nisso…

Aproveite para fazer uma reflexão sobre um evento near miss que aconteceu com você.

Teria sido por falta de controles ou de verificações automatizadas? Como foi remediado?

A seguir

Por fim, vamos analisar a importância de conhecer os seus requisitos.

Conheça os seus requisitos

Conheça os seus requisitos

Na próxima sessão, vamos examinar a importância da validação do modelo e revisar o Ciclo de vida do modelo.

Role para baixo para continuar.

Revisão de Modelo e Objeto de Inteligência Artificial (IA)

Erik é novo no banco e chefia um departamento. Uma de suas atribuições é a de revisar o inventário de modelos e objetos de IA, bem como os métodos, sistemas e/ou abordagens (incluindo os principais processos de negócios, EUCs/ITeSSs, CSIs, RPAs, fornecedores, relatórios de MIS, critérios de decisão, critérios para o estabelecimento de alvos, estratégias, previsões, projeções etc.), de acordo com a definição de Modelo e de objeto Não-Modelo de IA para assegurar que todos os modelos e objetos de IA utilizados tenham sido enviados e validados por Model Risk Management (MRM).

No cenário hipotético a seguir, Erik se reúne com Jane que é a diretora de Modelos que coordena a certificação semestral do Inventário de Modelos e Objetos Não Modelos de IA para seu negócio.

Para prosseguir, selecione a seta à direita para saber mais.

 

A reunião

Erik: “Olá, eu sou o Erik.”
Jane: “Prazer em conhecê-lo, Erik. Meu nome é Jane”.
Erik: “O prazer é meu, Jane.”
Jane: “Vamos começar. A finalidade desta reunião é revisar a lista dos modelos e objetos de IA registrados que a sua equipe utiliza.”
Erik: “Tudo bem.”

 

Revisão dos Modelos e Objetos de IA registrados

À medida que a Jane revisa os modelos objetos de IA registrados, um modelo em especial chama a atenção de Erik. Parece similar a outro modelo que a sua equipe usa atualmente, e que aparentemente não está na lista.
 

O modelo do Erik não está na lista

Erik: “Observei que um modelo que a minha equipe usa parece não estar na lista. Você poderia me orientar quanto ao processo para que possamos registrá-lo?”
 

O Processo de identificação de Modelos e de Objetos de IA

Jane: “Claro. Usar um modelo ou um objeto de IA não validado contraria a nossa política. Nossa equipe fará primeiramente uma revisão completa para determinar se não foi enviado e validado por MRM, além de confirmar que não existem outras instâncias. Após a revisão, se for constatado que não foram enviados e validados por MRM, indicaremos os próximos passos para enviá-los ao Model Risk Management.”
Erik: “Ok. Obrigado.”
 
 

Pense nisso…

Reflita por alguns momentos. Você utiliza modelos na sua função? Caso afirmativo, você sabe como confirmar se o seu modelo está validado?

Para saber mais sobre a Model Risk Framework do Citi, consulte o Model Risk Management intranet site.

A seguir

A seguir, um resumo dos principais aprendizados deste treinamento.

Principais aprendizados

Principais aprendizados

Nesta seção, revisaremos o que você aprendeu no curso.

Role para baixo para continuar.

Recapitulação do que você aprendeu

Todos somos gerentes de risco e responsáveis por reduzir os Riscos operacionais.

Para fazer isso, precisamos:

  • Assumir a responsabilidade de escalonar se observarmos algo que nos preocupa.
  • Continuar a aprender sobre os controles e as ferramentas implementados para identificar, medir, monitorar e mitigar riscos e como aprimorá-los para reduzir perdas.

O resultado? O Citi estará mais bem protegido contra Riscos operacionais.

A seguir

Agora, chegou a hora de verificar o seu entendimento deste conteúdo, com uma breve avaliação.

O que é Risco operacional?

Selecione a melhor resposta das quatro opções e clique em Enviar.

Utilize a barra de espaço apenas para selecionar a opção de rádio pelo teclado. A tecla Enter não é totalmente compatível. Se a tecla Enter foi usada para selecionar uma opção de rádio, use a tecla Esc. Em seguida, você poderá usar a barra de espaço novamente para selecionar uma opção de rádio.

Enviar

Qual não é uma categoria de risco operacional?

Selecione a melhor resposta das quatro opções e clique em Enviar.

Utilize a barra de espaço apenas para selecionar a opção de rádio pelo teclado. A tecla Enter não é totalmente compatível. Se a tecla Enter foi usada para selecionar uma opção de rádio, use a tecla Esc. Em seguida, você poderá usar a barra de espaço novamente para selecionar uma opção de rádio.

Enviar

O que você pode fazer para ajudar a gerenciar o risco operacional?

Selecione a melhor resposta das quatro opções e clique em Enviar.

Utilize a barra de espaço apenas para selecionar a opção de rádio pelo teclado. A tecla Enter não é totalmente compatível. Se a tecla Enter foi usada para selecionar uma opção de rádio, use a tecla Esc. Em seguida, você poderá usar a barra de espaço novamente para selecionar uma opção de rádio.

Enviar

Quem tem a responsabilidade de gerenciar o Risco operacional no Citi?

Selecione a melhor resposta das quatro opções e clique em Enviar.

Utilize a barra de espaço apenas para selecionar a opção de rádio pelo teclado. A tecla Enter não é totalmente compatível. Se a tecla Enter foi usada para selecionar uma opção de rádio, use a tecla Esc. Em seguida, você poderá usar a barra de espaço novamente para selecionar uma opção de rádio.

Enviar

Qual é uma possível consequência da gestão ineficaz do risco operacional?

Selecione a melhor resposta das quatro opções e clique em Enviar.

Utilize a barra de espaço apenas para selecionar a opção de rádio pelo teclado. A tecla Enter não é totalmente compatível. Se a tecla Enter foi usada para selecionar uma opção de rádio, use a tecla Esc. Em seguida, você poderá usar a barra de espaço novamente para selecionar uma opção de rádio.

Enviar

Copyright © Citi e/ou suas afiliadas. Todos os direitos reservados.

Selecione o botão Início (Home) a qualquer momento para voltar a este menu.

Bem-vindos(as)

Entendendo o risco operacional

Aprendendo com a experiência passada

Aprendendo com o setor financeiro

Implementando controles eficazes

Aprendendo com eventos near miss

Conheça os seus requisitos

Principais aprendizados

Avaliação

Início (Home)
Bem-vindos(as)
Entendendo o risco operacional
Aprendendo com a experiência passada
Aprendendo com o setor financeiro
Implementando controles eficazes
Aprendendo com eventos near miss
Conheça os seus requisitos
Principais aprendizados
Avaliação

vá para o botão fechar (close) o menu

 

vá para o botão fechar (close)