Em 29 de Junho de 2006, o Bacen publicou a Resolução 3.380 que obriga os bancos a institucionalizarem uma área de Gestão de Riscos Operacionais. De acordo com a medida, a nova estrutura deve estar capacitada a identificar, avaliar, monitorar, controlar e mitigar os riscos associados a cada instituição, bem como o risco operacional decorrente de serviços terceirizados. Por outro lado, até o final deste ano os bancos devem passar a operar seguindo a regulamentação do acordo Basiléia II, desenhado especificamente para assegurar requisitos mínimos de capital e minimizar o risco. Justamente para debater o estágio dessas providências, fundamentais para o aperfeiçoamento da gestão bancária no País, executivos e especialistas da área financeira participaram, no final de setembro, da Conferece ClienteSA,
De acordo com André Macieira, professor da UFRJ, abordando o tema Gestão do risco operacional segundo a Basiléia II – Ferramentas e desafios, em relação ao conceito de risco operacional, a idéia é definir que é a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos.
“Para gerenciar um risco operacional – afirmou ele -, é preciso estabelecer a estrutura de gerenciamento de risco, processos, políticas, procedimentos e definir responsabilidades. O fator principal é como se trata o risco e, para isso, é preciso implantar um sistema de controle interno. Todos já pensaram em risco operacional, mas a novidade agora é pensar na estrutura que gerencie o risco operacional”. Para Macieira, em um framework de gestão de risco, o ambiente de controle com profissionais especializados é a base de tudo. Exemplo: Antes não havia necessidade de um jurista especializado em crimes, agora existe.
Causas internas e externas – Já para Márcia Klinke, diretora da KPMG, falando sobre Gestão do risco de fraude no âmbito do risco operacional, este trata-se de um risco inerente às atividades nas empresas. É mais importante que o risco de mercado e financeiro que são mais quantificados. Segundo ela, “as causas do risco operacional são os processos internos, as pessoas, os sistemas e os eventos externos”. E cita os seguintes exemplos: Processos internos: Organização ineficiente e responsabilidades mal definidas (achar que alguém está fazendo e ninguém faz). Pessoas: Empregados pouco qualificados e desmotivados. Sistemas: Confirmações incorretas ou sem verificações criteriosas e overloads de sistemas (telefonia, elétrico, computacional, etc). Eventos externos: desastres naturais.
“É importante, diz ela, a cultura de senhas, softwares, anti-vírus e firewall para a prevenção a fraudes externas (hackers). As estatísticas mostram que a fraude teve sucesso porque os controles foram burlados por insiders. Portanto conhecer os funcionários é tão importante quanto conhecer os clientes”. Para Márcia, O whistle-blowing é o funcionário que comunica as fraudes quando descobre. “Mas no Brasil não existe esta cultura, pois o funcionário não tem segurança para fazer a denúncia. Os controles internos devem ser periodicamente testados pela auditoria externa ou interna. Se você constrói um muro de
Uma pesquisa feita pela KPMG, com mil empresas brasileiras sobre fraude empresarial, mostra a necessidade crescente de os executivos discutirem a fraude. De acordo com a executiva, 69% das empresas responderam já ter sofrido fraudes, 62% acreditam que a causa possível para o crescimento dos atos fraudulentos é a perda de valores sociais e morais (fator humano), e 58% responderam que os funcionários foram fontes da fraude. A pesquisa também revelou que 83% desses problemas são gerados por homens, diante dos 17% do público feminino como causador.
Os três pilares – Por sua vez, Carlos Donizeti Macedo Maia, chefe adjunto do departamento de Supervisão de Bancos e Conglomerados Bancários do Banco Central, enfocando a Norma de contexto do projeto de implementação de Basiléia II no Brasil e o que se espera das instituições no contexto de risco operacional, Basiléia II é uma busca de tornar o capital regulatório mais perto do capital econômico – necessário para qualquer empresa – nas instituições financeiras.
Segundo ele, Basiléia II é composto por três grandes pilares: Pilar 1 – a idéia de capital regulatório que temos hoje não é suficiente, é necessário buscar situações pragmáticas para que as realizações convergentes tenham resultados mais evidentes na geração de resultados. O centro do capital regulatório não vai interferir no capital econômico. Esta é a primeira regra para o pilar 2 – quem deve fazer os cálculos de todo o banco não é o supervisor, o responsável é a própria instituição. Mas o supervisor precisa revisar, então a responsabilidade é tanto do supervisor quanto da empresa. Pilar 3 – todas as normas regulatórias, tem que conter uma relação de transparência das informações em demonstrações financeiras.
De acordo com Carlos, embora não seja obrigatória, a regulamentação Basiléia tornou-se referência como melhores práticas. “Quem não tiver aderido corre um risco de não participar de avaliações do ponto de vista internacional”. A implementação de Basiléia II no Brasil ocorreu no final de
Já Basiléia II: As conseqüências da sua implementação foi o assunto de Geraldo Rocha Neto, certificado pela American Society of Industrial Security, segundo o qual, como conseqüência dessas recomendações, os bancos enfrentam um novo desafio: estruturar os seus sistemas de informações operacionais de acordo com os requisitos do Basiléia II, aprofundando ainda mais as características analíticas deste tipo de sistemas.
De acordo com Rocha Neto, “como definição de Basiléia II pode-se dizer que é o risco de perda direta ou indireta decorrente de sistemas, pessoas e processos internos inadequados ou reprovados. Enquanto a resolução 3.380 pela primeira vez integra segurança ao negócio, e trata diretamente de assuntos do dia-a-dia, como fraudes internas e externas, segurança do local de trabalho, falhas em sistemas de TI, divulgação da política, plano de contingência e outros”.
Para ele, todos os processos são possíveis geradores de perdas e sujeitos aos controles e acompanhamentos pertinentes. A atuação de compliance (estar em conformidade com leis e regulamentos internos e externos), está voltada para assegurar a existência de políticas e normas.
O montante das fraudes – “O desvio de ativos é a fraude mais freqüente, independente da cidade ou do porte da empresa. E a iniciativa de cometer fraudes, na maioria das vezes, parte dos funcionários”, afirmou, por sua vez, João Botelho, gerente de Linhas Financeiras – Fraudes Corporativas e BBB (Banking Blanket Bond) do Unibanco AIG, ao falar de Seguro contra fraudes corporativas e banking blanket bond.
Segundo afirmou, o montante envolvido nas fraudes está correlacionado ao porte das empresas. Naquelas com faturamento superior a R$ 1 bilhão, mais de 1/3 das fraudes envolvem valores acima de 100 mil reais. Os montantes são menores nas empresas no Rio de Janeiro. Quanto ao perfil dos fraudadores, são em geral funcionários com mais de dois anos de empresa, entre 25 e 44 anos, com nível superior completo e salário acima de R$ 2 mil.
“Muito do que se perde não se recupera”, diz ele. “Algumas das razões para investir no seguro são as perdas em virtude de as fraudes estarem aumentando. Perdas quase sempre representam muito dinheiro e os controles são vulneráveis. Nenhuma empresa está imune”.
Por seu turno, José Luiz Homem de Melo – sócio da área de Corporate Governance , do escritório Pinheiro Neto Advogados, detalhando aspectos do tema Avaliação dos impactos das alterações na lei do sistema financeiro, em 1999 o comitê regulamentador iniciou uma revisão completa do acordo inicial, com base em três princípios: os requerimentos de capital regulatório devem ser mais sensíveis ao risco; a alocação de capital deve ser mais que uma simples fixação de percentuais mínimos exigidos; e deve existir uma fiscalização constante e incentivos para que os bancos melhorem a sua mensuração e gestão de risco, com transparência nas informações.
Capacidade de monitorar – Para Homem de Melo, é importante adotar uma estrutura de governança, e outra mudança é incluir nos relatórios mais informações qualitativas. “Os supervisores devem examinar e revisar as avaliações e estratégias internas de adequação de capital dos bancos, bem como a capacidade para monitorar e garantir sua conformidade com os índices de capital regulador. Supervisores devem tomar medidas apropriadas se não estiverem satisfeitos com o resultado deste processo”.
Por último, Fernando Nery, da Modulo Security, enfocando o item Risco operacional em TI e TI em risco operacional, questionou: Como quantificar os resultados? No seu entender, quando se analisa no âmbito de uma empresa européia, por exemplo, há vários fatores para se fazer o cálculo: vulcões, etc. Entretanto, no Brasil não existem sequer estatísticas de incêndios, por exemplo. “Os bancos devem fazer os próprios modelos e apresentá-los, criar modelos internos, definir o nível de complexidade”, aconselhou, acrescentando: “O difícil é definir o escopo. A partir disso é só apresentar ao Banco Central. O Brasil está criando a ISO de gestão de riscos”.