Uma análise sobre a gestão de riscos na terceirização de processos das instituições financeiras e de pagamento
Autor: Eduardo Grell
O monitoramento de terceiros prestadores de serviço é bom senso. É bom senso também que os reguladores exijam tal monitoramento, posto que parte importante das rotinas de instituições financeiras e de pagamento são mais e mais executadas fora de casa.
O suporte de tecnologia da informação, de recursos humanos, de assistência jurídica e de auditoria são cada vez mais terceirizadas por startups que querem concentrar seu foco no essencial. Tais atividades são, no entanto, bastante importantes em definir a cultura da empresa, especialmente depois que esta começa a amadurecer e a penetração obstinada no mercado passa a concorrer com outras motivações.
Indo além, não só a infraestrutura tecnológica depende crescentemente de terceiros para sua sustentação ou para a proteção contra agressões cibernéticas, mas também muitos processos centrais de processamento de operações ocorrem em empresas especializadas, dentro do conceito de “As a Service”. Em suma, a terceirização está mais e mais importante.
O que o Banco Central permite e orienta?
O Banco Central é mais explícito nas questões tecnológicas, mas, nos outros temas, dá mais liberdade para cada instituição definir como fazer o monitoramento das terceirizações. Diz o regulador em seus normativos de gestão de risco – tanto para instituições financeiras (Res. CMN 4.557/17), quanto de pagamentos (Circ. BCB 3.681/13) – e de controles internos (Res. CMN 4.968/21), que deve haver critérios de decisão e procedimentos para a seleção de prestadores de serviços. Diz também que eles devem estar alinhados aos procedimentos de prevenção à lavagem de dinheiro (Circ. BCB 3.978/20). No entanto, não impõe nenhum modelo específico.
A menção genérica nesses normativos não implica complacência do regulador, muito pelo contrário. Indica a responsabilização total da instituição regulada. Os processos podem ser executados por terceiros, mas a responsabilidade final perante os clientes e o mercado recai sempre sobre a instituição contratante. Em outras palavras, as atividades podem algumas vezes ser terceirizadas, a responsabilidade, jamais!
Evidentemente, se o regulador perceber que o tema não vem sendo tratado com a profundidade e a amplitude que ele entende necessárias, novas regras virão.
Como, porém, ter certeza de que as instituições estão devidamente protegidas? A terceirização pode reduzir o risco, dado que as atividades passam a ser conduzidas por empresas altamente especializadas. Podem também aumentá-lo, se o foco primeiro for na simples redução de custos. Tudo isto precisa ser bem conhecido e levado em conta na tomada de decisão de prosseguir com a terceirização e na definição do prestador do serviço.
Na sequência, os processos devem ser controlados e monitorados, mas, não importando se os riscos percebidos aumentam ou diminuem, a transparência fica reduzida. Não se pode mais fazer a averiguação direta de falhas ou deterioração nos processos de controle de terceiros. Nem sempre consegue-se manter o conforto de uma supervisão interna próxima e com pouco esforço.
Como ter segurança sobre os serviços prestados?
Algum tipo de arcabouço é necessário e útil para dar essa tranquilidade; para dar confiança de que todas as questões importantes estejam tratadas. A literatura fornece alguns exemplos, mas a forma mais prática é debruçar-se sobre o que outros reguladores estão prescrevendo. Pode ser que alguns sejam mais específicos e assim, tragam alguma inspiração.
Felizmente, neste caso, a Autoridade Bancária Europeia (EBA) editou em 2019 um conjunto de diretrizes sobre o assunto, que pode ser utilizado exatamente com este fim. Trata de questões de proporcionalidade, de tarefas terceirizadas para outras empresas do mesmo grupo, de avaliação de arranjos de terceirização, de governança e das etapas do procedimento de terceirização propriamente dito, como due-diligence, elaboração de contratos, segurança de dados e sistemas, acesso à informação e outros elementos importantes. Vale a consulta.
É uma boa forma de evitar sustos e atender os clientes dentro dos padrões que eles merecem e que as instituições financeiras ou de pagamento se esforçam em manter.
Eduardo Grell é líder do segmento de gestão de riscos e governança da Riskfence.
