Por Cláudia Zucare Boscoli, da CIO

Há alguns anos, a simples menção do termo compliance imediatamente remetia à lei Sarbanne-Oxley e sua extensa série de exigências para evitar fraudes e demais riscos que pudessem significar prejuízos aos acionistas com títulos nas bolsas americanas. Agora, a bola da vez é a Resolução 3380, que obriga todas as instituições financeiras autorizadas a funcionar pelo Banco Central a implementar, até dezembro deste ano, uma estrutura de gerenciamento de risco operacional.

Leia também:
Governança de TI motiva ofertas de fornecedores

 A intenção é mitigar ao máximo as chances de haver perdas resultantes de erros humanos ou falhas de processos internos. Quem não se adequar às normas e não publicar um relatório convincente de conformidade junto com as demonstrações contábeis semestrais estará sujeito a restrições operacionais. Ao contrário da Sox, no entanto, a 3380 não gerou correria no mercado, pelo menos para os grandes bancos, que já esperavam que algo do tipo chegasse por aqui desde a assinatura do acordo Basiléia II, firmado em 2004 entre os países mais ricos do mundo.

A Nossa Caixa, por exemplo, já tinha uma divisão encarregada de cuidar de risco operacional desde 2004. “Pegos de surpresa não fomos. Nos fóruns da Febraban (Federação Brasileira de Bancos) e da ABBC (Associação Brasileira de Bancos), por exemplo, o tema já era amplamente discutido. O que a resolução trouxe de bom foi acelerar o processo porque, a partir do momento que você é obrigado a cumprir uma regra, não dá para adiar os possíveis gastos, precisa fazer e ponto”, diz Max Freddly Frauendorf, gerente de risco operacional.

Há dois anos, a Caixa deu início a um levantamento de valores, processos e riscos inerentes a cada atividade bancária. “É preciso esmiuçar a instituição, ter um mapa claro, para poder basear as escolhas que serão feitas”, avalia. Com os 403 processos passíveis de risco em mãos, ele afirma que os próximos passos serão definir as ferramentas a serem adotadas ou aperfeiçoadas e a maneira mais rápida e eficaz de testá-las. O executivo conta que alguns procedimentos com riscos evidentes, como as mesas de operações, onde são controladas vendas e compras de títulos mobiliários, e os backups de dados fundamentais sempre passaram por testes.

Para Marcelo Tonhazolo, diretor de sistemas corporativos do Unibanco, a grande contribuição da 3380 é disciplinar a governança ao concentrar o controle de riscos da empresa em um único órgão, com independência para atuar em todas as áreas. Anteriormente, cada setor tinha seu próprio “plano B” a ser acionado em casos de crise, o que, não raramente, gerava trabalho dobrado aos funcionários. “Agora, compartilhamos soluções e não há mais sobreposição de processos. O erro de uma área não avança sobre outra. Temos a visão completa dos desdobramentos”, diz. A ferramenta de mapeamento do Unibanco é a mesma usada pelo Bradesco, o I-Basel – que também atende às demandas da Sox.

José Carlos de Souza Santos, diretor de risco e compliance do Banco Fator, da Fator Administração de Recursos e da Fator Corretora, explica que o gerenciamento dos riscos das três instituições ficou a cargo de um único grupo, estruturado em forma de pirâmide. “Todas as áreas estão envolvidas, independentemente de hierarquia. Na base da pirâmide estão todos os funcionários, que passam a ser responsáveis por apontar as falhas e documentá-las. No topo, está o comitê gestor, que é quem vai tomar as atitudes cabíveis, seja alterando processos ou adotando novas ferramentas”.

Santos ressalta também que falhas externas, como quedas de eletricidade, também não podem ser ignoradas. “Tendemos a concentrar esforços no mais complexo, mas há eventos meteorológicos e de forças externas. Se um caminhão derrubar o poste com os cabos de telefonia, perdemos a comunicação e já estamos em prejuízo. Da mesma forma, se faltar luz, temos que ter no-breaks e geradores acionados imediatamente”, exemplifica. Casos mais graves como invasões de hackers, diz, vinham sendo combatidos há muito tempo – “Basta lembrarmos como era acessar a conta pela internet antes e agora, com senha, cartão de segurança, confirmação de data de nascimento”.