Home > Gestão

Risco controlado

Resolução 3380, definida pelo Banco Central, torna obrigação para todas as instituições financeiras brasileiras as políticas de gestão de risco já previstas pela Sarbanes-Oxley

Cláudia Zucare Boscoli

15/05/2007 às 12h19

fator_interna e news.jpg
Foto:

Há alguns anos, a simples menção do termo compliance imediatamente remetia à lei Sarbanne-Oxley e sua extensa série de exigências para evitar fraudes e demais riscos que pudessem significar prejuízos aos acionistas com títulos nas bolsas americanas. Agora, a bola da vez é a Resolução 3380, que obriga todas as instituições financeiras autorizadas a funcionar pelo Banco Central a implementar, até dezembro deste ano, uma estrutura de gerenciamento de risco operacional.
 A intenção é mitigar ao máximo as chances de haver perdas resultantes de erros humanos ou falhas de processos internos. Quem não se adequar às normas e não publicar um relatório convincente de conformidade junto com as demonstrações contábeis semestrais estará sujeito a restrições operacionais. Ao contrário da Sox, no entanto, a 3380 não gerou correria no mercado, pelo menos para os grandes bancos, que já esperavam que algo do tipo chegasse por aqui desde a assinatura do acordo Basiléia II, firmado em 2004 entre os países mais ricos do mundo.
A Nossa Caixa, por exemplo, já tinha uma divisão encarregada de cuidar de risco operacional desde 2004. “Pegos de surpresa não fomos. Nos fóruns da Febraban (Federação Brasileira de Bancos) e da ABBC (Associação Brasileira de Bancos), por exemplo, o tema já era amplamente discutido. O que a resolução trouxe de bom foi acelerar o processo porque, a partir do momento que você é obrigado a cumprir uma regra, não dá para adiar os possíveis gastos, precisa fazer e ponto”, diz Max Freddly Frauendorf, gerente de risco operacional.
Há dois anos, a Caixa deu início a um levantamento de valores, processos e riscos inerentes a cada atividade bancária. “É preciso esmiuçar a instituição, ter um mapa claro, para poder basear as escolhas que serão feitas”, avalia. Com os 403 processos passíveis de risco em mãos, ele afirma que os próximos passos serão definir as ferramentas a serem adotadas ou aperfeiçoadas e a maneira mais rápida e eficaz de testá-las. O executivo conta que alguns procedimentos com riscos evidentes, como as mesas de operações, onde são controladas vendas e compras de títulos mobiliários, e os backups de dados fundamentais sempre passaram por testes.
Para Marcelo Tonhazolo, diretor de sistemas corporativos do Unibanco, a grande contribuição da 3380 é disciplinar a governança ao concentrar o controle de riscos da empresa em um único órgão, com independência para atuar em todas as áreas. Anteriormente, cada setor tinha seu próprio “plano B” a ser acionado em casos de crise, o que, não raramente, gerava trabalho dobrado aos funcionários. “Agora, compartilhamos soluções e não há mais sobreposição de processos. O erro de uma área não avança sobre outra. Temos a visão completa dos desdobramentos”, diz. A ferramenta de mapeamento do Unibanco é a mesma usada pelo Bradesco, o I-Basel – que também atende às demandas da Sox.
José Carlos de Souza Santos, diretor de risco e compliance do Banco Fator, da Fator Administração de Recursos e da Fator Corretora, explica que o gerenciamento dos riscos das três instituições ficou a cargo de um único grupo, estruturado em forma de pirâmide. “Todas as áreas estão envolvidas, independentemente de hierarquia. Na base da pirâmide estão todos os funcionários, que passam a ser responsáveis por apontar as falhas e documentá-las. No topo, está o comitê gestor, que é quem vai tomar as atitudes cabíveis, seja alterando processos ou adotando novas ferramentas”.
Santos ressalta também que falhas externas, como quedas de eletricidade, também não podem ser ignoradas. “Tendemos a concentrar esforços no mais complexo, mas há eventos meteorológicos e de forças externas. Se um caminhão derrubar o poste com os cabos de telefonia, perdemos a comunicação e já estamos em prejuízo. Da mesma forma, se faltar luz, temos que ter no-breaks e geradores acionados imediatamente”, exemplifica. Casos mais graves como invasões de hackers, diz, vinham sendo combatidos há muito tempo – “Basta lembrarmos como era acessar a conta pela internet antes e agora, com senha, cartão de segurança, confirmação de data de nascimento”.

Momento de mudar arquitetura
“Compliance não se discute. Cumpre-se”, resume Laércio Paiva, do Banco Votorantim. E continua: “A oportunidade deve ser percebida com a magnitude de sua contribuição potencial. Caso contrário, o sentimento de valor agregado será inexistente”. Em outras palavras, os CIOs do sistema financeiro devem abraçar a 3380 como a grande oportunidade de aperfeiçoar os sistemas. “Quanto mais você mexe, mais problema encontra. A cada revisão, achamos uma nova vulnerabilidade. Essa é a nossa missão”, afirma.
Foi o que aconteceu com a Caixa Econômica Federal, que uniu o conceito de SOA (service oriented arquitecture ou, em português, arquitetura orientada a serviços) com ferramentas de BPM (business process management) para aperfeiçoar serviços. Com 37 milhões de clientes bancários (sem considerar a totalidade dos cidadãos que usam o banco por conta de seguro-desemprego, FGTS, Bolsa Família etc) e 19 mil postos de atendimento espalhados no País (é o único banco presente em todos os municípios), a instituição comporta uma das maiores bases de dados do mundo: 600 sistemas corporativos e 2.500 demandas mensais para manutenção de processos. Diante desses números, viu-se obrigada a reformular sua arquitetura. “Para abrir uma simples conta, o atendente acessava oito diferentes programas. Para um penhor, eram sete”, revela o gerente de arquitetura de solução Rodrigo Evangelista. Agora, graças ao software de infra-estrutura ESB (Enterprise Service Bus), que “esconde” etapas do processo, o usuário faz seu trabalho em uma única tela. O projeto já está em funcionamento em três agências da Caixa e, pela avaliação de Evangelista, constará em breve em todas as unidades.
O CIO do Deutsche Bank, Keiji Sakai, seguiu a mesma linha. “Os projetos extremamente complexos nos engessavam. Era uma ‘spagueti-ware’, uma verdadeira macarronada, com redundância de processos e de difícil integração”, diz. Sakai conta que só com o uso do EBS foi possível realizar a operação “quase suicida” de troca de todo o sistema de contas correntes – opção também adotada pelo Santander. “O EBS é nossa avenida principal que dá acesso a tudo. Da forma que estava, seria extremamente difícil adequar-se à 3380 ou qualquer outra resolução que viesse”, completa.

Cultura interna
Frauendorf, da Nossa Caixa, chama a atenção para um ponto que está além da 3380 e depende de iniciativas internas rumo às boas práticas: a mudança da cultura corporativa. “É possível que, mesmo atendendo ao que pede o BC, alguns não pratiquem o conceito de governança, que é a razão de ser da resolução. Mais do que ferramentas tecnológicas, é preciso boa vontade dos funcionários para relatar riscos, registrar falhas, assumir erros. Caso contrário, não haverá mudança significativa”, acredita.
Outro que admite que poderá haver uma simulação de conformidade é o gerente de consultoria da Atos Origin Brasil, Cezar Bertolino Neto. Ele aposta que o grande desafio dos CIOs será encontrar soluções que atendam à norma sem ignorar os objetivos do negócio. “O Cobit (Control Objectives for Information and Related Technology), sem dúvida, será amplamente explorado este ano, mas ele deve se adequar à instituição e não o contrário. Cada instituição é única, tem necessidades próprias, não dá para seguir fórmulas”, alerta, recordando o erro cometido na época do bug do milênio, quando empresas correram para adotar softwares “da moda”, sem saber para quê realmente serviriam.
Já Santos, do Fator, é mais otimista. “As instituições vão se adequar porque os riscos operacionais passarão a compor a exigência de capital mínimo dos bancos. Cada erro corresponderá a uma perda financeira. Quem vai querer arcar com o prejuízo?”. Ele revela que, no momento, o Fator está em busca de um sistema informatizado para uniformizar e controlar os relatórios de risco e que tem ainda investido no trabalho de conscientização dos funcionários, conversando individualmente com cada um e pedindo a colaboração. “Pela natureza do negócio, não corremos risco de ter cheques falsificados, por exemplo, mas temos 500 pessoas controlando um volume enorme de ordens da Bovespa e da BM&F. É claro que erros acontecem. Mas, quando você escolhe quem serão os 30 membros do comitê de gerenciamento de risco, você seleciona os que são bem próximos dos demais de sua área. Eles trabalham lado a lado. Não havendo honestidade nos relatórios, esse agente facilmente saberá”, aposta.
O Banco do Nordeste também tem investido na cultura interna. Por meio de cartilhas e comunidades virtuais, os sete responsáveis pelo gerenciamento de risco disseminam informações que vão do simples “trocar de senha periodicamente” (e não compartilhá-la, bloquear o computador, restringir o e-mail ao trabalho, acessar páginas de internet confiáveis e assim por diante) até a percepção de complexas situações de risco. “A dinâmica funciona bem. No começo, o pessoal diz “lá vem burocracia”, “mais formulários para preencher”, essas coisas. Mas, para TI, foi uma grande conquista, porque, agora, cada pedido, cada produto vem totalmente mapeado e, portanto, praticamente imune a riscos”, diz Anabete Apoliano, superintendente de TI do banco. Para chegar  a esse modelo, ela realizou um trabalho de benchmark para se inspirar em casos de sucesso.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail