Gestão de Riscos Operacionais

Este tópico tem por objetivo apresentar o conceito de Riscos Operacionais, suas origens, formas de mensuração e gerenciamento.

O avanço da globalização, com as transações de fusões e aquisições, aumento do nível de dependência de sistemas (globais) e trânsito mundial de dados através de redes internas e externas, o processamento centralizado de transações em países de baixo custo de mão-de-obra e o processo através do qual as empresas/clientes estão menos dependentes das tradicionais fontes de financiamento onde as instituições financeiras passam a prestar serviços de consultoria, fatores climáticos e doenças, além de outros fatores como, a necessidade de os bancos serem ágeis e flexíveis na criação de produtos desenhados para atender a demanda específica de clientes específicos geralmente controlados de forma não automatizada, fraudes eletrônicas (perpetradas através de

hacking, clonagem de cartões, etc.), e até mesmo a forma como as pressões

exercidas sobre a gestão das instituições fazem com que a performance seja medida por avanços em fatores de curto prazo em detrimento a medidas de longo prazo (lembrando que uma cultura de controle em geral é construída em médio/longo prazo), o encurtamento das carreiras e a dinâmica em que as pessoas não mais exercem suas funções por longos períodos de tempo têm feito com que cresça a importância relativa da gestão do risco operacional em relação aos outros tipos de riscos num ambiente de margens/spreads decrescentes.

O advento do novo acordo da Basiléia, datado de 2004, que ficou conhecido como Basiléia II, aplicável a praticamente todas as instituições financeiras (pelo menos àquelas situadas em países cujos governos decidiram estar em conformidade

com as deliberações do Comitê da Basiléia), trouxe como principais inovações: i) a definição oficial de risco operacional, ii) o estabelecimento de requerimento de capital regulamentar mínimo destinado a proteger uma instituição financeira contra riscos desta natureza, bem como, iii) as metodologias aceitáveis para a sua medição.

Risco Operacional tal como definido pelo Comitê da Basiléia é o risco de perda resultante de processos, pessoas e sistemas internos inadequados ou falhos e de eventos externos. Esta definição inclui o risco legal, mas exclui os riscos estratégicos e de reputação.

A implementação pelas Instituições Financeiras das medidas de adequação ao Novo Acordo da Basiléia concorreu com a Lei Sarbanes-Oxley e atualmente concorre com o processo de harmonização contábil com as regras do IFRS -

International Financial Reporting Standards.

O Banco Central do Brasil (BACEN) emitiu Comunicado nº 12.746 ainda no ano de 2004 estabelecendo cronograma de implementação das modificações decorrentes do novo acordo da Basiléia, fixando o ano de 2011, como ano limite de sua implementação. Em 2006, o Banco Central do Brasil emitiu edital de audiência pública, onde colocou em análise pública uma minuta de regulamentação a respeito da gestão de riscos operacionais. Após um período em audiência pública, foi emitida a Resolução CMN nº. 3380/06, a qual estabeleceu uma série de requisitos qualitativos para a gestão de riscos operacionais.

Em 2007, o Banco Central do Brasil emitiu Comunicado nº 16.137 estendendo o prazo para 2012 para início do processo de autorização para uso de modelos internos de apuração de requerimentos de capital para risco operacional. O novo Comunicado deixa “aberto” o prazo final, uma vez que somente define a data de início. Outro Comunicado do Banco Central do Brasil de nº. 19.028, de 2009, define 2013 para início dos trabalhos de homologação das estruturas de gestão de riscos operacionais, no modelo avançado. Em 2008, o Banco Central do Brasil emitiu a Circular 3.383, a qual estabelece os procedimentos para o cálculo da parcela do Patrimônio de Referência Exigido referente ao risco operacional, a mencionada Circular não tratou da abordagem avançada (ou interna).

Atualmente as instituições financeiras no Brasil e entidades de classe representativas das mesmas encontram-se em fase de implementação de projetos e estudos de impactos sobre a adequação a estas novas exigências, momento em

que a nova regulamenta tanto conceituais, como incertezas sobre o melho A gestão de ris mensuração estão em d todos aqueles envolvidos ainda não pode ser m estabelecida de controles utilizadas como suporte quantitativas foram desen os “riscos financeiros” premissas não funcionam instituição objeto do estu desenvolvimento de uma fazer frente às perdas o confirmam os entendimen

Figura

Fon

tação passa a ser analisada com maior r o técnicos e metodológicos, começam a lhor curso de ação a ser tomado.

riscos operacionais não é uma ciência desenvolvimento e se constituem em g dos. A rigor o risco operacional com as té medido com exatidão e depende de

les internos e transparência, métricas qua rte auxiliar. Tillaart (2003) questiona qu senvolvidas tomando por base premissas q ” (risco de crédito, mercado e liquidez am para riscos não financeiros (como o Ris studo, conforme apresentado no tópico 5.5 ma abordagem para mensuração avança s operacionais e está se defrontando co

entos de Tillaart (2003).

a 2 – Três Pilares do Novo Acordo da Basilé

onte: Novo Acordo de Capital da Basiléia (2006)

r rigor, e os desafios, a emergir causando cia, as técnicas de grande desafio para s técnicas disponíveis e uma cultura bem ualitativas podem ser que as abordagens s que funcionam para dez), entretanto, tais Risco Operacional).A 5.5., está em fase de çada de capital para com dificuldades que

A implementação do novo acordo da Basiléia é prevista que ocorra simultaneamente através de três frentes, chamadas pilares:

Pilar I – Diz respeito à quantificação do capital mínimo necessário; Pilar II – Diz respeito à supervisão bancária;

Pilar III – Diz respeito à disciplina de mercado.

O novo acordo da Basiléia prevê três abordagens para cálculo de capital mínimo para fazer frente perdas de natureza operacional, as quais evoluem em termos de sofisticação e sensibilidade ao risco de uma abordagem bastante simplificada, o Método do Indicador Básico (BIA – Basic Indicator Approach), passando pelo Método Padronizado (Standardized Approach) até chegar ao Método de Mensuração Avançado (AMA – Advanced Measurement Approach).

A abordagem avançada (AMA - Advanced Measurement Approach) pressupõe a utilização de modelos quantitativos internos para apuração do capital mínimo para fazer frente a perdas de natureza operacional e tem como principais requisitos:

• Requerimentos de gestão qualitativa de riscos operacionais devem estar implementados;

• Requerimentos Quantitativos (para cálculo de capital mínimo):

o Base de dados de perdas e incidentes internos de 3-5 anos. o Base de dados de perdas externas.

o Análise de Cenários.

o Fatores que refletem o ambiente comercial e os sistemas de controle

interno.

Considerando que as outras abordagens de cálculo (BIA - Basic Indicator

Approach e SA - Standardized Approach) não são sensíveis aos fatos reais (as

perdas reais e avaliações de risco específicas da instituição, portanto, aos riscos) e, em verdade, refletem requisitos de alocação de capital arbitrados pelos órgãos reguladores, é esperado que as instituições que adotarem a abordagem avançada (AMA) suportadas por dados reais e um modelo validado pelos reguladores irão alocar menos capital para fazer frente a perdas operacionais, desta forma terão uma vantagem competitiva em relação aos seus concorrentes, em razão de i) “projetarem” uma imagem de deterem menos risco ao mercado traduzindo-se em

taxas de captação mais competitivas e ii) poderem alocar menos capital do que seus concorrentes.

Estudos têm sido realizados no Brasil sobre o tema Gestão de Riscos Operacionais, destaca-se dentre outros estudos, um documento emitido em 2006, pelo Grupo de Trabalho de Melhores Práticas da Federação Brasileira de Bancos - FEBRABAN, intitulado Melhores Práticas na Gestão do Risco Operacional, o qual tomou por base outro documento importante emitido em 2003 pelo Basel Committee

on Banking Supervision (Comitê da Basiléia), intitulado Sound Practices for the Management and Supervision of Operational Risk.

Entre trabalhos acadêmicos recentes sobre a Gestão de Riscos Operacionais no Brasil destaca-se o trabalho realizado por Coimbra (2007), um estudo de caso, que teve como foco a forma como as instituições financeiras estruturam suas funções de Gestão de Riscos Operacionais, o qual apresenta suas considerações finais demonstrando como fatores condicionantes da estrutura organizacional da Área de Gestão de Riscos Operacionais, a Estratégia, o Ambiente Externo, Tecnologia, Fator Humano e Tamanho. Com relação à formalização da estrutura de gestão, o autor também encontrou no caso analisado elementos que confirmam a literatura disponível quanto à forma de estruturação da gestão de riscos operacionais, as quais prevêem: i) a subordinação da gestão de riscos operacionais ao Diretor do Departamento de Gestão de Risco e Compliance (equivalente ao Chief Risk Officer); ii) políticas que descrevem as atribuições de gestão de risco operacional permeadas nas demais unidades organizacionais; iii) atribuições da área de Gestão de Riscos Operacionais que seriam: coleta de dados; medição e análise de riscos operacionais; relação com demais áreas e órgãos externos; desenvolvimento de políticas, práticas e tecnologias; disseminar as melhores práticas; assegurar consistência; iv) necessidade de Comitê; v) comunicação com a alta administração; vi) descentralização de atividades aos gestores das áreas de negócios; vii) pessoal com perfil analítico e quantitativo. As análises realizadas no tópico 5.5 deste estudo confirmam os entendimentos de Coimbra (2007).

Outro estudo recente foi realizado por Camazano (2007), o qual teve por objetivo de pesquisa responder questão sobre a existência de convergência entre o marco regulatório do Comitê da Basiléia para o gerenciamento do risco operacional versus as exigências impostas pelo Sarbanes-Oxley Act e confirmar se a Lei Sarbanes-Oxley se caracteriza como uma contribuição ao gerenciamento do risco

operacional nas instituições financeiras brasileiras que estão sujeitas à sua observância.

Os resultados da pesquisa de Camazano (2007) permitiram identificar a existência de convergência entre os referenciais estudados. A análise pormenorizada do marco regulatório do Comitê da Basiléia, em “confronto” com as exigências trazidas pelo Sarbanes-Oxley, revelou que ambos possuem a mesma base conceitual de propósitos, qual seja, controlar os fatores do risco operacional mantendo-os em níveis aceitáveis e compatíveis com o perfil de riscos da organização.

Uma distinção não feita por Camazano (2007) é quanto ao foco da Lei Sarbanes-Oxley, que é primordialmente o processo de “reporte financeiro”, enquanto o foco da Gestão de Riscos Operacionais é redução de perdas e conseqüente redução do capital a ser alocado para fazer frente aos riscos operacionais. Embora não sejam conflitantes estes requisitos, o tipo de habilidade requerida dos profissionais, conforme veremos, e suas linhas de reporte são diferentes. Esta distinção é fundamental na estruturação de áreas para monitoramento do cumprimento destes requisitos – as funções de controle.

Trapp (2005) apresentou artigo intitulado “Avaliação e Gerenciamento do Risco Operacional no Brasil: Análise de Caso de uma Instituição Financeira de Grande Porte”, onde apresenta um modelo para análise do nível de maturidade de uma instituição em relação à implementação de uma estrutura para Gestão de Riscos Operacionais.

Estudos internacionais na área de Gestão de Riscos Operacionais são inúmeros, destaca-se como importantes para o propósito deste estudo, que versará sobre as origens, usuários e principais práticas adotadas, e comparação entre as diferentes funções de controle, os trabalhos de Marshall (2002), Cruz (2002), Tillaart (2003), Chorafas (2004).

Quanto ao desenvolvimento da Gestão de Riscos Operacionais, Tillaart (2003:53) conclui que o desenvolvimento dos métodos para mensuração de risco operacional está atrasado em relação ao desenvolvimento das medições para risco de crédito e risco de mercado. Isto é em parte devido ao fato de que os outros riscos são parte fundamental na gestão de instituições financeiras, e desta forma tiveram uma maior prioridade, e em parte em razão das dificuldades intrínsecas na quantificação de risco operacional.

Tillaart (2003, p.15 conceitos de mensuraçã externa deu início ao operacional. O regulador operacional, o qual forçou

Segundo Tillaart ( tentaram utilizar os méto mercado. Estas tentativa aos problemas conceitu específico do risco opera pode ser bastante influe mensuração de risco ope um processo similar é ap crédito no passado. Indep deveria ter escolhido ou suficientemente acurada forma, espera-se que o interrompido em algum e para controllers gerenci advertidos sobre os obstá diferente de medição de p

Figura 3 – Gráfico

Fonte: FR

15) conclui sua pesquisa sobre como os ba ação para “risco operacional” dizendo q o desenvolvimento dos métodos de me

or bancário sugeriu um encargo explícito d çou os bancos a quantificar este tipo de risc t (2003, p.15) para serem capazes de fa

todos existentes, já aplicados para risco d ivas, de acordo com o autor, provavelment eituais identificados. A principal causa

racional. Ele é idiossincrático (específico a luenciado. Ao responder a questão, “com operacional têm sido desenvolvido?”, deve aplicável, como foi feito com o risco de m dependente disto, Tillaart é de opinião que outra direção. Uma medida de risco oper da para ser utilizada como medida de p o processo de mensuração de risco op

estágio. Os estatísticos serão forçados nciais, mas também os controllers gere stáculos. A Medição de performance para e performance para risco de crédito ou risc

ico de Distribuição de Perdas x Probabilida

FRS-Global Risk & Regulatory Compliance (2006)

bancos desenvolvem que uma demanda mensuração de risco o de capital para risco risco.

fazer isto, os bancos de crédito e risco de nte irão falhar devido a disto é o caráter o a cada instituição) e como os métodos de ve ser concluído que mercado e o risco de e a indústria bancária eracional nunca será performance. Desta operacional deva ser s a deixar o assunto renciais deverão ser ra risco operacional é isco de mercado.

A figura 3, bastante comum em estudos sobre perdas operacionais, demonstra uma curva que descreve o comportamento geral médio das perdas operacionais. O eixo horizontal demonstra o montante das perdas, enquanto o eixo vertical demonstra a probabilidade de ocorrência da perda operacional. A curva é dividida em três. Na primeira parte, estão localizadas as perdas de pequeno valor e grande probabilidade de ocorrência, as quais são chamadas “perdas esperadas (expected losses) as quais já estão embutidas nos preços dos produtos (precificadas). No segundo segmento da curva, estão as perdas de valores intermediários cuja freqüência não é grande o suficiente para se poder esperar que voltem a acontecer com certeza, tratam-se das perdas “não esperadas” contra as quais as instituições devem manter “capital econômico baseado em risco”. O último segmento retrata os “eventos extremos”, as perdas catastróficas, cujo custo de alocação de capital pode ser considerado como não sendo economicamente viável.

A grande inovação do novo acordo da Basiléia está relacionada à forma de cálculo do capital para fazer frentes às perdas operacionais. No estágio atual em que no Brasil grande maioria das instituições adota modelos de cálculo de capital que não são sensíveis aos riscos, o trabalho necessário ainda é de reforço de controles internos, condição básica para adoção de modelos mais avançados de quantificação de capital mínimo para fazer frente a perdas operacionais.

As evidências deste estudo, conforme veremos adiante, indicam que a Gestão de Riscos Operacionais, quando atingir sua maturidade, será uma gestão de capital, baseada em estatísticas de perdas, e terá uma abordagem bastante diferente da abordagem adotada para fins de SOX Compliance ou Controles Internos. Entretanto, SOX Compliance e Gestão de Controles Internos serão sempre pré-requisitos para que modelos avançados de Gestão de Riscos Operacionais possam operar satisfatoriamente. Como se vê mais adiante neste estudo de caso, na instituição objeto do estudo, a função de Gestão de Riscos Operacionais atua para diminuição dos volumes de perdas, tendo como métrica para medição de “performance” o percentual de redução de perdas e atua focada na implementação de ações para diminuição de perdas, enquanto as funções de SOX Compliance e Controles Internos possuem abordagens mais qualitativas.