UNIVERSIDADE CANDIDO MENDES

PÓS-GRADUAÇÃO LATO SENSU

INSTITUTO A VEZ DO MESTRE

A GESTÃO DO RISCO OPERACIONAL

NAS INSTITUIÇÕES FINANCEIRAS

Por: Cláudia Maria Moulin Albuquerque

Orientador

Prof. Luciano Gerard

Rio de Janeiro (RJ)

2010

2

UNIVERSIDADE CANDIDO MENDES

PÓS-GRADUAÇÃO LATO SENSU

INSTITUTO A VEZ DO MESTRE

A GESTÃO DO RISCO OPERACIONAL

NAS INSTITUIÇÕES FINANCEIRAS

Apresentação de monografia ao Instituto A Vez do

Mestre – Universidade Candido Mendes como

requisito parcial para obtenção do grau de

especialista em Auditoria e Controladoria.

Por: Cláudia Maria Moulin Albuquerque

3

AGRADECIMENTOS

A Deus, pela capacidade a nós concedida para realizar este

trabalho, pois entendemos que tudo que somos, que temos ou que venhamos a

ser e ter, vem Dele, da Sua onipotência e onisciência supremas, pela Sua

misericórdia e amor eternos.

A minha família, em especial minha mãe, pelo incentivo e apoio

durante todo o processo de aprendizado ao longo de todo o curso.

Aos professores e colegas de estudo, pela troca de experiências,

enriquecendo ainda mais os assuntos abordados nas aulas presenciais.

4

DEDICATÓRIA

A todos os familiares, pelo apoio que

sempre nos deram, por acreditarem em

nosso potencial e por entenderem nossa

ausência através dos momentos roubados

do convívio familiar para o

desenvolvimento deste estudo.

5

RESUMO

Com as mudanças no ambiente financeiro mundial, tais como a integração

entre os mercados por meio do processo de globalização, o surgimento de

novas transações e produtos bancários, o aumento da sofisticação tecnológica

e as novas regulamentações, tornaram as atividades e os processos

financeiros e seus riscos cada vez mais complexos. Surgiu daí a preocupação

de banqueiros e outros executivos de finanças com o risco operacional. Este

trabalho objetiva demonstrar os desafios estratégicos e os efeitos das práticas

de identificação, mensuração, mitigação, controle e acompanhamento do risco

operacional nas instituições financeiras, que deverão desenvolver metodologias

para análise de processos internos que possibilitem a detecção de suas

fragilidades. Essas metodologias baseiam-se no sensoriamento do ambiente

de negócios, isto é, na detecção, no andamento rotineiro do processo

operacional, de ocorrências ou fragilidades capazes de potencializar os riscos

inerentes às atividades e que não possuam mecanismos de controles ou cujos

mecanismos de controle sejam deficientes, inadequados ou insuficientes. Com

base na identificação das fragilidades, é possível estabelecer pontos de

controle e ações de mitigação que possibilitem a melhoria dos processos

internos. Nessa etapa também são identificados os eventos de perda

operacional a que a empresa está exposta, a freqüência com que ocorrem e a

severidade dos mesmos.

6

METODOLOGIA

Este trabalho foi desenvolvido por meio da metodologia científica, a

partir de uma pesquisa bibliográfica envolvendo a legislação disponibilizada

pelas autoridades fiscalizadoras e pelo Comitê de Basiléia, em seus

respectivos sites na internet, além de livros cedidos pela biblioteca do Centro

Cultural do Banco do Brasil do Rio de Janeiro sobre o tema.

7

SUMÁRIO

INTRODUÇÃO 08

CAPÍTULO I - O Negócio Bancário 10

CAPÍTULO II - Estrutura de Controle 30

CAPÍTULO III – Risco Operacional 42

CONCLUSÃO 62

ANEXOS 64

BIBLIOGRAFIA 73

ÍNDICE 74

8

INTRODUÇÃO

As exigências em relação a tempo, preço e prazo das últimas décadas,

tornaram-se cruciais para as instituições conseguirem manter-se no mercado.

Nesse contexto, mitigar riscos e perdas é fundamental para a sobrevivência

das empresas, tão importante quanto a criação de novos produtos e serviços.

As propostas de alocação de capital estabelecidas no Acordo de

Basiléia II têm por finalidade incentivar os bancos a fortalecer seus

procedimentos de gestão e mensuração de riscos e, principalmente, evitar

falências como as que aconteceram em alguns países. Isso significa que todas

as instituições financeiras do mundo são afetadas, visto que as alterações

provocam oscilações no nível de capital necessário para fins regulatórios, para

mais ou para menos, dependendo da categoria de risco presente na

organização.

Um dos riscos que deve ser monitorado é o risco operacional, cujo

gerenciamento cobre o conjunto de atividades necessárias para mitigar

possíveis perdas da instituição financeira, caso seus sistemas, práticas e

medidas de controle não sejam capazes de resistir às conseqüências das

falhas humanas, danos à infra-estrutura etc.

Segundo Crisante Neto ET AL, o risco operacional é reconhecido

mundialmente como o segundo grande risco presente em instituições

financeiras. Pode ser definido como a estimativa das perdas – diretas ou

indiretas – resultantes de processos internos, falhas de pessoas, sistemas

inadequados e eventos externos.

As origens dos riscos operacionais são diversas, como por exemplo:

roubos, fraudes em cartões de crédito, controles internos ineficientes, erros

humanos, entre outros. Segundo estimativas dos consultores Operacional Risk,

Inc. (SMITHSON apud DOTI 2006, p. 28), somente as perdas operacionais

9

acumuladas divulgadas já superam US$ 200 bilhões no mercado financeiro

internacional desde 1980.

Segundo Oliveira (2006), é mister que as instituições financeiras

invistam em sistemas e pessoal qualificado para o monitoramento do risco

operacional, considerando que o efetivo gerenciamento de riscos operacionais

agrega à organização proteção contra danos à imagem diante dos clientes e

contrapartes, melhor proteção ao valor do investimento dos acionistas, redução

de perdas operacionais, maior atenção e melhor compreensão pelos

funcionários dos impactos negativos causados por riscos operacionais, além do

aumento da capacidade de prever antecipadamente possíveis eventos de

riscos operacionais.

Este trabalho se justifica pela relevância dada à gestão do risco

operacional nas instituições financeiras, pelo Comitê de Basiléia (constituído

por representantes dos Bancos Centrais e por autoridades com

responsabilidade formal sobre a supervisão bancária dos países membros do

G-10), através do Acordo de Basiléia II, firmado no ano de 2004.

10

CAPÍTULO I

O NEGÓCIO BANCÁRIO

1.1 – As Instituições Financeiras

O conceito de Instituição Financeira é encontrado no artigo 17 da Lei

4.595/64:

"Consideram-se instituições financeiras, para os

efeitos da legislação em vigor, as pessoas jurídicas

públicas ou privadas, que tenham como atividade principal

ou acessória a coleta, intermediação ou aplicação de

recursos financeiros próprios ou de terceiros, em moeda

nacional ou estrangeira, e a custódia de valor de

propriedade de terceiros".

Ainda no artigo 17, parágrafo único, a Lei 4.595/64 equipara às

instituições financeiras as pessoas físicas que exerçam quaisquer atividades

referidas no artigo, de forma permanente ou eventual.

1.2 – O Sistema Financeiro Nacional

O Sistema Financeiro Nacional, atualmente previsto na Constituição

Federal, art. 192, foi criado em 21 de agosto de 1964, pela Lei 4.380. No

entanto, sua estrutura somente foi concluída com a Lei 4.595/64, constituindo-o

basicamente no Conselho Monetário Nacional, no Banco Central do Brasil, no

11

Banco do Brasil, no Banco Nacional de Desenvolvimento econômico e Social e

das demais instituições públicas e privadas.

A FEBRABAN – Federação Brasileira de Bancos, em seu site

www.febraban.org.br, define o Sistema Financeiro Nacional – SFN como um

conjunto de órgãos que regulamenta, fiscaliza e executa as operações

necessárias à circulação da moeda e do crédito na economia. O SFN é

composto por diversas instituições, divididas em dois subsistemas: normativo e

operativo.

O subsistema normativo é formado por instituições que estabelecem as

regras e diretrizes de funcionamento, além de definir os parâmetros para a

intermediação financeira e fiscalizar a atuação das instituições operativas. É

composto pelo Conselho Monetário Nacional (CMN), o Banco Central do Brasil

(Bacen), a Comissão de Valores Mobiliários (CVM) e as Instituições Especiais

(Banco do Brasil, BNDES e Caixa Econômica Federal).

O Conselho Monetário Nacional (CMN), que foi instituído pela Lei

4.595, de 31 de dezembro de 1964, é o órgão responsável por expedir

diretrizes gerais para o bom funcionamento do SFN. Integram o CMN o Ministro

da Fazenda (Presidente), o Ministro do Planejamento, Orçamento e Gestão e o

Presidente do Banco Central do Brasil. Dentre suas funções estão: adaptar o

volume dos meios de pagamento às reais necessidades da economia; regular o

valor interno e externo da moeda e o equilíbrio do balanço de pagamentos;

orientar a aplicação dos recursos das instituições financeiras; propiciar o

aperfeiçoamento das instituições e dos instrumentos financeiros; zelar pela

liquidez e solvência das instituições financeiras; coordenar as políticas

monetária, creditícia, orçamentária e da dívida pública interna e externa.

O Banco Central do Brasil (Bacen) é uma autarquia federal vinculada

ao Ministério da Fazenda, que também foi criada pela Lei 4.595/64, de 31 de

dezembro de 1964 (artigo 8º). É administrado por uma diretoria de cinco

membros, escolhidos pelo Conselho Monetário Nacional.

12

Cabe ao Banco Central, privativamente, a emissão do papel-moeda e

da moeda metálica, bem como cumprir as prescrições legais e as normas

expedidas pelo Conselho Monetário Nacional, no que diz respeito à política

financeira. É o órgão responsável, entre outras coisas, pela regulamentação e

fiscalização das instituições financeiras, além da preservação de liquidez do

sistema Bancário. É ele também que autoriza o funcionamento das instituições

no país.

O Banco Central é o órgão responsável por evitar a incidência dos

riscos bancários, podendo intervir na instituição financeira, se necessário for,

por meio do Regime de Administração Especial Temporária – RAET (DL

2.321/87), pela intervenção propriamente dita, objeto da Lei 6.024/74, ou,

ainda, em casos mais extremos, por meio da liquidação extrajudicial.

A Comissão de valores Mobiliários (CVM) também é uma autarquia

vinculada ao Ministério da Fazenda, instituída pela Lei 6.385, de 7 de

dezembro de 1976. É responsável por regulamentar, desenvolver, controlar e

fiscalizar o mercado de valores mobiliários do país.

O subsistema operativo é composto pelas instituições que atuam na

intermediação financeira e tem como função operacionalizar a transferência de

recursos entre fornecedores de fundos e os tomadores de recursos, a partir das

regras, diretrizes e parâmetros definidos pelo subsistema normativo. Estão

nessa categoria as instituições financeiras bancárias e não bancárias, o

Sistema Brasileiro de Poupança e Empréstimo (SBPE), além das instituições

não financeiras e auxiliares.

A atuação das instituições que integram o subsistema operativo é

caracterizada pela sua relação de subordinação à regulamentação

estabelecida pelo CMN e pelo Bacen. As instituições podem sofrer penalidades

caso não cumpram as normas editadas pelo CMN. As multas vão desde as

13

pecuniárias até a própria suspensão da autorização de funcionamento dessas

instituições e seus dirigentes.

Os bancos, como qualquer outra empresa, precisam aplicar seus

recursos em ativos produtivos para obter a rentabilidade demandada pelos

seus acionistas. Mas sempre se deve considerar que os bancos constituem um

tipo de empresa, na qual as decisões particulares e privadas de aplicação de

recursos podem ter repercussões sociais negativas muito fortes, se os riscos

que cercam tais instituições não forem adequadamente reconhecidos e

controlados. A história dos bancos, no mundo e no Brasil, está repleta de

colapsos, que trouxeram dolorosas conseqüências para os poupadores, para a

economia e para a sociedade, dentre os quais destacam-se os casos Barings,

Marka, FonteCindam e Société Générale.

Em 1995, o Banco Barings – tradicional banco inglês de 233 anos e

depositário de parte da riqueza pessoal da monarquia britânica – foi à falência

devido à atuação de um único funcionário, o operador de derivativos Nicholas

Leeson. Os problemas que geraram as perdas nesse banco estão relacionados

à mudança abrupta das condições de mercado e à inexistência de controles

internos básicos como: segregação de funções, dupla conferência, conciliações

e controles automatizados.

Os bancos, por natureza, são empresas que operam de forma

alavancada. A utilização das operações com derivativos pode aumentar ainda

mais a exposição aos diversos riscos a que estão sujeitos os agentes

econômicos. Foi no ambiente dos mercados futuros que foram originadas as

perdas dos bancos Marka e FonteCindam e que provocaram suas liquidações

extrajudiciais. O Banco Marka possuía posições vendidas (passivos) em

dólares nos mercados futuros de mais de vinte vezes seu patrimônio líquido.

Com isso, uma mudança brusca no câmbio, como a desvalorização ocorrida

em janeiro de 1999, reduziu os recursos dos bancos para continuidade das

atividades. Operar em mercados de derivativos exige o estabelecimento de

limites de exposição para não causar perdas elevadas. Quando uma instituição

14

vende dólares futuros a descoberto (sem contrapartida comprada em

operações com dólares), o prejuízo resultante de uma alta do dólar é ilimitado.

No caso dos bancos Marka e FonteCindam, os prejuízos foram equivalentes a

1,5 bilhão de reais.

Durante 12 meses, o trader Jérôme Kerviel enganou os sistemas de

segurança do Société Générale de uma maneira bastante simples. Para cada

ordem de compra verdadeira, ele incluía uma ordem de venda fictícia. Os

controles do banco viam somente o líquido dessas operações. Com esse

mecanismo Jérôme acumulou posições especulativas que superaram 50

bilhões de euros e obteve, durante algum tempo, bons resultados com essas

posições. De forma semelhante ao que aconteceu com o operador Lesson no

Barings, devido à fragilidade dos controles internos do Société, os ganhos

expressivos de Jérôme, ao invés de despertarem suspeita, foram incentivados

por seus superiores, que tiveram aumento expressivo em seus bônus. Em

virtude da crise subprime, as áreas de controle e risco do Société foram

chamadas para reavaliar algumas de suas exposições. Essa inspeção fez com

que fosse descoberta a fraude e revelado o prejuízo acumulado por Jérôme,

que superava 7 bilhões de dólares. Trata-se da maior perda causada por

fraude de todos os tempos, comunicada ao mercado em janeiro de 2008.

Para evitar as falências bancárias e preservar a estabilidade financeira

da economia, no sistema financeiro de cada país existe uma supervisão oficial

abrangente, criteriosa e rigorosa dos bancos e de suas operações e em cada

banco do sistema financeiro torna-se necessária uma administração

consciente, competente e efetiva.

O papel dos supervisores oficiais é indispensável para a manutenção

da estabilidade de um sistema financeiro e não pode ser substituído por

qualquer outro mecanismo, porque somente eles, exclusivamente é que:

Ø possuem visão geral dos riscos do sistema financeiro como um todo;

15

Ø têm neutralidade necessária para solicitar informações, acompanhar e

avaliar as exposições de risco de cada banco e verificar a qualidade de

seus sistemas de informação e de seus controles internos;estão na posição

de poder observar as grandes tendências apresentadas pelas operações

das organizações bancárias, em seu país e no mundo;

Ø podem exigir o cumprimento de leis e regulamentos do setor;

Ø podem exigir que sejam tomadas prontamente as ações corretivas

necessárias para sanar problemas financeiros ou de má gestão, ainda não

conhecidos pelo mercado, evitando desestabilizar o sistema.

Segundo os próprios supervisores oficiais, seu papel no sistema

financeiro é suplementar e subsidiário, já que o papel principal é

desempenhado pela administração de cada instituição bancária.

Dentre os elementos de uma administração bancária competente,

podemos destacar:

• uma governança atuante;

• um sistema válido de gestão de risco;

• um sistema de controles internos completo, abrangente e rigoroso.

A transparência, a redução de riscos e o cumprimento de leis e normas

sempre foram aspectos importantes para as corporações em qualquer parte do

mundo. Aliado à governança e à gestão de riscos, controles internos e

compliance formam o tripé fundamental para contribuir para a sustentabilidade

das organizações. A visão integrada desses três conceitos, incluindo todos os

requisitos necessários ao atingimento dos objetivos estratégicos, vem se

tornando uma importante ferramenta para a criação de valor e para o aumento

da competitividade.

O esforço das organizações em desenvolver e implementar sistemas e

processos que permitam gerir riscos em escala global, adequar-se às

crescentes exigências regulatórias e garantir os princípios de governança

corporativa é um investimento que vale a pena, especialmente quando

16

mensurado em termos de melhoria de performance, transparência e

sustentabilidade corporativa.

1.3 – Acordos de Basileia

Em 1974, os responsáveis pela supervisão bancária nos países do G-

10 (apesar da denominação G-10, são 11 os países que compõem este grupo:

Alemanha, Bélgica, Canadá, EUA, França, Holanda, Itália, Japão, Reino Unido,

Suécia e Suíça. Além destes, atualmente também participam deste Comitê a

Espanha e Luxemburgo) decidiram criar o comitê de Regulamentação Bancária

e Práticas de supervisão, sediado no Banco de Compensações Internacionais

– BIS (Bank for International Settlements), em Basileia, na Suíça. Daí a

denominação Comitê de Basileia.

O Comitê é constituído por representantes dos bancos centrais e por

autoridades com responsabilidade formal sobre a supervisão bancária dos

países membros do G-10. Nesse comitê, são discutidas questões relacionadas

à indústria bancária e fortalecer a solidez e a segurança do sistema bancário

internacional.

A primeira reunião do Comitê de Basileia ocorreu em fevereiro de 1975.

A partir de 1981, os resultados das reuniões começaram a ser publicados

anualmente, por meio de relatório sobre os avanços ocorridos na supervisão

bancária, intitulado “Reporto n International Developments in Banking

Supervision”. De forma pontual, alguns estudos e propostas também foram

publicados.

Ainda em 1975, foi elaborado o documento intitulado “Concordat”, que

visava estabelecer diretrizes para o desenvolvimento dos trabalhos do Comitê.

O “Concordat” instituiu dois princípios:

Ø todo estabelecimento bancário no exterior deveria ser supervisionado;

Ø a supervisão deveria ser adequada.

17

1.3.1 – Acordo de Basileia I

Em julho de 1988, foi celebrado o Acordo de Basileia que padronizou a

aplicação de Fatores de Ponderação de Risco – FPR aos ativos e a exigência

de capital mínimo. Atualmente, esse Acordo é conhecido como Basileia I. No

Brasil, a primeira regulamentação de limites mínimos de capital com base em

Basiléia ocorre por intermédio da Resolução 2.099, do Conselho Monetário

Nacional, de 17/08/1994.

Os objetivos do acordo foram reforçar a solidez e a estabilidade do

sistema bancário internacional e minimizar as desigualdades competitivas entre

os bancos internacionalmente ativos. Essas desigualdades eram o resultado de

diferentes regras de exigência de capital mínimo pelos agentes reguladores

nacionais.

Assaf Neto descreve: “a preocupação maior que norteou o Acordo de

Basiléia, ao propor um ajuste no capital próprio dos bancos na proporção de

suas aplicações, era de privilegiar a solvência das instituições financeiras e a

estabilidade do sistema financeiro internacional (ASSAF NETO, 2003, p.92)

Inicialmente o foco de Basiléia esteve voltado aos riscos de crédito e

de mercado, porém, para alertar o mercado acerca da importância do risco

operacional, as atenções das autoridades reguladoras também se voltaram

para esse risco.

Em 1998, o Comitê da Basiléia criou um grupo de trabalho para avaliar

o estágio em que se encontravam grandes instituições financeiras no que se

refere à administração do risco operacional. Foram entrevistados executivos de

30 grandes instituições.

Uma das conclusões do trabalho é que muitos bancos sequer

dispunham de mecanismos implementados para mensurar o risco operacional,

18

embora reconhecessem a importância desse risco e seu impacto no patrimônio

das instituições.

“As principais perdas com risco operacional foram vistas como de baixa

probabilidade de ocorrência, porém, seu impacto poderia ser muito grande e

talvez excedesse o dos riscos do mercado ou de crédito” (BIS,1998)

Chamado a atenção para a relevância dos valores de perdas

associadas ao risco operacional, em 12 de janeiro de 2000, a Operational Risk,

Inc. – ORI, divulgou, por intermédio de press release da PR Newswire

(http://www.prnewswire.com) as perdas estimadas, vinculadas a esse risco em

instituições financeiras, nos 20 anos que antecederam a data da divulgação do

relatório:

“Nossa base de dados mostra que as perdas principais dos serviços

financeiros em torno do mundo atingiram mais $200 bilhões durante os 20 anos

passados,...Esse valor representa somente as perdas diretas dos serviços

financeiros que já foram estabelecidas; se os eventos que ainda não tiveram

desfecho fossem considerados, o número seria ainda mais elevado.

Considerando-se também as perdas relevantes em serviços não-financeiros,

incluindo-se fraudes contábeis de auditoria e corporativas, as informações

existentes nos bancos de dados revelam outros $100 bilhões em perdas.”

(RiskWorld, 2000).

O Acordo de Basileia de1988 criou três conceitos:

• Capital regulatório;

• Ativos Ponderados pelo Risco – APR;

• Índice mínimo de capital para cobertura do risco de crédito (Índice

de Basileia ou Razão BIS).

19

Capital Regulatório

Capital regulatório é o montante de capital próprio alocado para a

cobertura de riscos, considerando os parâmetros definidos pelo regulador (no

caso do nosso país, o Banco Central do Brasil – Bacen).

O conceito de capital de uma instituição financeira, definido pelo

Acordo de 1988, era composto da seguinte forma:

§ Capital Nível 1 ou Principal – capital dos acionistas somado às

reservas (lucros retidos);

§ Capital Nível 2 ou Suplementar – outras reservas (não publicadas, re-

avaliação etc.), provisões gerais, instrumentos híbridos de capital e

dívida subordinada (produtos bancários que apresentam características

tanto de dívida quanto de capital).

O Capital Nível 2 não pode exceder a 100% do Capital Nível 1 e as

dívidas subordinadas estão limitadas a 50% do Capital Nível 1. Essa exigência

é motivada pela necessidade de garantir que os riscos do banco sejam

cobertos, principalmente, pelo capital do acionistas (Nível 1).

Ativos Ponderados pelo Risco – APR

A exigência de capital, prevista no Acordo de Basileia, considerada a

composição dos ativos da instituição e a natureza de suas operações fora do

balanço, tais como derivativos e securitizações. A exposição a risco de crédito

desses componentes é ponderada pelos diferentes pesos estabelecidos,

considerando, principalmente, o perfil do tomador (soberano, bancário ou

empresarial, bancos centrais, membros da OECD – Organização para

Cooperação e Desenvolvimento Econômico e governos centrais), conforme

Quadro 1.

20

Quadro 1

Categorias de ativo e pesos de risco

CATEGORIAS DO ATIVO PESOS DE RISCO

Caixa e Ouro

Títulos do governo central ou do banco central do país em moeda

local

Títulos dos governos ou banco central de países da OECD

0%

Títulos de entidades do setor público 0,10,20 ou 50%

Títulos de bancos multilaterais de desenvolvimento

Direitos de bancos incorporados na OECD

Direitos de bancos de fora da OECD de prazos menores que um ano

20%

Empréstimos imobiliários hipotecários 50%

Títulos do setor privado

Títulos de governos fora da OECD

100%

A partir da aplicação dos pesos de risco (Fatores de Ponderação de

Riscos – FPR) sobre os ativos, obtém-se o valor dos Ativos Ponderados pelo

Risco – APR.

Ao estabelecer exigência de capital mínimo centrado na diferenciação

dos riscos dos ativos, obtém-se o valor dos Ativos Ponderados pelo Risco –

APR.

Ao estabelecer exigência de capital mínimo centrado na diferenciação

dos riscos dos ativos, Basileia I indicou que, quanto maior for a exposição a

riscos, maior será a exigência do nível de capitalização.

Índice mínimo de capital para cobertura do risco de crédito – Índice de

Basileia ou Razão BIS

Para verificar se o capital próprio da instituição financeira está

adequado para a cobertura do risco de crédito, o acordo de Basileia I criou um

21

índice de solvência chamado Razão BIS ou Cooke Ratio (K). Esse indicador

foi definido como o quociente entre o capital regulatório e os ativos (dentro e

fora do balanço) ponderados pelo risco, conforme demonstração a seguir:

K = [Capital Nível I + Capital Nível II]

APR

Se o valor de “k” for igual ou superior a 8%, o nível de capital do banco

está adequado para a cobertura de risco de crédito.

Após a publicação de Basileia I, houve um período de transição, até

1992, para que os bancos dos países integrantes do G-10 pudessem adaptar-

se às novas regras. Nesse período, as autoridades ficaram responsáveis pela

implementação das diretrizes nos seus respectivos países e pelos esforços em

estender a metodologia aos demais países não pertencentes a esse grupo.

Emenda de riscos de mercado de 1996

O avanço obtido com Basiléia I, em termos de marco regulatório e de

exigência de capital para suportar o risco de crédito, é inegável. Entretanto,

algumas críticas surgiram, tornando-se necessário o aprimoramento daquele

documento no âmbito do Comitê de Basileia. Entre os ajustes, destacou-se a

necessidade de alocação de capital próprio para cobertura de riscos de

mercado.

Assim, em janeiro de 1996, foi publicado adendo ao Basiléia I,

chamado de Emenda de Risco de Mercado, cujos aspectos relevantes são:

§ ampliação dos controles sobre riscos incorridos pelos bancos;

§ extensão dos requisitos para a definição do capital mínimo (ou

regulatório), incorporando o risco de mercado;

§ possibilidade de utilização de modelos internos na mensuração de

riscos, desde que aprovados pelo regulador local;

22

§ criação do Capital Nível III, que corresponde aos títulos de dívida

subordinada com maturidade abaixo de dois anos.

Princípios essenciais para uma supervisão bancária eficaz

Em setembro de 1997, o Comitê de Basileia publicou uma de suas

mais importantes orientações, intitulada “Princípios Essenciais para uma

Supervisão Bancária Eficaz”, que forneceu sete fundamentos básicos para a

supervisão bancária nos mais diversos países. São eles:

§ condições prévias para uma supervisão bancária eficaz;

§ autorizações e estrutura;

§ regulamentação e requisitos prudenciais;

§ métodos de supervisão bancária contínua;

§ requisitos de informação;

§ poderes formais dos supervisores;

§ atividades bancárias internacionais.

Esses fundamentos foram desmembrados em vinte e cinco princípios,

cujo objetivo foi o de padronizar uma atuação supervisora eficaz.

1.3.2 – Acordo de Basileia II – Inclusão do Risco Operacional

Desde a criação do Comitê de Basileia em 1974, a regulamentação

bancária vem apresentando avanços significativos. Assim, visando sanar

deficiências ainda pendentes, em junho de 2004 o comitê divulgou o Novo

Acordo de Capital, comumente conhecido por Basileia II, com os seguintes

objetivos:

§ promover a estabilidade financeira;

§ fortalecer a estrutura de capitais das instituições;

§ favorecer a adoção das melhores práticas de gestão de riscos;

§ estimular maior transparência e disciplina de mercado.

23

A estrutura do Basileia II está apoiada em três pilares:

§ Pilar I – Exigência de capital mínimo;

§ Pilar II – Supervisão bancária;

§ Pilar III – Disciplina de mercado.

O acordo de Basileia II propõe um enfoque mais flexível para exigência

de capital e mais abrangente com relação ao fortalecimento da supervisão

bancária e ao estímulo para maior transparência na divulgação das

informações ao mercado.

Pilar I: Exigência de capital mínimo

No Pilar I, identificam-se significativas alterações em relação a Basileia

I, destacando-se a inclusão da exigência de capital mínimo para cobertura do

risco operacional. Além disso, possibilita-se a utilização de modelos próprios

dos bancos – comumente conhecidos por modelos internos – para o cálculo do

capital mínimo exigido para risco de crédito, de mercado e operacional.

A exigência de capital mínimo para risco de crédito foi modificada e

permite, com aprovação dos supervisores, que os bancos utilizam seus

próprios sistemas de avaliação de riscos (Internal Risk Based Approaches –

IRB) em dois níveis, o básico e o avançado.

Para o risco de mercado, a abordagem foi mantida sem mudança em

relação à Emenda de Riscos de Mercado de 1996.

Para o risco operacional, é permitida a utilização de três metodologias

de apuração do capital mínimo exigido:

§ abordagem do indicador básico;

§ abordagem padronizada;

§ abordagem de mensuração avançada (AMA).

24

A exigência de capital mínimo tem o objetivo de controlar a tolerância

dos bancos na tomada de risco, funcionando como um colchão de proteção

contra perdas.

Pilar II: Processo de supervisão

O processo de supervisão estabelece normas para o gerenciamento de

risco, controlando e tornando transparente o acompanhamento dos riscos no

sistema financeiro. O Pilar II tem o objetivo de assegurar que o nível de

capitalização do banco seja coerente com seu perfil de risco.

O Comitê estabeleceu quatro princípios essenciais de revisão de

supervisão que evidenciam a necessidade de os bancos avaliarem a exigência

de capital mínimo em relação aos riscos assumidos e de os supervisores

reverem suas estratégias e tomarem atitudes pertinentes em face dessas

avaliações. Tais princípios são:

1º Princípio

Os bancos devem ter um processo para estimar sua adequação de

capital em relação a seu perfil de risco e possuir uma estratégia para

manutenção de seus níveis adequados de capital.

2º Princípio

Os supervisores devem avaliar as estratégias, as estimativas de

adequação e a habilidade dos bancos em monitorar e garantir sua

conformidade com a exigência de capital mínimo.

3º Princípio

Os supervisores esperam, e podem exigir, que os bancos operem

acima das exigências de capital mínimo.

25

4º Princípio

Os supervisores podem intervir antecipadamente e exigir ações rápidas

dos bancos, se o nível de capital ficar abaixo do nível mínimo.

Pilar III: Disciplina de mercado

Disciplina de mercado representa o conjunto de informações a ser

divulgado para os participantes, possibilitando um acompanhamento mais

preciso das operações do banco, do nível de capital, das exposições a risco,

dos processos de gestão de riscos e da adequação de capital aos

requerimentos regulatórios.

Os agentes participantes do mercado (agências de avaliação de risco,

reguladores etc.) fornecem informações quanto ao perfil de riscos e o nível de

capitalização dos bancos para possibilitar que o mercado discipline as

instituições financeiras.

O terceiro pilar complementa as exigências de capital mínimo (Pilar I),

enfatizando a transparência como critério para reconhecimento e habilitação de

um banco para utilização de uma abordagem de mensuração de capital

específica. Além disso, complementa o processo de revisão da supervisão

(Pilar II), exigindo a divulgação de informações qualitativas e quantitativas, o

que diminui os esforços de supervisão.

Quanto mais elevados os níveis de informações contábeis e gerenciais

disponíveis para os agentes de mercado (empresas de auditoria, agências de

avaliação de risco, investidores, acionistas, associações do mercado de

capitais etc.), maior a capacidade de acompanhar a solidez das instituições

financeiras.

26

1.4 – A REGULAMENTAÇÃO BANCÁRIA NO BRASIL

O reconhecimento mundial da necessidade de mensurar e controlar os

riscos das atividades bancárias tem levado todos os países à convergência da

regulamentação das instituições financeiras. A seguir, destacamos os principais

marcos da regulação bancária em nosso País, referentes à gestão do risco

operacional e aos controles internos.

1994

Adotadas as orientações do Acordo de Basileia sobre exigência de capital para

cobertura do risco de crédito, instituídos os limites mínimos de capital e de

patrimônio líquido para as instituições financeiras, com a edição da Resolução

2.099, do Conselho Monetário Nacional – CMN.

1997

Criada a Central de Risco de Crédito (Resolução 2.390) e, por intermédio da

Resolução 2.399, estabelecida a exigência de capital para cobertura do risco

de crédito em operações de swap.

1998

I. determinadas a implantação e a implementação de controles internos

das atividades das instituições financeiras (Resolução 2.554);

II. sancionada a Lei 9.613, que tratou dos crimes de lavagem ou ocultação

de bens e da prevenção da utilização do Sistema Financeiro Nacional

para atos ilícitos previstos na referida lei e criou o conselho de Controle

de Atividades Financeiras – Coaf;

III. estipulado pela Circular Bacen 2.852 que operações de qualquer valor,

mas principalmente as iguais ou superiores a R$ 10.000,00, devem ser

comunicadas ao Banco Central do Brasil, inclusive propostas, cujas

características possam indicar a existência de crime ou com ele

relacionar-se;

27

IV. divulgada pela Carta-Circular Bacen 2.826 a relação das operações e

situações que podem configurar indício de ocorrência dos crimes

previstos na lei. São casos relacionados com: operações em espécie ou

em cheques de viagem; manutenção de contas correntes; atividades

internacionais; e empregados e representantes das instituições.

1999

Estabelecida a exigência de capital para cobertura do risco de câmbio e ouro

(Resolução 2.606).

2000

I. estabelecida a exigência de capital para cobertura do risco de taxas

prefixadas de juros (Resolução 2.692);

II. criado o Sistema de Informação de Crédito, que substituiu a Central de

Risco de Crédito (Resolução 2.724);

III. definido o critério para controlar o risco de liquidez (Resolução 2.804).

2001

I. editada a Resolução 2.837, que definiu o patrimônio de referência como

somatório do Capital nível I e Capital Nível II;

II. alterado o critério de apuração do Patrimônio Líquido Exigido – PLE

(Resolução 2.891);

III. instituído o Código de Defesa do Consumidor Bancário – Resolução

2.878 – que disciplinou obrigações a serem cumpridas pelas instituições

financeiras na contratação de operações e na prestação de serviços aos

clientes e ao público em geral.

2002

Determinada a implantação de sistema de controles Internos para

administradoras de consórcios pela Circular Bacen 3.078.

28

2003

Publicada a Resolução 3.081 que trata da prestação de serviços de auditoria

independente e regulamenta a instituição do Comitê de Auditoria.

2004

I. publicado o Comunicado Bacen 12.746, que instituiu cronograma de

implantação de Basileia II no Brasil;

II. consolidada, por meio da Resolução 3.198, a regulamentação da

prestação de serviços de auditoria independente. Essa Resolução

revogou a Resolução 3.081, de 2003;

III. publicada a Circular Susep 249, que determinou a implantação e

implementação de sistema de controles internos nas sociedades

seguradoras, nas sociedades de capitalização e nas entidades abertas

de previdência complementar. Alterada pela Circular Susep 363, de 21

de maio de 2008.

2006

I. editada a Resolução 3.380, que dispõe sobre a implementação de

estrutura de gerenciamento do risco operacional;

II. editada a resolução 3.416, que altera a Resolução 3.198, de 2004, e as

condições básicas para o exercício de integrante do Comitê de Auditoria.

2007

I. publicado o comunicado 16.137, que revisa o cronograma de

implementação de 2004 e divulga normas para implementação de

Basileia II, a partir de 1º de julho 2008;

II. publicada a Resolução 3.444, revogando a Resolução 2.837 e

aprovando as alterações nas regras de definição do PR das instituições

financeiras;

III. editada a Resolução 3.490, instituindo o conceito de Patrimônio de

referência Exigido (PRE);

IV. publicada a Circular Bacen 3.360 que estabelece procedimentos para o

cálculo da parcela do Patrimônio de Referência Exigido (PRE) referente

29

às exposições ponderadas por fator de risco (PEPR), disciplinadas na

Resolução 3.490, de 2007;

V. editada a Circular Susep 344 que obriga o desenvolvimento de estudos

sobre controles internos específicos para a prevenção contra fraudes,

bem como a indicação de diretor responsável pelo cumprimento da

circular pelas sociedades seguradoras e de capitalização e das

entidades abertas de previdência complementar.

2008

I. editada a Resolução 3.383, que estabelece os procedimentos para o

cálculo da parcela para Risco Operacional e a composição do Indicador

de Exposição ao Risco Operacional (IE);

II. detalhada a composição do Indicador de Exposição ao Risco (IE) pelo

BACEN, por meio da Carta Circular 3.316.

30

CAPÍTULO II

Estrutura de Controles

2.1 – CONTROLES INTERNOS DE UM BANCO

Em 1985, foi criada, nos Estados Unidos, a National Commission os

Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em

Relatórios Financeiros), uma iniciativa independente, para estudar as causas

da ocorrência de fraudes em relatórios financeiros e contábeis. Essa comissão

era composta por representantes das principais associações de classe de

profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os

controles internos. Em 1992, a comissão publicou o trabalho Internal Control –

Integrated Framework (Controles Internos – Um Modelo Integrado). Essa

publicação tornou-se referência mundial para o estudo e aplicação dos

controles.

Posteriormente, a Comissão transformou-se em Comitê, que passou a

ser conhecido como COSO – The Committee of Sponsoring Organizations of

the Treadway Commission (Comitê das organizações Patrocinadoras). O

COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios

financeiros por meio da ética, efetividade dos controles internos e governança

corporativa. É patrocinado por cinco das principais associações de classe de

profissionais ligados à área financeira nos Estados Unidos.

O Comitê trabalha com independência em relação a suas entidades

patrocinadoras. Seus integrantes são representantes da indústria, dos

contadores, das empresas de investimento e da Bolsa de Valores de Nova

31

York. O primeiro presidente foi James C. Treadway, de onde veio o nome

Treadway Comission.

Para auxílio na implementação e avaliação de controles internos, além

das ferramentas propostas pelo COSO, existem outras desenvolvidas por

organismos internacionais, dentre os quais podemos citar:

CoCo - The Commkittee os Control (Canadian Institute of Chartered

Accoutants);

The Malcolm Baldrige Award;

CRSA – Control and Risk Self – Assessment (KPMG); e

COBIT – Control Objectives for Information and related Technology.

O COSO apresenta a seguinte definição para controle interno:

Controle Interno é um processo desenvolvido para garantir, com

razoável certeza, que sejam atingidos os objetivos da empresa, nas seguintes

categorias:

• eficiência e efetividade operacional (objetivos de desempenho ou

estratégia) – esta categoria está relacionada com os objetivos básicos

da entidade, inclusive com os objetivos e metas de desempenho e

rentabilidade, bem como da segurança e qualidade dos ativos;

• confiança nos registros contábeis e financeiros (objetivos de informação)

– todas as transações devem registradas, todos os registros devem

refletir transações reais, consignados pelos valores e enquadramentos

corretos;

• conformidade (objetivos de conformidade com leis e normativos

aplicáveis à entidade e sua área de atuação.

O controle interno é um processo levado a efeito pela alta

administração e demais níveis hierárquicos. Não é apenas um procedimento ou

uma política executada de tempos em tempos, mas deve funcionar

continuamente em todos os níveis dentro de um banco. A administração é

32

responsável pelo estabelecimento de cultura que facilite o processo de

controles internos e pelo monitoramento constante de sua eficácia. Entretanto,

cada pessoa dentro da organização deve participar o processo.

Os controles internos auxiliam a entidade na consecução de seus

objetivos, mas não garantem que eles serão atingidos. Suas limitações podem

ser assim resumidas:

• custo/benefício – todo controle tem um custo, que deve ser inferior à

perda decorrente da consumação do risco controlado;

• conluio entre empregados – da mesma maneira que as pessoas são

responsáveis pelos controles, essas pessoas podem valer-se de seus

conhecimentos e competências para burlar os controles, com objetivos

ilícitos;

• eventos externos – eventos externos estão além do controle de

qualquer organização. Exemplo disso foram os atos terroristas do dia

11.09.2001, nos Estados Unidos.

É importante salientar os seguintes aspectos dos controles internos:

• O controle interno é um processo. Num banco, ele é constituído de

diversas atividades, que são executadas repetitivamente. Por outro lado,

esse processo existe como um meio para atingir um fim, que são os

objetivos do banco. Dessa forma, não é e não pode ser um fim em si

mesmo;

• O controle interno é atribuição de todas as pessoas, de todos os

níveis e de todos os órgãos ou unidades de um banco. No dia-a-dia

de trabalho, todas as pessoas que colaboram num banco têm alguma

tarefa ou atividade de controle;

• O controle interno é fundamental para que um banco atinja seus

objetivos. Os objetivos de um banco são fixados para atender às

exigências de seus stakeholders, isto é, os que contribuem para que o

banco seja uma empresa rentável, de alta qualidade de serviços, de

33

elevado nível de responsabilidade social e que, a partir desses

fundamentos, venha a se desenvolver no longo prazo. Os stakeholders

do banco são os seus clientes, acionistas, funcionários, fornecedores,

autoridades monetárias e a comunidade em geral e o banco deve fixar

objetivos para atender cada um deles. O controle interno é realizado

para que todos os demais processos, atividades, operações e

transações permaneçam sempre focalizados nos objetivos. Evita, dessa

forma, que haja desvios em relação a esse foco, os quais quando

detectados devem ser prontamente corrigidos;

• O controle interno reduz os riscos de perdas e procura manter os

ativos de um banco num patamar apropriado de capacidade

produtiva de liquidez. A experiência histórica dos bancos indica que

suas operações correm diversos riscos, tais como os riscos de crédito,

os riscos de mercado, os riscos operacionais e os de liquidez. Alguns

desses riscos podem ocorrer simultaneamente numa operação, o que

exige do controle interno análises completas e bastante abrangentes.

Assim, por exemplo, quando um banco faz uma operação de

empréstimo, ele está buscando atender ao objetivo de rentabilidade

através da taxa de juros aplicada ao empréstimo. Mas se o devedor não

tiver capacidade de pagamento, não pagará seus débitos, o que para o

banco representa perda de ativos, de rentabilidade e de liquidez. Nesse

caso, o controle interno deverá verificar se o banco está aplicando

técnicas de análise dos riscos de crédito adequadas, as quais poderiam

ter evitado esse tipo de perda;

• O controle interno deve cuidar para que as demonstrações

financeiras do banco sejam confiáveis e preparadas em

conformidade com as normas contábeis geralmente aceitas. Ou

seja, todas as transações bancárias devem ser registradas e todos os

registros contábeis das transações devem ser reais, adequadamente

valorizados e classificados, assim como corretamente consolidados e

publicados. No Brasil, os bancos são organizados obrigatoriamente na

forma de sociedades anônimas e os mais importantes do País são

também empresas de capital aberto, isto é, empresas que t~em seus

34

títulos negociados no mercado financeiro. Como sociedades anônimas

de capital aberto, as demonstrações financeiras são fundamentais para

os que adquirem títulos emitidos pelos bancos, que podem ser de

crédito (certificados de depósitos à vista ou prazo, por exemplo). E por

intermédio das demonstrações financeiras que os investidores, em

particular os acionistas minoritários, podem julgar a rentabilidade, a

liquidez e o risco de seus investimentos nos bancos;

• Cumprir as leis e regulamentos externos e internos é obrigação de

qualquer empresa. Os bancos devem zelar, por exemplo, para que os

seus executivos recolham e paguem todos os tributos que incidem sobre

as operações bancárias, mesmo quando os impostos não os atinjam

diretamente. Os bancos são as empresas brasileiras mais fiscalizadas

pelas autoridades, entre elas as monetárias, tributárias, trabalhistas,

previdenciárias etc. O cumprimento das leis e normas emitidas por tais

autoridades deve ser, portanto, uma atribuição fundamental de qualquer

banco. O controle interno deve verificar se os executivos encarregados

desses pagamentos e recolhimentos possuem critérios e métodos

seguros de agendamento e cumprimento dessas obrigações. Essa é a

chamada função ou atribuição de compliance externo dos gestores de

um banco. É claro que a função de compliance também tem a sua face

interior, já que os executivos de todos os níveis devem acatar e cumprir

as políticas, normas e regulamentos emitidos pelas autoridades internas

do banco, em especial os que têm origem no conselho (o board) e em

sua alta administração (o presidente e sua equipe de diretores

executivos), que constituem as autoridades máximas dentro da estrutura

organizacional de uma sociedade anônima brasileira.

Ø Os objetivos das organizações bancárias

De modo geral, os objetivos das organizações podem ser agrupados

em três categorias: objetivos de desempenho, de informação e de

conformidade.

35

ü Objetivos de desempenho

Constituem os objetivos básicos da instituição. Dizem respeito à

rentabilidade, segurança e qualidade dos ativos. O processo de controles

internos busca assegurar que todo o quadro de pessoal da organização esteja

trabalhando de forma a atingir estes objetivos com eficiência e integridade, sem

custos excessivos ou inesperados ou colocando outros interesses acima dos

interesses acima dos interesses do banco. Para isso, estabelece verificações

quanto ao cumprimento de:

- procedimentos para a avaliação da qualidade de ativos;

- procedimentos estabelecidos para cada área ou atividade abrangendo as

normas relativas à segregação de funções, delegação de autoridade e

responsabilidade, conferências, reconciliações, controles duplos, acesso a

ativos e arquivos e sua utilização etc.

- autorização adequada de transações e atividades;

- planos de contingência;

- políticas de gestão de pessoas, abrangendo código de ética, descrições de

funções, avaliações de desempenho, rodízio, férias etc.;

- identificação, avaliação e controles de riscos.

ü Objetivos de informação

Referem-se à preparação de relatórios importantes para a tomada de

decisões, que sejam confiáveis, precisos e tempestivos. Incluem também os

relatórios contábeis, demonstrativos financeiros e outros, destinados a clientes,

acionistas e autoridades governamentais. Pensa-se aqui, especialmente, nos

controles relativos a:

- alimentação de dados e produção de relatórios gerenciais abordando a

qualidade de ativos, a gestão de riscos, acompanhamento da movimentação de

clientes, desempenho financeiro, apuração de lucros e perdas, etc;

- ao registro de operações ativas e passivas, contas de resultado, contas de

compensação;

- à agilidade das comunicações internas.

36

ü Objetivos de conformidade

Todas as atividades de um banco devem estar em conformidade com

as leis e regulamentos e com políticas e procedimentos da própria organização.

Os controles internos devem assegurar que os procedimentos em curso na

organização acham-se em conformidade com as normas regulamentares.

Os objetivos são fixados para o banco como um todo e devem ser

segmentados, desdobrados ou decompostos em objetivos coerentes e

harmônicos para cada área de negócios, cada linha de produtos, cada

departamento, cada tarefa e até mesmo para cada funcionário.

Os objetivos gerais de rentabilidade de um banco, por exemplo, são

desdobrados e formulados para todas as unidades do banco. Entretanto, em

função de sua especialização funcional, os objetivos segmentados serão

expressos de diferentes formas de acordo com a área, seja ela de

empréstimos, de administração de fundos ou de suporte como a tecnologia da

informação ou a contabilidade.

Nos bancos, o Conselho de Administração, órgão que nas sociedades

anônimas brasileiras representa os acionistas que detêm a propriedade legal

da empresa, possui a necessária autoridade para definir objetivos e

supervisionar o Conselho Diretor no processo de decomposição dos objetivos

gerais para fixar objetivos coerentes, por exemplo, para cada departamento.

O Conselho de administração é a autoridade maior da governança

corporativa, ou seja, é o órgão que tem o poder não só para fixar os objetivos

do banco, como também, para assegurar o seu cumprimento, estabelecendo

sistema de controles internos aos gestores de todos os níveis, que são os

responsáveis pelas diferentes unidades operacionais. Desse modo, verifica-se

que numa organização bancária há três esferas totalmente distintas de

atuação, que pela lógica operacional, devem ser segregadas em três tipos de

37

órgãos com atuação e natureza totalmente diferentes: governança corporativa,

dirigentes e executivos e controles internos.

ü Governança corporativa

Para entender o conceito de governança corporativa faz-se necessário

compreender que os objetivos de uma empresa não devem limitar-se aos

objetivos econômicos de lucro e sobrevivência. A empresa responsável só

deve aceitar a validade desses objetivos econômicos se eles incluírem

compromissos que garantam responsabilidades sociais e ecológicas e o

cumprimento de preceitos éticos e legais.

Governança corporativa é o sistema pelo qual as empresas são geridas

e monitoradas, envolvendo o relacionamento entre acionistas/cotistas,

Conselho de Administração, Diretoria, Auditoria Independente e Conselho

fiscal. As boas práticas de governança corporativa têm a finalidade de

aumentar o valor da companhia, melhorar seu desempenho, facilitar o acesso

ao capital a custos mais baixos e contribuir para sua perenidade. Por meio da

boa governança, é permitida aos acionistas a efetiva monitoração da direção

executiva.

As empresas que adotam boas práticas de governança corporativa se

orientam por quatro princípios básicos:

ü equidade – tratamento igualitário a acionistas (minoritários e

majoritários) e partes interessadas (empregados, colaboradores,

fornecedores etc.);

ü transparência na relação com o mercado investidor;

ü prestação de contas e adoção de padrões internacionais nos registros

contábeis; e

ü responsabilidade corporativa e cumprimento das leis.

38

Para garantir sua perpetuação, a empresa deve ter como objetivo

maior a maximização do retorno aos seus acionistas. Entretanto, jamais

deverão permitir que esse retorno seja obtido com prejuízo ao conjunto da

sociedade e/ou ao meio ambiente ou tenha como base a violação dos

princípios legais e éticos que norteiam os fundamentos do seu negócio. Tais

princípios rejeitam a noção de poder e ganhos baseados:

ü na sonegação de informações;

ü na violação de direitos;

ü na fraude e no dolo;e

ü na corrupção direta ou indireta dos agentes econômicos internos ou

externos à sua cadeia produtiva.

Um sistema de controles internos eficaz, aliado à ação da auditoria

externa, poderá garantir que a empresa vá além do simples cumprimento de

normas e do atendimento a exigências dos órgãos reguladores. Permitirá ao

banco uma gestão fundamentada em princípios éticos e em uma governança

corporativa consistente.

Como parte desse sistema, a auditoria interna é fonte valiosa de

informação para conselheiros e administradores, uma vez que dentre suas

competências está a verificação do funcionamento dos controles internos. Sua

atuação pode contribuir para evitar desvios e promover o relacionamento

produtivo e cooperativo entre a administração e os supervisores bancários.

§ Dirigentes e executivos

Por delegação e autorização do Conselho de Administração, são os

encarregados de elaborar as estratégias e efetivar, em todos os níveis, as

operações e os negócios bancários que movimentam recursos. São os

diretamente encarregados de fazer com que o banco atinja seus objetivos, pois

comandam os órgãos de gestão e de suporte dos bancos. Entre os órgãos

bancários de gestão estão, por exemplo, os diferentes órgãos que realizam

operações de crédito e os que operam com títulos no mercado, para o próprio

39

banco ou em nome de terceiros. Entre os órgãos de suporte de um banco

estão, por exemplo, a informática, o departamento de recursos humanos, a

tesouraria etc.

§ Controles Internos

Também por delegação e autorização do Conselho de Administração,

os órgãos de controle interno, são os encarregados de implantar e manter os

controles necessários para que haja garantia razoável de que os executivos

irão cumprir os objetivos do banco e que serão evitados ao máximo os desvios

e perdas de ativos, que podem ocorrer por imprevisão, incompetência ou má-

fé. Os órgãos de controle interno estão subordinados à governança corporativa,

mas devem ser independentes dos executivos. São representados, por

exemplo, pela Controladoria/Contabilidade, Auditoria Interna, Controle Interno

de Riscos, Controle de Compliance etc. Os controles internos constituem o

grande alicerce e o instrumento principal da governança corporativa, já que,

sem eles, o Conselho não poderia acompanhar ou controlar o dia-a-dia da

gestão dos recursos de um banco e tomar as medidas necessárias para a sua

correção.

Regulamentação de controles internos e governança nos EUA

No mesmo sentido da valorização da governança corporativa, dos

controles internos e compliance, bem como da gestão de riscos e para reforçar

a importância da segurança do processo de divulgação de informações ao

mercado, foi promulgada nos EUA a Lei Sarbanes-Oxley, também conhecida

como SOX ou Sarbox, em 30/07/2002, principalmente, como forma de reagir às

fraudes que envolveram companhias de grande porte daquele mercado, como

a Enron, Tyco e WorldCom.

Estão sujeitas às regras da SOX as companhias brasileiras que

possuem American Depositary Receipts – ADR (recibos de depósito norte-

americano, representando ações de empresas estrangeiras, não negociáveis

no país das empresas emissoras) negociados nas bolsas de valores norte-

40

americanas; as empresas brasileiras subsidiárias de companhias estrangeiras

listadas na Securities and Exchange Commission – SEC; as companhias

brasileiras interessadas em lançar ADR no mercado norte-americano; e as

empresas brasileiras que tenham preocupação (em função do rating, por

exemplo) com a tendência do mercado brasileiro em atender e adotar regras de

melhor transparência, prestação de contas e equidade na gestão financeira

empresarial.

A Lei Sarbanes-Oxley representa um significativo aumento de

responsabilidades na definição, implementação e manutenção de efetivo

sistema de controles internos. Nela podemos destacar as seguintes seções:

• Seção 302 – responsabilidade corporativa pelos relatórios

financeiros. O diretor executivo e o diretor financeiro devem certificar,

em separado, que:

Ø os controles e procedimentos de divulgação estão estabelecidos;

Ø todas as informações relevantes chegaram ao seu conhecimento;

Ø avaliaram a eficácia dos controles e procedimentos dentro do prazo

de 90 dias da data do relatório;

Ø apresentaram no relatório suas conclusões sobre a eficácia dos

controles e procedimentos, inclusive sobre as deficiências de

controles, eventuais fraudes significantes para dos controles

internos.

• Seção 404 – gerenciamento da avaliação dos controles internos.

Estabelece:

Ø uma avaliação anual sobre a eficiência e eficácia dos controles e

procedimentos internos para a emissão de relatórios financeiros;

Ø a emissão, por auditor independente, de um relatório distinto que

ateste a asserção da administração sobre a eficácia dos controles

internos e dos procedimentos executados para a emissão dos

relatórios financeiros;

Ø o uso de direcionadores na implementação de controles internos

(COSO, por exemplo).

41

• Seção 906 – define as penalidades criminais para informações

incompletas ou errôneas.

Além das seções destacadas, os principais dispositivos da Lei

Sarbanes-Oxley tratam de:

Ø existência de Código de Ética para os administradores;

Ø proibição de empréstimos para administradores;

Ø criação e independência do Comitê de Auditoria;

Ø criação do Conselho de Supervisão de Firmas de Auditoria

Independente;

Ø separação entre os serviços de auditoria e consultoria;

Ø obrigatoriedade para os advogados informarem à Securities and

Exchange Commission – SEC violações relevantes à legislação de

mercado de capitais;

Ø maiores exigências de publicidade (a SEC recomenda, ainda, a

constituição de um Comitê de Divulgação); e

Ø novas tipificações criminais por violação de conduta.

Os principais dispositivos da Lei se encaixam no rol de boas práticas

bancárias e podem ser incorporados por uma instituição, independentemente

de estarem ligadas às bolsas de valores norte-americanas.

42

CAPÍTULO III

O RISCO OPERACIONAL

3.1 – Referencial Teórico

O estudo científico do risco teve início na época do Renascimento no

século XVII. Em 1650, o Cavaleiro de Meré convidou o matemático francês

Blaise Pascal para um duelo de solucionar o problema de como apostar num

jogo de azar suspenso quando um dos jogadores detinha alguma vantagem

sobre o outro. O matemático pediu ajuda a outro matemático francês e pela

primeira vez foi possível prever o que poderia acontecer no futuro (SANDRONI,

2000).

Sá (1995) define risco como uma ameaça de sinistro ou acidente que

pode mudar o valor dos bens, créditos e provisões patrimoniais, ameaça da

integridade dos valores patrimoniais, de perda. Nos últimos anos, a grande

preocupação do sistema financeiro internacional é a gestão do risco

operacional devido à quebra de grandes instituições financeiras.

Segundo Gitman (1997), risco pode ser explicado como a possibilidade

de ocorrer um prejuízo financeiro ou perda. Pode ser usado como incerteza

quando diz respeito à variabilidade de retornos associada a um determinado

ativo. Risco operacional é aquele decorrente da incapacidade de uma

organização cobrir os custos operacionais. Para Matias (2005), risco

operacional é aquele que está associado à ineficiência de normativos (padrão),

controles e sistemas ou fraudes e desvios de dinheiro no sistema financeiro.

Nas últimas décadas, a interdependência econômica gerada pela

globalização da economia fez com que aumentasse grandemente a

43

preocupação do sistema financeiro internacional com a gestão do risco,

especialmente o risco operacional, devido à ocorrência da quebra de grandes

bancos. Sob esse aspecto, a década de 90 trouxe à tona exemplos de

empresas e instituições financeiras de diversos portes que, devido

principalmente à ocorrência de falhas relacionadas a pessoas, cometeram

crimes, sofreram com escândalos financeiros, processos de falência ou de

fusão com outras empresas. Um exemplo é o caso do gigante japonês Daiwa

Bank que, operando através de sua sucursal em Nova Iorque, admitiu que um

de seus operadores conseguisse esconder, durante 11 anos seguidos (de 1984

até 1995), prejuízos da ordem de US$ 1,1 bilhão.

Outro exemplo é o Barings Bank, mais antigo banco privado do mundo

(233 anos) e depositário de recursos da rainha da Inglaterra que, operando em

Cingapura, ruiu devido a um colapso provocado por um único operador. A

solução encontrada para o caso foi a absorção do Barings pelo holandês ING

Bank, pelo preço simbólico de uma libra esterlina.

Gomes (1996) cita também a fusão do Bank of Tokyo com o Mitsubishi

Bank que, à época, o mercado enxergou como uma manobra do governo

japonês para criar uma instituição capaz de absorver ou socorrer outras

instituições de menor porte ou que passavam por crises devido à inexistência

de gerenciamento dos seus riscos. E muitas outras fusões ainda ocorreram

naquela mesma década no mercado americano, por diversos motivos.

Nos casos citados acima (Daiwa e Barings) houve incidência de risco

de mercado, agravado pelo risco operacional (falta de controle internos –

basicamente falha humana). Mas o Brasil também teve seus casos de quebra

de bancos nesse período. O tratamento dado pelo governo brasileiro às

ocorrências, inclusive com a utilização do PROER (Programa de Estímulo à

Reestruturação e ao Fortalecimento do Sistema Financeiro Nacional), facilitou

o socorro às instituições em dificuldades financeiras e sua incorporação por

outras empresas. Foram os casos dos bancos Econômico-Excel, do Nacional-

Unibanco, do Bamerindus-HSBC e ainda outros.

44

Segundo Lehmann (2001), falhas humanas em empresas podem ser

responsáveis por queda na produtividade, retrabalhos, acidentes de trabalho,

além de danos materiais e pessoais irrecuperáveis. Por isso, a falha humana

se constitui numa das maiores preocupações no gerenciamento de qualquer

área de trabalho, devido ao grande número de perdas que ocasionam

(COUTO, apud LEHMANN, 2001, p.4).

Nas atividades internas de um banco, as pessoas envolvidas podem

gerar eventos de risco através de incapacidade, desatenção ou má fé.

Elevadas perdas podem ser causadas a um banco através de fraudes

conduzidas ou auxiliadas por funcionários. Mais de 40% das invasões de

hackers com fraudes foram auxiliadas por funcionários (MARTIN, 2006, p.66).

Outras perdas podem ser causadas por desatenção na confecção de

contratos, no fechamento de determinados negócios, em análises mal

conduzidas do risco de operações de crédito, por descumprimento de

normativos internos etc.

Como toda organização, os bancos são constituídos de pessoas, cujas

deficiências, fraquezas e vulnerabilidades profissionais ou de caráter, podem

se transformar em eventos expressivos de risco se não forem reconhecidos e

controlados. Daí a necessidade da correta avaliação, mensuração e

gerenciamento do risco operacional, determinados pelo Acordo de Basiléia.

Com o advento de Basileia I, ficou clara a preocupação dos

reguladores com dois riscos aos quais as instituições financeiras estavam

expostas: risco de crédito e risco de mercado. Em anos recentes, as mudanças

no ambiente financeiro mundial, tais como a integração entre os mercados por

meio do processo de globalização, o surgimento de novas transações e

produtos, o aumento da sofisticação tecnológica e as novas regulamentações

tornaram as atividades e os processos financeiros e seus riscos cada vez mais

45

complexos. Surgiu daí a preocupação de banqueiros e outros executivos de

finanças com um terceiro risco: o risco operacional.

Além disso, as lições originadas dos desastres financeiros, citados

anteriormente, contribuíram para evidenciar a importância da gestão do risco

operacional na indústria bancária.

Esses fatores foram decisivos para que órgãos reguladores e

instituições financeiras investissem na gestão dos riscos, pois embora o foco

da nova estrutura de Basileia II seja os bancos internacionalmente ativos, os

seus princípios básicos se destinam também a bancos com níveis variados de

complexidade e sofisticação.

Etimologicamente, a palavra “risco” tem sua origem no italiano antigo,

riscare, e significa ousar. Em uma concepção primária, risco significa “perigo ou

possibilidade de perigo” (FERREIRA, 1999), ou ainda “a chance de ocorrer um

evento desfavorável” (BRIGHAM, 1999). Em ambas as definições a idéia de

risco está associada a certo grau de incerteza, ou seja, corre-se risco quando

existe um desconhecimento de resultados futuros de algum evento

(acontecimento ou ocorrência).

Com relação ao risco operacional, o Comitê da Basileia o definiu como

“o risco de perda direta ou indireta, resultante de inadequações ou falhas de

processos internos, pessoas e sistemas, ou de eventos externos”.

Em observância ao acordo Basileia II, o Banco Central passou a inserir

o mercado financeiro brasileiro no contexto da preocupação crescente com a

gestão de risco e as premissas descritas naquele Acordo, notadamente no

tocante ao risco operacional.

Por meio da Resolução 3.380, o Bacen definiu risco operacional com o

seguinte texto:

46

“Risco operacional é a possibilidade de ocorrência

de perdas resultantes de falha, deficiência ou

inadequação de processos internos, pessoas e sistemas,

ou de eventos externos, incluindo o risco legal associado

à inadequação ou deficiência em contratos firmados pela

instituição, bem como a sanções em razão de

descumprimento de dispositivos legais e a indenizações

por danos a terceiros decorrentes das atividades

desenvolvidas pela instituição”.

A mencionada resolução relaciona os eventos que devem ser

abrangidos pela definição de risco operacional: fraudes internas; fraudes

externas; demandas trabalhistas; segurança deficiente do local de trabalho;

práticas inadequadas relativas a clientes e a produtos e serviços; danos a

ativos físicos próprios ou em uso pela instituição; problemas que acarretem a

interrupção das atividades da instituição; falhas em sistema de tecnologia da

informação; falhas na execução, cumprimento de prazos e gerenciamento das

atividades na instituição.

A Resolução do Bacen 3.380 definiu ainda como deve ser a estrutura

de gerenciamento de risco operacional estabelecendo suas fases:

IDENTIFICAÇÃO > MENSURAÇÃO > MITIGAÇÃO > CONTROLE > MONITORAMENTO

Essas fases são interligadas, interdependentes e dinâmicas e revelam

a complexidade da gestão de riscos.

Ø Identificação e Sensoriamento do Risco Operacional

O processo de gestão do risco operacional inicia-se com a identificação

das falhas, deficiências ou inadequações de processos internos, pessoas e

sistemas da empresa. Para tanto, torna-se necessária a adoção de práticas

que possibilitem o diagnóstico das ocorrências e o levantamento das causas

47

que podem levar a organização a não atingir um ou mais de seus objetivos e a

incorrer em perdas operacionais.

Com essa finalidade, os bancos vêm desenvolvendo metodologias para

análise de processos internos que possibilitem a detecção de suas fragilidades.

Essas metodologias baseiam-se no sensoriamento do ambiente de negócios,

isto é, na detecção, no andamento rotineiro do processo operacional, de

ocorrências ou fragilidades capazes de potencializar os riscos inerentes às

atividades e que não possuem mecanismos de controles ou cujos mecanismos

de controle sejam deficientes, inadequados ou insuficientes.

Uma das ferramentas utilizadas pelo mercado para identificação e

sensoriamento de riscos é o Indicador Chave de risco (ICR). Tal indicador

considera uma ou mais variáveis de um processo operacional e sua oscilação

frente a um comportamento esperado, segundo regras pré-definidas. A

intensidade da oscilação das variáveis indica maior ou menor exposição ao

risco operacional.

Com base na identificação das fragilidades é possível estabelecer

pontos de controle e ações de mitigação que possibilitem a melhoria dos

processos internos. Nessa etapa também são identificados os eventos de

perda operacional a que a empresa está exposta, a freqüência com que

ocorrem e a severidade dos mesmos.

Ø Avaliação e Mensuração do Risco Operacional

A estrutura requerida por Basileia II estimula as instituições financeiras

a aumentarem suas capacidades de avaliação e de mensuração de riscos.

Após identificar as causas das fragilidades, os eventos de perda

operacional a que a instituição está exposta e os processos internos

considerados críticos, são avaliados os impactos que essas fragilidades,

eventos e processos causam na instituição.

48

A mensuração do risco operacional é um importante desafio para a

indústria bancária e cada instituição financeira tem buscado adaptar

implementar e desenvolver seus modelos de mensuração.

Ao lado da avaliação e mensuração do risco, é necessária, também, a

mensuração do capital mínimo exigido para cobertura do risco operacional.

Para isso, Basileia II propõe as seguintes abordagens: indicador

básico, padronizada, padronizada alternativa, padronizada alternativa

simplificada e avançada. As quatro primeiras abordagens são definidas pelo

regulador. A quinta consiste no desenvolvimento de modelo interno pelas

instituições financeiras e depende de aprovação do regulador.

As abordagens do indicador básico, padronizada, padronizada

alternativa e padronizada alternativa simplificada são caracterizadas como

sintéticas, uma vez que a exigência de capital mínimo é estimada com base em

dados agregados, sem que haja identificação dos eventos de perdas de forma

individualizada, bem como de suas causas. A abordagem avançada é

caracterizada como analítica, pois proporciona maior conhecimento do perfil de

risco da instituição e maior adequação à qualidade dos controles.

O cálculo da exigência de capital mínimo na abordagem do indicador

básico é realizado pela multiplicação da média do resultado bruto (resultado da

intermediação financeira acrescido das receitas de prestação de serviços), nos

últimos três anos, por um fator alfa (α), definido pelo BIS em 15%, e adotado

pelo Banco Central.

Essa abordagem não gera custos adicionais para implementação com

estrutura material, humana e de sistemas. Entretanto pode gerar necessidade

de maior capital mínimo do que as outras abordagens.

49

A apuração pela abordagem padronizada segrega as atividades do

banco em oito linhas de negócios, considera a média do resultado bruto nos

últimos três anos, por linha de negócio, e aplica um fator beta (ß) sobre essa

média. A exigência de capital total para suportar o risco operacional é o

somatório de capitais exigidos para cada uma das oito linhas de negócios.

Linhas de negócios

Linhas de Negócios Componentes Atividades Fator ß Finanças Corporativas

Aquisições, fusões, privatizações e reestruturações

Aconselhamento e colocação de papéis

18%

Negociação e Vendas

Resultado de títulos e valores mobiliários, commodities, ações e derivativos

Corretagem de atacado e posicionamento no mercado

18%

Varejo Varejo, private banking e cartões de crédito Venda de produtos e serviços bancários para pessoas físicas e pequenas e médias empresas

12%

Comercial Banco Comercial Empréstimos para médias e pequenas empresas

15%

Pagamentos e Liquidações

Pagamento e liquidação para terceiros Processamento de documentos 18%

Serviços de Agente Financeiro

Custódia, agentes de custódia e trusts Custódia de papéis 15%

Administração de Ativos

Fundos discricionários e não discricionários

Administração de recursos de terceiros

12%

Corretagem de varejo

Corretagem de ações, de títulos e valores mobiliários e de mercadorias

Corretagem de valores para o varejo

12%

Para exemplificar o cálculo do capital mínimo exigido, de acordo com a

abordagem padronizada, considere um banco que possua média do resultado

bruto no valor de $ 100. O quadro abaixo mostra, nesse caso, o capital mínimo

exigido para suportar risco operacional é $ 13,73.

Simulação de exigência de capital – Abordagem padronizada

Linhas de Negócio Resultado Bruto Beta Alocação de Capital Administração de Ativos 6 12% 0,72 Banco Comercial 35 15% 5,25 Corretagem 1 12% 0,12 Custódia 0,5 15% 0,08 Finanças Corporativas 1 18% 0,18 Pagamentos e Liquidações 5 18% 0,90 Negociação e Vendas 5 18% 0,90 Banco de Varejo 46,5 12% 5,58 100 13,73

Comparando os dois modelos – Indicador básico e abordagem

padronizada – note que há uma queda do capital mínimo exigido de $15 para $

13,73.

50

Simulação de exigência de capital – Abordagem padronizada

Linhas de Negócio Resultado Bruto Beta Alocação de Capital Administração de Ativos 6 12% 0,72 Banco Comercial 35 15% 5,25 Corretagem 1 12% 0,12 Custódia 0,5 15% 0,08 Finanças Corporativas 1 18% 0,18 Pagamentos e Liquidações 5 18% 0,90 Negociação e Vendas 5 18% 0,90 Banco de Varejo 46,5 12% 5,58 100 13,73

A abordagem padronizada alternativa é similar à abordagem

padronizada, exceto para as linhas de negócios: comercial e varejo. Como a

utilização da média do resultado bruto nessas linhas, que são sensíveis às

taxas de juros pode distorcer os resultados em ambientes de instabilidade de

taxas (spread consideravelmente elevado), a abordagem padronizada

alternativa ajusta a exigência de capital para as linhas Comercial e Varejo,

utilizando a média do saldo em empréstimos e adiantamentos (ao invés da

média do resultado bruto) multiplicada por um fator “m”, igual a 0,035, e pelo

respectivo fator ß. Para as demais linhas de negócios são utilizados os

mesmos critérios da abordagem padronizada.

Abordagem Padronizada Alternativa

Linhas de Negócio Resultado Bruto Beta Média m Alocação de Capital

Administração de Ativos 6 12% - - 0,72 Banco Comercial - 15% 200 3,5% 1,05 Corretagem 1 12% - - 0,12 Custódia 0,5 15% - - 0,08 Finanças Corporativas 1 18% - - 0,18 Pagamentos e Liquidações 5 18% - - 0,9 Negociação e Vendas 5 18% - - 0,9 Banco de Varejo - 12% 300 3,5% 1,26 Não Financeiras 18% - - Total 5,21

Verifica-se também que a migração da abordagem padronizada para a

abordagem padronizada alternativa proporciona expressiva economia de

capital alocado, variando de $13,73 para $ 5,21.

51

A abordagem padronizada alternativa simplificada é similar à

abordagem padronizada alternativa, diferenciando-se apenas quanto à

possibilidade de agrupamento das linhas de negócios: varejo e comercial

mediante aplicação de ß de 15% e das demais linhas de negócios

multiplicando-se por ß de 18%. Cabe ressaltar que essa abordagem, por

produzir exigência de maior capital, somente será utilizada pelas instituições

que não alcançarem o desdobramento exigido na abordagem padronizada

alternativa. O quadro abaixo demonstra os resultados da simulação de

exigência de capital com base nessa abordagem.

Abordagem Padronizada Alternativa Simplificada

Linha de Negócios Resultado Bruto Beta Média M Alocação de Capital

Demais Linhas de Negócios 18,5 18% - - 3.33 Banco Comercial 15% 200 3,5% Banco de Varejo 15% 300 3,5% 2,63

Total 5,96

A abordagem avançada presume alocação de capital inferior às

abordagens anteriormente citadas e sua adoção exige maiores investimentos

na estrutura organizacional e nos processos internos dos bancos. Assim, as

instituições que optarem pela abordagem avançada poderão desenvolver seus

próprios modelos internos de mensuração do capital mínimo. No entanto, para

a implementação dessa abordagem, os bancos terão de atender a exigências

quantitativas e qualitativas, que assegurem a integridade e a robustez do

modelo de mensuração utilizado.

Em abril de 2008, o regulador – BACEN – definiu metodologia para o

cálculo da parcela de risco operacional, com base na utilização de uma das

seguintes abordagens: Indicador Básico, Padronizada Alternativa e

Padronizada Alternativa Simplificada. O processo de autorização para uso de

modelos internos (abordagem avançada) se dará até o final de 2012.

52

Ø Mitigação

Uma vez avaliados e mensurados os riscos, a instituição irá decidir

qual a melhor alternativa de ação, considerada a relação custo benefício. Pode

optar pela absorção das conseqüências do risco, pelo repasse à empresa

dedicada à atividade de gestão de risco (seguradora ou comercializadora, por

exemplo) ou pela mitigação de riscos.

A mitigação de riscos corresponde à redução (ou adequação) do risco

a níveis aceitáveis ou admitidos pelas instituições. Quando se fala em

mitigação o que se deseja evitar não é necessariamente a ocorrência do fator

gerador do risco, mas as conseqüências do risco. Os riscos podem ser

reduzidos ou adequados por meio da implementação de ações para instituição

ou correção de controles.

A mitigação de riscos tem custos, que podem ser o custo do

desenvolvimento ou aquisição de um sistema (software), a absorção do risco

pela própria instituição financeira ou ainda o repasse à empresa dedicada à

atividade de gestão de risco (seguradora ou comercial, por exemplo).

Exemplos de ações para mitigação de riscos em processos, produtos e

serviços do mercado bancário:

§ verificar se o processo, produto ou serviço pode incorrer em risco de

ilícitos financeiros ou cambiais;

§ consultar a área jurídica para a correta interpretação das leis, normas e

regulamentos;

§ divulgar competências, alçadas, limites, normas e procedimentos que

orientem a execução das atividades;

§ implementar mecanismos que visem a segregação de funções com

vistas a reduzir conflitos de interesses, fraudes e falhas humanas;

53

§ definir controles de acesso, de forma a preservar a segurança e o sigilo

das informações.

Como não é possível eliminar completamente os riscos, as

organizações buscam constantemente sua mitigação por meio das atividades

de controle.

Ø Controle

As atividades de controle ocorrem em toda a organização, em todos os

níveis e em todas as funções, para detectar ou prevenir ameaças aos objetivos

da empresa. Incluem diversas atividades tais como aprovações, autorizações,

verificações, reconciliações, análises de desempenho operacional, segurança

dos ativos e segregação de funções.

Ø Monitoramento

O monitoramento é a avaliação dos controles internos ao longo do

tempo. É feito tanto por meio do acompanhamento contínuo das atividades

quanto por avaliações pontuais, tais como autoavaliação, revisões eventuais,

compliance e auditoria interna. A função do monitoramento é verificar se os

controles internos são adequados e efetivos.

Controles adequados são aqueles em que seus elementos (ambiente,

avaliação de riscos, atividade de controle, informação e comunicação e

monitoramento) estão presentes e funcionando conforme planejado.

Controles são efetivos quando a alta administração tem uma razoável

certeza:

§ do grau de atingimento dos objetivos operacionais propostos;

§ de que as informações fornecidas pelos relatórios e sistemas

corporativos são confiáveis; e

§ de que leis, regulamentos e normas pertinentes estão sendo cumpridos.

54

3.2 – Por que se preocupar com o Risco Operacional?

A reputação de uma instituição financeira é o seu maior ativo.

Escândalos financeiros arranham a imagem dos conglomerados, levantam

suspeitas sobre a real capacidade de seus administradores em perceber e

controlar os riscos a que estão expostos e, por conseguinte, podem

comprometer a liquidez de todo o Sistema Financeiro.

O rígido controle do risco operacional tem relação estreita com a

redução da exposição ao risco e escândalos financeiros.

Equivocadamente, no início da década de 1980, muitos analistas

estimavam que a evolução tecnológica e a automação dos processos

diminuíram sensivelmente a ocorrência de falhas operacionais. Estavam

corretos ao se referirem à redução no número de ocorrências, porém

encanaram-se ao pensar que os valores em jogo nessas falhas também

passariam por redução semelhante.

Enquanto nos processos manuais, largamente utilizados até meados

dos anos 80, o volume de falhas era maior e de valores pulverizados, a

automação implantada a partir dessa época tornou a ocorrência de falhas

menos freqüente, porém envolvendo valores bem mais expressivos.

“embora a automação reduza a probabilidade de

erros humanos simples, na verdade aumenta a

probabilidade de grandes perdas que de outra forma

teriam sido detectadas por um operador humano.”

(MARSHALL, 2002, p.10).

Com a evolução tecnológica e a integração dos mercados, também os

produtos financeiros tornam-se mais vastos e complexos, exigindo maior

55

especialização de funcionários. Em contraste, simultaneamente a essa

evolução, a necessidade de redução de custos nos processos fez com que as

instituições financeiras passassem a recorrer à mão-de-obra de funcionários

temporários ou à ampla terceirização de serviços considerados “não

essenciais”, diminuindo a especialização em seus quadros.

E enquanto a mão-de-obra operacional torna-se menos especializada,

passa-se a exigir de administradores de instituições bancárias, elevado

conhecimento do mercado e de técnicas de gestão.

Conforme MALUF (apud, FIGUEIREDO, 2001, p.4) “a dinâmica do

cenário operacional das instituições financeiras vem exigindo crescente

capacitação de seus administradores e sistemas de controles eficazes e que o

empirismo vem sendo banido da gestão bancária.”

CARVALHO (2005, p.1) lembra-nos, porém, que: “Se, por um lado, o

conhecimento é um dos principais elementos geradores de valor, por outro, o

seu mau uso, incluídos aí incompetência, displicência, maldade e fraudulência,

surge como um dos principais destruidores de valor, com resultado

representado diretamente nas perdas associadas aos riscos.”

Assaf Neto (2003) relata que a indústria bancária passa hoje por

profundo processo de adequação à nova realidade do mercado. Essa nova

realidade é fruto, principalmente da globalização da economia, da criação de

novos modelos de avaliação de riscos e do surgimento de produtos financeiros

mais sofisticados.

Tal evolução das transações financeiras em complexidade e também

em volume, aliada à interligação cada vez mais efetiva de mercados financeiros

de todo o planeta, torna mais iminentes os riscos de escândalos financeiros e

de que esses escândalos alastrem seus efeitos por todo o sistema (Risco

Sistêmico, ou popularmente, “efeito dominó”).

56

Silva Neto, quando se refere às transações com derivados, também

menciona que:

“A preocupação com o risco desses mercados

agrava-se quando imaginamos que pode ocorrer uma

reação em cadeia no caso de quebra de um grande

participante do mercado” (SILVA NETO, 2002, p. 227)

A exposição do mercado ao Risco Sistêmico fez com que autoridades

reguladoras passassem a dedicar maior atenção à definição de padrões que

trouxessem maior estabilidade ao sistema.

Marshall, quando se refere às exigências regulamentares de capital

também define o Risco Sistêmico como um foco essencial das autoridades

reguladoras:

“Reguladores financeiros estão preocupados com

riscos ao público em geral e a investidores, especialmente

riscos sistêmicos – o risco de grandes perdas no sistema

financeiro, resultante de numerosos inter-relacionamentos

potencialmente instáveis entre diferentes provedores de

serviços financeiros (principalmente bancos).”

(MARSHALL, 2002, p.30)

3.3 – Tipos de Risco Operacional

Por meio da compilação de definições dadas por diversos autores

e instituições, dentre eles a DMR Consulting, a Controladoria Geral da União –

CGU e o Banco do Brasil, (apud MORAES, 2002, p.69), o risco operacional

pode ser subdividido em:

a) Risco de Falhas Humanas: Risco de perdas decorrentes de equívoco,

omissão, distração ou negligência de funcionários ou de terceiros

contratados;

57

b) Risco de Fraudes: Risco de perdas oriundas de comportamentos

fraudulentos, adulteração de controles, descumprimento proposital de

procedimentos da empresa, desvio de valores, divulgação de

informações erradas, vazamento de informações privilegiadas (inside

information) e ações de fraudadores externos (fraudes de cartões de

crédito, cheques adulterados, transferências eletrônicas);

c) Risco de Equipamento: Possibilidade de perdas decorrentes de falhas

em equipamentos (de transmissão e processamento de dados, de

comunicação, de segurança, elétricos);

d) Risco de Modelagem: Trata-se do risco decorrente do desenho

defeituoso de produtos, serviços e modelos, da interpretação ou

utilização equivocada de resultados fornecidos pelos modelos (inclusive

pela utilização de dados incorretos), ou ainda da possibilidade de

inadequação do modelo utilizado com o cenário real.

e) Risco de regulamentação: Risco de perdas pela não observância de

controles internos estabelecidos para minimizar a exposição aos fatores

de risco;

f) Risco de Produtos e Serviços: Possibilidade de perdas decorrentes da

disponibilização de produtos e serviços de forma indevida ou cujas

características não atendam à demanda do mercado;

g) Risco de Sistemas da Informação: Possibilidade de perdas por

interrupções de processamento, processamento intempestivo ou

inadequado de informações, ou ainda pela perda de dados

armazenados;

h) Risco Patrimonial: Possibilidade de perda de valores da instituição, pela

utilização não autorizada ou inadequada de recursos, pela falta de

manutenção/conservação de bens de uso, pela custódia inadequada de

valores e pela falta de segurança física das pessoas;

i) Risco de Recursos Humanos: Risco de perda do histórico de processos

ou da qualidade em sua execução, decorrente, principalmente, da alta

rotatividade e da falta de capacitação do pessoal;

58

j) Risco de Contrato: Risco de perdas por julgamentos desfavoráveis em

virtude de contratos omissos, mal redigidos, ou sem amparo legal, ou

pela falta de capacidade/representatividade dos signatários;

k) Risco de Catástrofe: Possibilidade de perdas pela ocorrência de

catástrofes, naturais ou não (terremotos, inundação, atos de sabotagem

e terrorismo). Alguns autores podem abordar esse risco como Risco de

Danos a Ativos Fixos.

Mesmo estando dividido em diversas categorias, desconsiderado o

risco de catástrofe (que independe de ações diretas da empresa mas que pode

ter seu impacto minimizado pela proatividade de ações), podemos dizer que

essas categorias de risco têm sua ocorrência motivada pelo, ou estão

intimamente ligadas ao, risco de falha humana.

3.4 – Identificando o Risco Operacional

O primeiro desafio encontrado pelas Instituições Financeiras na busca

da identificação dos riscos operacionais inerentes a suas atividades consiste

em compreender precisamente o funcionamento dos seus próprios processos.

Marshal aborda este desafio quando trata das inter-relações dos

diversos processos nas Instituições Financeiras:

“Na prática, os processos serão complexas

combinações verticais e horizontais de sub-processos. O

mapeamento dessas combinações de processos explica

exatamente como suas ações afetam outras e onde se

encontram as verdadeiras fontes de muitos problemas do

dia-a-dia.” (MARSHALL, 2002, p.113)

O Sistema Operacional nos diversos processos existentes na

Instituição Financeira é que irá garantir a identificação dos riscos e avaliar se

59

os controles adotados são adequados. Se não existir um eficiente sistema de

controle, as operações não terão a segurança necessária.

Silva Neto afirma que os sistemas devem buscar um equilíbrio entre a

simplicidade da informação final e sua eficácia:

“O risco operacional é um nó muito importante em

todo o processo, pode não ser ele o causador de uma

grande perda, mas ele será, sem dúvida, o culpado pela

demora em se descobrir e corrigir a falha.” (Silva Neto,

2002, p.196)

A quantificação do risco operacional é tarefa difícil, conforme explica

Chaves:

“De uma maneira geral, pode-se dizer que a

principal característica do risco operacional é a de que

este não é assumido em troca de uma recompensa

esperada, tal como ocorre com o risco de crédito e o risco

de mercado” (CHAVES, 2005, p.19).

Marshall afirma ainda que a identificação de riscos operacionais deve

ser sempre precedida de um benchmark e que este mapeamento pode

abranger o estado atual ou as melhores práticas do mercado.

A alta administração e os gestores de riscos são intervenientes

essenciais. Os métodos básicos de obtenção e levantamento de informações

são workshops, entrevistas e análises documentais (documentos estratégicos,

registros contábeis, legislação, literatura especializada e outros).

Torna-se necessário, porém, que toda a pirâmide orgânica de uma

instituição tenha a capacidade de identificar e gerir o risco antes que este

ocorra, numa visão de agregação de informações de baixo pracima.

60

Os mecanismos de identificação de risco têm de estar implementados

na estrutura da empresa e deve haver uma avaliação de risco sistemática que

acione ações preventivas que possam evitar repercussões em cadeia de falhas

operacionais.

Para avaliar as ferramentas de gestão do risco operacional no mercado

bancário brasileiro, em 2004, a FEBRABAN – Federação Brasileira de Bancos

consultou 26 dos principais bancos brasileiros, apresentando-lhes questões

sobre o risco operacional. Das instituições consultadas, 18 responderam à

pesquisa. Em resposta à pergunta “Quais são as ferramentas que estão sendo

utilizadas/previstas para mensuração e gestão do Risco Operacional?” os

bancos brasileiros apontaram:

Ferramentas Em Uso Prevista Base de dados de perdas internas 89% 11% Base de dados de perdas externas 6% 44% Indicadores chaves de riscos 50% 36% Auto-avaliações de riscos e controles 72% 17% Mapeamento de Processos 67% 17% Fluxo de aprovação/revisão de produtos, processos e sistemas 83% 6% Matrizes de riscos e controles 61% 11% Scorecards 11% 28% Seis Sigma 6% 17% Indicadores de qualidade/performance 50% 11% Ratings 33% 11% Outras 6% 0% Fonte: FEBRABAN, 2004

Apesar de ainda não ser unanimidade, ficou evidente que uma das

principais ferramentas adotadas pelos bancos para a identificação e

mensuração do Risco Operacional é a constituição de banco de dados com

histórico das perdas internas.

Uma vez identificado o risco, sua importância pode ser mensurada em

termos de sua conseqüência dentro da organização (impacto relacionada com

a possibilidade de ocorrência (probabilidade).

61

Existem diversos modelos para construção de matrizes de impacto e

probabilidade, desde modelos simples a outros bastantes complexos, mas

essencialmente todos estão fundamentados no modelo de classificação abaixo:

IMPACTO Grande Dano

Médio Dano

Pequeno Dano

Improvável Baixa Alta Extrema PROBABILIDADE

Após desenvolver um banco de dados, contendo as informações sobre

as perdas com risco operacional, torna-se necessário que a instituição

disponha de pessoas qualificadas para avaliar, tanto a forma com que esses

dados devem ser capturados pelo sistema, como os resultados extraídos dele.

A partir daí, deverão ser definidas as ações de mitigação, correção e alocação

de capital para fazer frente às materializações dos riscos esperados.

Para reforçar o conceito da relevância do gerenciamento do risco

operacional pelas instituições financeiras, segue, no Anexo I da presente

monografia, a Resolução 3.380, publicada pelo Banco Central do Brasil em 29

de junho de 2006, contendo as diretrizes do Conselho Monetário Nacional, para

a implementação de uma estrutura de gerenciamento do risco operacional,

pelas instituições financeiras e demais instituições autorizadas a funcionar pelo

Banco Central do Brasil.

62

CONCLUSÃO

Reconhece-se, portanto, que o gerenciamento do risco

operacional escolhido por um determinado Banco vai depender de uma

variedade de fatores, inclusive seu tamanho e sofisticação, além da natureza e

complexidade de suas atividades.

Entretanto, apesar dessas diferenças, uma cultura forte em riscos

operacionais, controles internos eficientes e comunicação interna ativa são

elementos cruciais na construção de uma estrutura sólida para o efetivo

gerenciamento do risco operacional em bancos de qualquer tamanho e escopo.

Fica evidente, portanto, que no processo de estruturação do risco

operacional cresce a importância dos órgãos regulamentares, tanto no que se

refere à normalização do mercado financeiro como na adequação ao Acordo de

Basiléia e estímulo às instituições pioneiras nesse desenvolvimento.

Acredita-se que várias instituições financeiras, inclusive

brasileiras, tanto por atuarem em ambiente de concorrência significativa como

pelo atual estágio de desenvolvimento de suas mensurações internas, irão

requerer a qualificação para utilização de modelos internos no cálculo de

capital para risco operacional.

Todavia, reconhece-se que a aculturação para o gerenciamento

efetivo de riscos é um processo de maturação lenta e que em alguns países a

obtenção e o tratamento de séries históricas, assim como a implementação de

modelagens estatísticas sofisticadas, podem ser considerados incipientes e

implantados em poucas instituições atualmente.

63

ANEXOS

Índice de anexos

Anexo 1 >> Resolução 2.554 do Banco Central do Brasil;

Anexo 2 >> Resolução 3.380 do Banco Central do Brasil.

64

ANEXO 1

RESOLUÇÃO 2.554

Dispõe sobre a implantação e implementação de sistema de controles internos.

O BANCO CENTRAL DO BRASIL, na forma do art. 9º da Lei nº 4.595, de

31.12.64, torna público que o CONSELHO MONETÁRIO NACIONAL, em

sessão realizada em 24.09.98, tendo em vista o disposto no art. 4º, inciso VIII,

da referida Lei, nos arts. 9º e 10º da Lei nº 4.728, de 14.07.1965, e na Lei nº

6.099, de 12.09.1974, com as alterações introduzidas pela Lei nº 7.132, de

26.10.1983.

RESOLVEU:

Art. 1º - Determinar às instituições financeiras e demais instituições autorizadas

a funcionar pelo Banco Central do Brasil a implantação e a implementação de

controles internos voltados para as atividades por elas desenvolvidas, seus

sistemas de informações financeiras, operacionais e gerenciais e o

cumprimento das normas legais e regulamentares a elas aplicáveis.

Parágrafo 1º - Os controles internos, independentemente do porte da

instituição, devem ser efetivos e consistentes com a natureza, complexidade e

risco das operações por ela realizadas.

Parágrafo 2º - São de responsabilidade da diretoria da instituição:

I – a implantação e a implementação de uma estrutura de controles internos

efetiva mediante a definição de atividades de controle para todos os níveis de

negócios da instituição;

II – estabelecimento dos objetivos e procedimentos pertinentes aos mesmos;

III – a verificação sistemática da adoção e do cumprimento dos procedimentos

definidos em função do disposto no inciso II.

Art. 2º - Os controles internos, cujas disposições devem ser acessíveis a todos

os funcionários da instituição de forma a assegurar que sejam conhecidas a

respectiva função no processo e as responsabilidades atribuídas aos diversos

níveis da organização, devem prever:

65

I – a definição de responsabilidades dentro da instituição;

II – a segregação das atividades atribuídas aos integrantes da instituição de

forma a que seja evitado o conflito de interesses, bem como meios de

minimizar e monitorar adequadamente áreas identificadas como de potencial

conflito da espécie;

III – meios de identificar e avaliar fatores internos e externos que possam afetar

adversamente a realização dos objetivos da instituição;

IV – a existência de canais de comunicação que assegurem aos funcionários,

segundo o correspondente nível de atuação, o acesso a confiáveis,

tempestivas e compreensíveis informações consideradas relevantes para suas

tarefas e responsabilidades;

V – a contínua avaliação dos diversos riscos associados às atividades da

instituição;

VI – o acompanhamento sistemático das atividades desenvolvidas, de forma a

que se possa avaliar se os objetivos da instituição estão sendo alcançados, se

os limites estabelecidos e as leis e regulamentos aplicáveis estão sendo

cumpridos, bem como a assegurar que quaisquer desvios possam ser

prontamente corrigidos;

VII – a existência de testes periódicos de segurança para os sistemas de

informações, em especial para os mantidos em meio eletrônico.

Parágrafo 1º - Os controles internos devem ser periodicamente revisados e

atualizados, de forma a que sejam a eles incorporadas medidas relacionadas a

riscos novos ou anteriormente não abordados.

Parágrafo 2º - A atividade de auditoria interna deve fazer parte do sistema de

controles internos.

Parágrafo 3º - A atividade de que trata o parágrafo 2º, quando não executada

por unidade específica da própria instituição ou de instituição integrante do

mesmo conglomerado financeiro, poderá ser exercida:

I – por auditor independente devidamente registrado na Comissão de valores

Mobiliários – CVM, desde que não aquele responsável pela auditoria das

demonstrações financeiras;

II – pela auditoria da entidade ou associação de classe ou de órgão central a

que filiada a instituição;

66

III – por auditoria de entidade ou associação de classe de outras instituições

autorizadas a funcionar pelo Banco Central, mediante convênio, previamente

aprovado por este, firmado entre a entidade a que filiada a instituição e a

entidade prestadora do serviço.

Parágrafo 4º - No caso de a atividade de auditoria interna ser exercida por

unidade própria, deverá essa estar diretamente subordinada ao conselho de

administração ou, na falta desse, à diretoria da instituição.

Parágrafo 5º - No caso de atividade de auditoria interna ser exercida segundo

uma das faculdades estabelecidas no parágrafo 3º, deverá o responsável por

sua execução reportar-se diretamente ao conselho de administração ou, na

falta desse, à diretoria da instituição.

Parágrafo 6º - As faculdades estabelecidas no parágrafo 3º, incisos II e III,

somente poderão ser exercidas por cooperativas de crédito e por sociedades

corretoras de títulos e valores mobiliários, sociedades corretoras de câmbio e

sociedades distribuidoras de títulos e valores mobiliários não integrantes de

conglomerados financeiros.

Art. 3º - O acompanhamento sistemático das atividades relacionadas com o

sistema de controles internos deve ser objeto de relatórios, no mínimo

semestrais, contendo:

I – as conclusões dos exames efetuados;

II – as recomendações a respeito de eventuais deficiências, com o

estabelecimento de cronograma de saneamento das mesmas, quando for o

caso;

III – a manifestação dos responsáveis pelas correspondentes áreas a respeito

das deficiências encontradas em verificações anteriores e das medidas

efetivamente adotadas para saná-las.

Parágrafo Único – As conclusões, recomendações e manifestação referidas

nos incisos I, II e III deste artigo:

I – devem ser submetidas ao conselho de administração ou, na falta desse, à

diretoria, bem como à auditoria externa da instituição;

II – devem permanecer à disposição do Banco Central do Brasil pelo prazo de

5 (cinco) anos.

67

Art. 4º - Incube à diretoria da instituição, além das responsabilidades

enumeradas no art. 1º, parágrafo 2º, a promoção de elevados padrões éticos e

de integridade e de uma cultura organizacional que demonstre e enfatize, a

todos os funcionários, a importância dos controles internos e o papel de cada

um no processo.

Art. 5º - O sistema de controles internos deverá estar implementado até

31.12.99, com a observância do seguinte cronograma:

I – definição das estruturas internas que tornarão efetivos a implantação e o

acompanhamento correspondentes – até 31.01.99;

II – definição e disponibilização dos procedimentos pertinentes – até 30.06.99.

Parágrafo único. A auditoria externa da instituição deve fazer menção

específica, em seus pareceres, à observância do cronograma estabelecido

neste artigo.

Art. 6º - Fica o Banco Central do Brasil autorizado a:

I – determinar a adoção de controles adicionais nos casos em que constatada

inadequação dos controles implementados pela instituição;

II – imputar limites operacionais mais restritivos à instituição que deixe de

observar determinação nos termos do inciso I no prazo para tanto estabelecido;

III – baixar as normas e adotar as medidas julgadas necessárias à execução do

disposto nesta Resolução, incluindo a alteração do cronograma referido no art.

5º.

Art. 7º - Esta Resolução entra em vigor na data de sua publicação.

Brasília, 24 de setembro de 1998.

Gustavo H. B. Franco

Presidente

68

ANEXO 2

RESOLUÇÃO 3.380 – Dispõe sobre a implementação de estrutura de

gerenciamento do risco operacional.

O BANCO CENTRAL DO BRASIL, na forma do art. 9º da Lei 4.595, de 31 de

dezembro de 1964, torna público que o CONSELHO MONETÁRIO NACIONAL,

em sessão realizada em 29 de junho de 2006, com base nos arts. 4º, inciso

VIII, da referida lei, 2º, inciso VI, 8º e 9º da Lei 4.728, de 14 de julho de 1965, e

20 da Lei 4.864, de 29 de novembro de 1965, na Lei 6.099, de 12 de setembro

de 1974, com as alterações introduzidas pela Lei 7.132, de 26 de outubro de

1983, na Lei 10.194, de 14 de fevereiro de 2001, com as alterações

introduzidas pela Lei 11.110, de 25 de abril de 2005, e o art. 6º do Decreto-lei

759, de 12 de agosto de 1969,

RESOLVEU:

Art. 1º Determinar às instituições financeiras e demais instituições autorizadas

a funcionar pelo Banco Central do Brasil a implementação de estrutura de

gerenciamento do risco operacional.

Parágrafo único: A estrutura de que trata o caput deve ser compatível com a

natureza e a complexidade dos produtos, serviços, atividades, processos e

sistemas da instituição.

Art. 2º Para os efeitos desta resolução, define-se como risco operacional a

possibilidade de ocorrência de perdas resultantes de falha, deficiência ou

inadequação de processos internos, pessoas e sistemas, ou de eventos

externos.

§ 1º A definição de que trata o caput inclui o risco legal associado à

inadequação ou deficiência em contratos firmados pela instituição, bem como a

69

sanções em razão de descumprimento de dispositivos legais e a indenizações

por dano a terceiros decorrentes das atividades desenvolvidas pela instituição.

§ 2º Entre os eventos de risco operacional, incluem-se:

I – fraudes internas;

II – fraudes externas;

III – demandas trabalhistas e segurança deficiente do local de trabalho;

IV – práticas inadequadas relativas a clientes, produtos e serviços;

V – danos a ativos físicos próprios ou em uso pela instituição;

VI – aqueles que acarretem a interrupção das atividades da instituição;

VII – falhas em sistemas de tecnologia da informação;

VIII – falhas na execução, cumprimento de prazos e gerenciamento das

atividades na instituição.

Art. 3º A estrutura de gerenciamento do risco operacional deve prever:

I – identificação, avaliação, monitoramento, controle e mitigação do risco

operacional;

II – documentação e armazenamento de informações referentes às perdas

associadas ao risco operacional;

III – elaboração, com periodicidade mínima anual, de relatórios que permitam a

identificação e correção tempestiva das deficiências de controle e de

gerenciamento do risco operacional;

IV – realização, com periodicidade mínima anual, de testes de avaliação dos

sistemas de controle de riscos operacionais implementados;

V – elaboração e disseminação da política de gerenciamento de risco

operacional ao pessoal da instituição, em seus diversos níveis, estabelecendo

papéis e responsabilidades bem como as dos prestadores de serviços

terceirizados;

VI – existência de plano de contingência contendo as estratégias a serem

adotadas para assegurar condições de continuidade das atividades e para

limitar graves perdas decorrentes de risco operacional;

VII – implementação, manutenção e divulgação de processo estruturado de

comunicação e informação;

70

§ 1º A política de gerenciamento do risco operacional deve ser aprovada e

revisada, no mínimo anualmente, pela diretoria das instituições de que trata o

art. 1º e pelo conselho de administração, se houver.

§ 2º Os relatórios mencionados no inciso III devem ser submetidos à diretoria

das instituições de que trata o art. 1º e ao Conselho de Administração, se

houver, que devem manifestar-se expressamente acerca das ações a serem

implementadas para correção tempestiva das deficiências apontadas.

§ 3º Eventuais deficiências devem compor os relatórios de avaliação da

qualidade e adequação do sistema de controles internos, inclusive sistemas de

processamento eletrônico de dados e de gerenciamento de riscos e de

descumprimento de dispositivos legais e regulamentares, que tenham ou

possam vir a ter impactos relevantes nas demonstrações contábeisou nas

operações da entidade auditada, elaborados pela auditoria independente,

conforme disposto na regulamentação vigente.

Art. 4º A descrição da estrutura de gerenciamento do risco operacional deve

ser evidenciada em relatório de acesso público, com periodicidade mínima

anual.

§ 1º O conselho de administração ou, na sua inexistência, a diretoria da

instituição deve fazer constar do relatório descrito no caput sua

responsabilidade pelas informações divulgadas.

§ 2º As instituições mencionadas no art. 1º devem publicar, em conjunto com

as demonstrações contábeis semestrais, resumo da descrição de sua estrutura

de gerenciamento do risco operacional, indicando a localização do relatório

citado no caput.

Art. 5º A estrutura de gerenciamento do risco operacional deve estar

capacitada a identificar, avaliar, monitorar, controlar e mitigar os riscos

associados a cada instituição individualmente, ao conglomerado financeiro,

conforme o Plano Contábil das Instituições do Sistema Financeiro Nacional –

Cosif, bem como a identificar e acompanhar os riscos associados às demais

empresas integrantes do consolidado econômico-financeiro, definido na

Resolução 2.723, de 31 de maio de 2000.

Parágrafo único. A estrutura, prevista no caput, deve também estar capacitada

a identificar e monitorar o risco operacional decorrente de serviços

71

terceirizados relevantes para o funcionamento regular da instituição, prevendo

os respectivos planos de contingências, conforme art. 3º, inciso VI.

Art. 6º A atividade de gerenciamento do risco operacional deve ser executada

por unidade específica nas instituições mencionadas no art. 1º.

Parágrafo único. A unidade a que se refere o caput deve ser segregada a

unidade executora da atividade de auditoria interna, de que trata o art. 2º da

Resolução 2.554, de 24 de setembro de 1998, com a redação dada pela

Resolução 3.056, de 19 de dezembro de 2002.

Art. 7º Com relação à estrutura de gerenciamento de risco, admite-se a

constituição de uma única unidade responsável:

I – pelo gerenciamento de risco operacional do conglomerado financeiro e das

respectivas instituições integrantes;

II – pela atividade de identificação e acompanhamento do risco operacional das

empresas não financeiras integrantes do consolidado econômico-financeiro.

Art. 8º As instituições mencionadas no art. 1º devem indicar diretor responsável

pelo gerenciamento do risco operacional.

Parágrafo único. Para fins da responsabilidade de que trata o caput, admite-se

que o diretor indicado desempenhe outras funções na instituição, exceto a

relativa à administração de recursos de terceiros.

Art. 9º A estrutura de gerenciamento do risco operacional deverá ser

implementada até 31 de dezembro de 2007, com a observância do seguinte

cronograma:

I – até 31 de dezembro de 2006: indicação do diretor responsável e definição

da estrutura organizacional que tornará efetiva sua implementação;

II – até 30 de junho de 2007: definição da política institucional, dos processos,

dos procedimentos e dos sistemas necessários à sua efetiva implementação;

III – até 31 de dezembro de 2007: efetiva implementação da estrutura de

gerenciamento de risco operacional, incluindo os intens previstos no art. 3º,

incisos III a VII.

Parágrafo único. As definições mencionadas nos incisos I e II deverão ser

aprovadas pela diretoria das instituições de que trata o art. 1º e pelo conselho

de administração, se houver, dentro dos prazos estipulados.

Art. 10º O Banco Central do Brasil poderá:

72

I – determinar a adoção de controles adicionais, nos casos de inadequação ou

insuficência dos controles do risco operacional implementados pelas

instituições mencionadas no art. 1º;

II – imputar limites operacionais mais restritivos à instituição que deixar de

observar, no prazo estabelecido, a determinação de que trata o inciso I.

Art. 11º Esta resolução entra em vigor na data de sua publicação.

Brasília, 29 de junho de 2006.

Henrique de Campos Meirelles

Presidente

73

BIBLIOGRAFIA

BANCO CENTRAL DO BRASIL. Resolução 2.554, de 24 de setembro de 1998.

Disponível em http://www3.bcb.gov.br/normativo/pesquisar. Acesso em 03 de

fevereiro de 2010.

BANCO CENTRAL DO BRASIL. Resolução 3.380, de 29 de junho de 2006.

Disponível em http://www3.bcb.gov.br/normativo/pesquisar. Acesso em 03 de

fevereiro de 2010.

CHAVES, Décio Eduardo de Freitas. Risco de Operações Bancárias Ativas.

São Paulo, 2005.

CRUZ, G. M. Modelagem quantitativa de risco operacional. In: DUARTE JR.,

A.M.; VARGA G. (Org.).Gestão de Riscos no Brasil. Financial Consultoria,

2003.

MARSHALL, Christopher. Medindo e Gerenciando Riscos Operacionais em

Instituições Financeiras. Rio de Janeiro: Qualitymark Ed., 2002.

MARTIN, Nilton Cano. Os Controles Internos no Contexto Bancário. São

Paulo: Fipecafi, 2006.

OLIVEIRA, Jaildo Lima de. Compliance. Brasília: Universidade de Brasília,

2006.

SÁ, Antônio Lopes de; SÁ, Ana Maria Lopes de. Dicionário de Contabilidade.

10ª Edição. São Paulo: Atlas, 1995.

74

ÍNDICE

FOLHA DE ROSTO 02

AGRADECIMENTO 03

DEDICATÓRIA 04

RESUMO 05

METODOLOGIA 06

SUMÁRIO 07

INTRODUÇÃO 08

CAPÍTULO I

O NEGÓCIO BANCÁRIO 10

1.1 – As Instituições Financeiras 10

1.2 – O Sistema Financeiro Nacional 10

1.3 – Acordos de Basileia 16

1.3.1 – Acordo de Basileia I 17

1.3.2 – Acordo de Basileia II 22

1.4 – A Regulamentação Bancária no Brasil 26

CAPÍTULO II

ESTRUTURA DE CONTROLES 30

2.1 – Controles Internos de Um Banco 30

CAPÍTULO III

O RISCO OPERACIONAL 42

3.1 – Referencial Teórico 42

3.2 – Por que se preocupar com o Risco Operacional 54

3.3 – Tipos de Risco Operacional 56

3.4 – Identificando o Risco Operacional 58

CONCLUSÃO 62

ANEXOS 63

BIBLIOGRAFIA 73

ÍNDICE 74