{
	"ora_anoReferencia": 2025,
	"ora_conteudo": [
		{
			"texto": "O gerenciamento do risco operacional no Conglomerado Prudencial UBS Brasil está integrado à estrutura de riscos não financeiros do Grupo e é conduzido de forma contínua, observando o princípio de proporcionalidade em relação à natureza, complexidade e perfil de risco das atividades desenvolvidas no país. O risco operacional é tratado como inerente às atividades, processos, sistemas, pessoas e serviços prestados pela instituição, incluindo o risco legal, e é gerido com base em políticas corporativas e locais que estabelecem princípios, diretrizes, papéis e responsabilidades, critérios de materialidade e mecanismos de governança. A estratégia de gerenciamento contempla, entre outros aspectos: •	identificação e avaliação estruturada dos riscos operacionais e legais relevantes, considerando risco inerente, ambiente de controles e risco residual; •	classificação padronizada de eventos e deficiências de controle, com impactos financeiros e não financeiros; •	processos formais para registro, análise, tratamento e remediação de eventos e deficiências, com definição clara de responsabilidades e prazos; •	definição e monitoramento do apetite ao risco operacional por meio de declaração formal aprovada pela Alta Administração, operacionalizada por indicadores e limites estabelecidos na Declaração de Apetite ao Risco (Risk Appetite Statement), em alinhamento com a estratégia do Conglomerado; •	mecanismos de escalonamento e reporte tempestivo em caso de desvios relevantes, falhas críticas de controle ou ultrapassagem dos limites de apetite a risco. De forma geral, o Conglomerado adota postura conservadora e não tolera falhas relevantes de controles, eventos operacionais materiais ou não conformidades intencionais.",
			"tags": [
				"a"
			]
		},
		{
			"texto": "O gerenciamento do risco operacional segue o Modelo das Três Linhas de Defesa, assegurando adequada segregação de funções, responsabilização das áreas de negócio e supervisão independente: •	Primeira Linha de Defesa (Linhas de Negócio e Funções de Suporte): responsável pela identificação, avaliação, mitigação e monitoramento dos riscos operacionais inerentes às suas atividades, bem como pelo desenho, implementação, operação e manutenção dos controles internos, registro de eventos e implementação de planos de ação. •	Segunda Linha de Defesa (Riscos e Compliance): responsável pela supervisão independente do gerenciamento do risco operacional, incluindo revisão crítica das avaliações realizadas pela Primeira Linha, validação de severidade e materialidade, monitoramento das exposições em relação ao apetite a risco e acompanhamento da execução e efetividade das ações corretivas. •	Terceira Linha de Defesa (Auditoria Interna): responsável por avaliações independentes e periódicas sobre a adequação e a efetividade da estrutura de governança, do gerenciamento de riscos e dos controles internos, reportando seus resultados às instâncias competentes da Alta Administração. A governança de risco operacional é suportada por fóruns e comitês executivos e de riscos, que acompanham o perfil de risco operacional, deliberam sobre temas relevantes e asseguram alinhamento com a estratégia e o apetite a risco aprovados.",
			"tags": [
				"b"
			]
		},
		{
			"texto": "A mensuração e o monitoramento do risco operacional são suportados por processos e ferramentas corporativas integradas, padronizadas e auditáveis, incluindo sistemas centralizados para registro de eventos, perdas, deficiências e planos de ação, que asseguram consistência metodológica, rastreabilidade e qualidade das informações. As principais rotinas incluem: •	processos periódicos de identificação e avaliação de riscos e controles, conduzidos pelas áreas responsáveis; •	registro centralizado de eventos de risco operacional, perdas associadas, deficiências de controle e planos de ação; •	utilização de indicadores e métricas para acompanhamento da exposição ao risco e da efetividade dos controles; •	análises de tendências e identificação de riscos emergentes, com base em eventos ocorridos, deficiências recorrentes e mudanças relevantes no ambiente interno ou externo. As avaliações consideram de forma consistente o risco inerente, a efetividade do ambiente de controle e o risco residual, permitindo a consolidação do perfil de risco operacional do Conglomerado.",
			"tags": [
				"c"
			]
		},
		{
			"texto": "O risco operacional é objeto de reporte periódico e estruturado às instâncias de governança apropriadas, com frequência e nível de detalhamento compatíveis com a materialidade e ao perfil de risco. Os reportes contemplam, conforme aplicável: •	indicadores-chave de risco operacional; •	eventos e perdas operacionais relevantes; •	aderência ao apetite e às tolerâncias de risco aprovadas; •	deficiências de controle identificadas e status dos planos de ação; •	tendências e temas relevantes ou emergentes. Adicionalmente, eventos significativos, falhas críticas de controle, excedências relevantes ao apetite a risco ou incidentes operacionais com impacto financeiro ou não financeiro, incluindo aspectos legais, regulatórios ou reputacionais, são reportados de forma extraordinária e tempestiva à Alta Administração, independentemente do ciclo regular de reporte. Os critérios de materialidade consideram impactos financeiros e não financeiros, bem como aspectos operacionais, legais, regulatórios e reputacionais.",
			"tags": [
				"d"
			]
		},
		{
			"texto": "A mitigação do risco operacional é baseada em uma combinação de controles preventivos, detectivos e corretivos, desenhados e operados de forma proporcional aos riscos identificados. As estratégias de mitigação incluem: •	definição, implementação e monitoramento de controles-chave nos processos relevantes; •	análise de causa raiz e remediação estruturada de deficiências de controle, com validação prévia ao encerramento; •	monitoramento contínuo das exposições ao risco e gestão de exceções em relação ao apetite aprovado; •	integração do gerenciamento do risco operacional com domínios correlatos de riscos não financeiros, como gestão de terceiros, continuidade de negócios e segurança da informação. A cultura de risco é reforçada por meio de políticas formalmente estabelecidas, programas de treinamento mandatórios, comunicação recorrente, incentivo ao reporte transparente de eventos e deficiências e incorporação de lições aprendidas a partir de incidentes, contribuindo para o aprimoramento contínuo do ambiente de controle.",
			"tags": [
				"e"
			]
		}
	]
}