UM ESTUDO SOBRE A ESTRUTURAÇÃO DE FUNÇÕES DE CONTROLES INTERNOS EM INSTITUIÇÃO FINANCEIRA NO BRASIL

PONTIFÍCIA UNIVERSIDADE CATÓLICA DE SÃO PAULO

GILBERTO CABELEIRA ALVES

UM ESTUDO SOBRE A ESTRUTURAÇÃO DE FUNÇÕES DE

CONTROLES INTERNOS EM INSTITUIÇÃO FINANCEIRA

NO BRASIL

MESTRADO EM CIÊNCIAS CONTÁBEIS E FINANCEIRAS

PONTIFÍCIA UNIVERSIDADE CATÓLICA DE SÃO PAULO

PÓS-GRADUAÇÃO EM CIÊNCIAS CONTÁBEIS E FINANCEIRAS

GILBERTO CABELEIRA ALVES

UM ESTUDO SOBRE A ESTRUTURAÇÃO DE FUNÇÕES DE

CONTROLES INTERNOS EM INSTITUIÇÃO FINANCEIRA

NO BRASIL

Dissertação apresentada à Banca Examinadora da Pontifícia Universidade Católica de São Paulo, como exigência para obtenção do Título de Mestre em Ciências Contábeis e Financeiras, sob a orientação da Profª. Drª. Neusa Maria Bastos Fernandes dos Santos.

BANCA EXAMINADORA

____________________________________________

____________________________________________

Dedico esta Dissertação

AGRADECIMENTOS

À Deus, que me protege e me guia.

À minha família, em especial à minha esposa Eliza, ao meu filho Rafael e minha mãe Alveni, por todo o amor, apoio e incentivo recebido.

À Profª. Drª. Neusa Maria Bastos Fernandes dos Santos, que me orientou neste trabalho, pela sua dedicação, sabedoria e apoio oferecido para a elaboração deste estudo.

Aos professores doutores Jairo da Rocha Soares e Carlos Hideo Arima, componentes da Banca Examinadora, pelas valiosas sugestões para enriquecimento desta dissertação.

Aos Professores do Programa, pelos ensinamentos e pela honra de tê-los tido como professores.

Aos meus amigos, colegas e, em especial, aos profissionais do mercado que deram suas valiosas contribuições como participantes no desenvolvimento deste estudo.

Você deve ser a mudança que você quer ver no mundo.

Mahatma Gandhi

RESUMO

Esta dissertação, um estudo de caso, tem por objetivo examinar funções de controle em instituição financeira de grande porte no Brasil e responder a questão central: como e por que integrar as funções de controle em instituições financeiras? O estudo compreende análise dos conceitos, objetivos e abordagens adotadas pelas funções: Controles Internos, Gestão de Riscos Operacionais e SOX Compliance.

Identifica-se o conceito de controles internos como sendo o fundamento das três funções de controle em análise. A estrutura de melhores práticas do COSO –

Internal Control Integrated Framework é utilizada para comparar a atuação das três

funções. Entrevistas e questionários são utilizados para coleta de dados primários, e análise documental e observação, para dados secundários. Respostas das áreas participantes indicam que departamentos sujeitos a revisões pelas funções de controle consideram a integração destas funções necessária. Análise dos objetivos destas funções identifica que Gestão de Riscos Operacionais e SOX Compliance

possuem objetivos e enfoques diferentes, a primeira objetiva reduzir histórico de perdas, a segunda, qualidade dos reportes financeiros, ambas reportam para diretorias diferentes, possuem métricas de performance distintas e requerem

diferentes habilidades de seus profissionais. Comparação das práticas em uso demonstra que estas funções adotam abordagens semelhantes, entretanto, não integradas. São identificados inúmeros exemplos de oportunidades de integração, tais como: implante de processos compartilhados para identificação e categorização de riscos, monitoramento de controles e reporte. A completa integração em área única mostrou-se não adequada, mas é aceito que a forma de atuação destas funções precisa ser revista para que aproveitem oportunidades de integração.

ABSTRACT

This dissertation, a case study, has the purpose of examining the control functions in a large financial institution in Brazil and answer the central question: how and why to integrate the control functions in financial institutions? The study comprised the analysis of concepts, mission and approaches in use by Internal Control, Operational Risk Management and SOX Compliance functions. The internal control concept was identified as being the foundation of the three control functions under analysis. The framework of best practices in internal controls, COSO – Internal Control Integrated Framework, is used to compare the way in which those functions operate. Interviews and questionnaires are used to collect primary data and documental analysis and observation for secondary data. Answers from the participating areas indicate that the departments reviewed by the control functions consider integration as necessary. By analyzing the purpose of those functions it is identified that Operational Risk Management and SOX Compliance functions have different purposes and focuses, the first aims at reducing the historic of losses and the later focuses on the quality of financial reporting, both functions report to different directors, have different performance measures and require different skill from their professionals. Comparison of the practices in use indicates that those functions adopt similar approaches; however, not integrated. It is identified a number of examples of opportunities for integration, such as: implementing a shared process for identifying and ranking risks, monitoring controls and reporting. The full integration within a single department revealed to be not adequate, but it is accepted that those functions need to be reviewed to take advantage of the integration opportunities.

SUMÁRIO

1. INTRODUÇÃO... 14

1.1. Problema de Pesquisa... 14

1.2. Objetivos da Pesquisa... 15

1.3. Justificativa do Tema escolhido e Demonstração de sua Importância... 15

1.4. Metodologia... 16

1.5. Estrutura do Trabalho... 17

2. REFERENCIAL TEÓRICO... 19

2.1.Governança Corporativa... 20

2.2. Gestão de Riscos... 22

2.3. Controles Internos ... 25

2.4. Compliance ... 33

2.5. Gestão de Riscos Operacionais ... 36

2.6. Sarbanes-Oxley ... 44

2.7. Integração nas funções de controles ... 50

3. ESTUDO DE CASO... 54

3.1.Características do Estudo... 54

3.2. Características da Instituição Pesquisada... 56

3.3. Breve histórico das Funções de Controle na instituição... 58

3.4. Abordagem para Coleta e Análise das Evidências... 60

4. RESULTADO (1): NÍVEL DE INTEGRAÇÃO ENTRE AS FUNÇÕES DE CONTROLE... 64

4.1. Percepção sobre a Cultura Geral de Controle... 64

4.2. Interação com as funções de controle existentes... 65

4.3. Interação entre as funções de controle ... 67

4.4. Nível de governança das funções de controle... 68

4.5. Adequação de recursos para as funções de controle... 70

4.6. Contribuição das funções de controle para o ambiente geral de controles da instituição... 71

4.7. Se existiriam tais áreas caso não fossem requerimentos regulatórios ou políticas do Grupo ... 72 4.8. Se o vocabulário utilizado por estas funções de risco podem causar distorções à alta administração sobre os riscos reais a que a instituição está exposta ...

73

4.9. Se os "issues" parecem mais importantes do que realmente o são e podem afetar a percepção da administração quanto a real criticidade do assunto ...

4.10. Adequação da estrutura de comitês para tratar questões de controles

internos... 75

4.11. Se falta integração às funções de controle ... 76

5. RESULTADO (2): AS FUNÇÕES DE CONTROLE EM FUNCIONAMENTO NA INSTITUIÇÃO... 77

5.1. Responsabilidade final pelos Controles Internos... 77

5.2. SOX Compliance... 79

5.3. Gestão de Riscos Operacionais... 85

5.4. Controles Internos / Revisores de Processos... 86

5.5. Diferenças de objetivos entre as funções de controle... 87

5.6. Habilidades requeridas aos Profissionais das Funções de Controle... 88

5.7. Avaliação de Performance das Funções de Controle ... 89

6. RESULTADO (3): ANÁLISE COMPARATIVA DAS ABORDAGENS EM USO PELAS DIFERENTES FUNÇÕES DE CONTROLE... 91

6.1.Captura de informações junto às áreas de negócios e gestores de processos... 95

6.2. Identificação e Avaliação de Riscos... 96

6.3. Certificação da realizações dos controles... 97

6.4. Classificação dos riscos... 98

6.5. Reporte dos resultados das análises... 99

6.6. Participação de outras funções de controle... 100

6.7. Benefícios de uma maior integração para as funções de controle... 101

6.8. Razões para não integração entre funções de controle... 102

6.9. Impactos das funções de controle nas áreas de negócios e operações... 104

6.10. Oportunidades Identificadas pela maior integração... 105

7. CONSIDERAÇÕES FINAIS... 113

REFERÊNCIAS... 117

LISTA DE FIGURAS

Figura 1 Cubo do COSO………. 27

Figura 2 Três Pilares do Novo Acordo da Basiléia……….. 38

Figura 3 Gráfico de Distribuição de Perdas x Probabilidade de Perdas…. 42

Figura 4 Modelo de Análise de Riscos ao Processo de Reporte Financeiro – SOX... 47

LISTA DE QUADROS

Quadro 1 Requisitos da Resolução CMN nº 2554/98... 30

Quadro 2 Principais requisitos da Lei Sarbanes Oxley (para o propósito deste estudo)... 45

Quadro 3 Comparativo das Estruturas das Funções de Controle... 57

Quadro 4 Percepção sobre a Cultura Geral de Controle... 65

Quadro 5 Interação com as Funções de Controle Existentes... 66

Quadro 6 Interação entre as Funções de Controle ... 67

Quadro 7 Nível de governança das funções de controle ... 69

Quadro 8 Adequação de recursos para as funções de controle ... 70

Quadro 9 Contribuição das funções de controle para o ambiente geral de controles da instituição ... 71

Quadro 10 Se existiriam tais áreas caso não fossem requerimentos regulatórios ou políticas do Grupo... 72

Quadro 11 Se o vocabulário utilizado por estas funções de risco podem causar distorções à alta administração sobre os riscos reais a que a instituição está exposta ... 73 Quadro 12 Se os "issues" parecem mais importantes do que realmente e podem afetar a percepção da administração quanto a real criticidade do assunto... 74 Quadro 13 Se a estrutura de comitês existente para tratar de questões de riscos é adequada para capturar e filtrar as questões sobre controles internos... 75 Quadro 14 Se falta integração às funções de controle ... 76

Quadro 15 Análise das funções de controle por habilidades requeridas e preocupações fundamentais... 88

Quadro 16 Contribuição de cada função de controle aos cinco elementos de um sistema de controles internos do COSO... 91

Quadro 17 Nível de Integração entre as diferentes funções de controle... 92

Quadro 18 Captura de Informações junto às áreas de negócios ... 95

Quadro 20 Certificação da realização dos Controles Internos... 97

Quadro 21 Classificação dos Riscos... 98

Quadro 22 A quem são reportados os resultados das análises... 99

Quadro 23 Participação de outras funções de controle... 100

Quadro 24 Benefícios de uma maior integração entre as funções de controle... 101

Quadro 25 Porque não são aproveitadas as funções de controle para integração... 102

Quadro 26 Impacto das áreas de negócios e operações... 104

LISTA DE ABREVIATURA E SIGLAS

AAA American Accounting Association

AICPA American Institute of Certified Public Accountants

AMA Advanced Measurement Approach

ART. Artigo

BACEN Banco Central do Brasil

BIA Basic Indicator Approach

BIS Bank for International Settlement

CAO Chief Accounting Officer

CEO Chief Executive Officer

CFO Chief Financial Officer

CMN Conselho Monetário Nacional

COSO Committee on Sponsoring Organization of the Treadway Commission

CRO Chief Risk Officer

CVM Comissão de Valores Mobiliários

EXCO Executive Committee

FEBRABAN Federação Brasileira de Bancos

FEI Financial Executives Institute

GC Governança Corporativa

IBGC Instituto Brasileiro de Governança Corporativa

IFRS International Financial Reporting Standards

IIA Institute of Internal Auditors

IMA Institute of Management Accounts

IT Information Techonology

OECD Organisation for Economic Co-operation and Development

SA Standardized Approach

SEC U. S. Securities and Exchange Commission

SERASA Centralização dos Serviços Bancários S/A

SOX Lei Sarbanes-Oxley

1. INTRODUÇÃO

O tema deste estudo é a estruturação das funções de controle em uma instituição financeira de grande porte. Tema relevante num momento em que se discute a crise financeira, originada nos Estados Unidos da América em 2007, e que culminou na quebra do tradicional banco Lehman Brothers em transações de crédito

imobiliário, quando as instituições financeiras precisam revisar suas abordagens para a mitigação de riscos, contexto em que estão inseridas as funções de controle.

Acomodar crescentes requisitos regulamentares, cada um com suas particularidades, têm feito proliferar na instituição financeira, objeto de estudo, as funções de controle. O impacto desta proliferação de funções de controle faz suscitar questionamentos sobre a sua real efetividade, e quanto à possibilidade de duplicação de esforços, reportes inconsistentes, lacunas não cobertas por nenhum procedimento e falta de integração.

1.1. Problema de Pesquisa

O que se verificou ao longo dos anos na instituição financeira objeto do estudo, com a crescente e dispersa regulamentação sobre controles internos, gestão de riscos operacionais e Lei Sarbanes-Oxley foi a multiplicação de funções de controle: Controles Internos, Compliance, Gestão de Riscos Operacionais e SOX Compliance.

Enquanto houve pujança geral da economia global, estas funções de controle puderam perdurar sem que maiores questionamentos fossem realizados acerca de sua efetividade. Mas, a partir do momento em que se instaura uma crise global como a que estamos vivenciando, as funções de controle passam a ser revisitadas, visando compreender como poderiam cumprir com mais eficácia seu papel dentro das instituições.

problema: Como e por que integrar as funções de controle em instituições financeiras de grande porte no Brasil?

1.2. Objetivos da Pesquisa

Este estudo tem por objetivo geral verificar as razões e as formas pelas quais as funções de controle dentro de uma instituição financeira de grande porte devem buscar maior integração, para maior eficiência de seus controles internos, gestão de riscos operacionais e conformidade com a Lei Sarbanes-Oxley.

Os objetivos específicos, por sua vez, são:

i) Identificar as principais funções de controle dentro de uma instituição financeira, a regulamentação aplicável, suas origens, missão e principais abordagens em uso.

ii) Identificar, na abordagem utilizada pelas diversas funções de controle, pontos em comum que poderiam criar oportunidades para maior integração entre as funções de controle.

iii) Apresentar uma proposta para estruturação das funções de controle de forma mais integrada e com maior valor agregado.

iv) Analisar as razões pelas quais as funções de controle foram estruturadas da forma como o foram na instituição objeto do estudo.

1.3. Justificativa do Tema escolhido e Demonstração de sua

Importância

Nos últimos anos regulamentações surgidas em tempos distintos resultaram na necessidade de as instituições financeiras estruturarem funções de controle para a sua implementação e acompanhamento.

processo de certificação dos controles internos pelos CEO – Chief Executive Officers

e CFO – Chief Financial Officers das companhias. O Novo Acordo da Basiléia de

2004 e a Resolução do Conselho Monetário Nacional nº 3380/06 requerem que as instituições financeiras estruturem uma função para a Gestão de Riscos Operacionais.

Neste trabalho utiliza-se o vocábulo “estruturação”, tal como definido por Coimbra (2007, p.21): “processo de estruturar, fornecer estrutura”. Por conseguinte, entende-se “estrutura” como disposição e ordem dos elementos essenciais que compõem um corpo concreto ou abstrato; organização das partes; reunião de elementos que forma um todo e a sua inter-relação com este todo; e aquilo que dá sustentação (concreta ou abstrata) a alguma coisa.

Hoje, funções de controle estão estabelecidas em resposta a estas regulamentações, o que, em momento de expansão da economia e do crédito, quase não foi objeto de questionamento. Contudo, numa época em que as instituições precisam rever seus modelos de gestão, com a crise financeira internacional que se instalou em 2007, estas estruturas de controle também são objeto de questionamento. É neste contexto que o tema de estudo assume relevância a todos os que fazem suas carreiras nestas funções de controle.

1.4. Metodologia

Este estudo, que é uma pesquisa do tipo exploratória se fundamenta num estudo de caso após a realização de pesquisa bibliográfica. Trata-se de um estudo de caso realizado numa instituição financeira de grande porte no Brasil, com base na concepção de estudo de caso de Yin (2005, p.61), segundo o qual a proposta é de estudar três funções de controle que operam na instituição financeira selecionada, visando o nível de integração entre estas funções de controle.

1.5. Estrutura do Trabalho

Este estudo está estruturado em sete capítulos: 1) Introdução; 2) Referencial Teórico; 3) Estudo de Caso; 4) Resultado: Percepção existente sobre o nível de integração entre as funções de controle; 5) Resultado: Objetivos e forma de atuação das funções de controle na instituição objeto de estudo; 6) Resultado: Análise Comparativa das Abordagens em uso pelas diferentes Funções de Controle e 7) Considerações Finais.

O primeiro capítulo apresenta a introdução, o problema de pesquisa, seus objetivos, a justificativa do tema escolhido e demonstração de sua importância, um esboço da metodologia adotada para o estudo e a estrutura do trabalho.

O segundo capítulo enfoca o referencial teórico e tem por objetivo apresentar os conceitos fundamentais, identificando as principais funções de controle dentro do contexto de uma instituição financeira, regulamentações aplicáveis, suas origens, missão, clientes e principais abordagens em uso. Este capítulo apresenta quais as principais preocupações em termos organizacionais de cada uma das funções de controle, e uma visão geral sobre como estes conceitos são interligados, culminando com o entendimento de que “controles internos” é o conceito chave comum a todas as funções de controle. Este entendimento irá fundamentar a utilização do COSO

-Internal Control Integrated Framework como base para comparação das diferentes

funções de controle.

O terceiro capítulo aborda as características do estudo de caso, da instituição objeto do estudo e seus participantes, um breve histórico das funções de controle e abordagem para coleta e análise de dados.

O quarto capítulo tem por objetivo apresentar o primeiro resultado que é o da análise das respostas obtidas no questionário II (Apêndice II) que trata da percepção existente entre os gerentes seniores acerca do nível de integração das funções de controle.

profissionais. Entretanto, compartilham abordagens semelhantes para a consecução de seus objetivos, o que permite uma atuação de forma mais integrada.

O sexto capítulo apresenta o terceiro resultado, ou seja, uma análise comparativa da forma de operação das funções de controle com vistas à identificação das oportunidades de uma atuação mais integrada das diferentes funções. Toma-se por base para as conclusões as respostas obtidas em entrevistas aos gerentes seniores responsáveis pelas funções de controle e os 5 componentes de um sistema de controles internos do COSO.

O sétimo capítulo apresenta as considerações finais, seguido das referências e dos apêndices.

2. REFERENCIAL TEÓRICO

O objetivo deste capítulo é identificar as principais funções de controle dentro do contexto de uma instituição financeira de grande porte, a regulamentação básica aplicável, suas origens, missão, clientes e principais abordagens em uso.

No Brasil até 1998 as funções de controle, em geral se resumiam à Controladoria e Auditoria Interna. Em 1998 com a publicação da Resolução CMN nº. 2554/98 as instituições financeiras no Brasil foram requeridas a implementar sistemas de controles internos. Esta Resolução do Conselho Monetário Internacional estava alinhada com os requisitos do Comitê da Basiléia que em Janeiro daquele mesmo ano havia publicado o Framework for Internal Control Systems in Banking Organizations (Estrutura para Sistemas de Controles Internos em Organizações

Bancárias) a qual utilizou como base a estrutura de melhores práticas de controles internos do COSO - Committe of Sponsoring Organizations of the Treadway

Commission. É possível identificar, de forma evidente na Estrutura para Sistemas de

Controles Internos em Organizações Bancárias, um conceito comum de “controle interno” e os 5 componentes de um sistema de controles internos apresentados no COSO – Internal Control Integrated Framework.

Em resposta a esta Resolução CMN nº. 2554/98 as instituições estruturaram as primeiras funções de controles internos, geralmente uma função central, Compliance, com o propósito de disseminação da cultura, com membros focais disseminados pelas diversas áreas/departamentos da instituição. A Resolução colocou responsabilidade pela estruturação do sistema de controles internos na administração sênior das instituições financeiras, momento em que foi criada uma primeira camada de controles nas instituições, garantindo independência da Auditoria Interna que deveria avaliar independentemente o sistema de controles internos como um todo.

A Lei Sarbanes-Oxley e os avanços no campo da Governança Corporativa, verificados, aquela em 2002, e esta desde o final dos anos 90, fizeram aumentar a robustez de áreas de controles internos, bem como as estruturas de Comitês Seniores, como Conselhos Fiscais de Supervisão e Conselho de Administração.

O novo acordo da Basiléia, publicado em 2004, após um período longo em audiência pública, posteriormente revisto em 2006, e em constantes aprimoramentos, trouxe como novidade principal a introdução da gestão de riscos operacionais. Em 2006, o Conselho Monetário Nacional emitiu Resolução nº 3380, através da qual requereu das instituições financeiras brasileiras a estruturação de função destinada a Gestão de Riscos Operacionais.

Assim, são considerados marcos regulatórios para as funções de controle de instituições financeiras:

• Resolução CMN nº. 2554/98 – Estabeleceu as regras sobre a implantação e implementação dos sistemas de controles internos das instituições financeiras;

• Lei Sarbanes-Oxley de 2002 – Teve como objetivo restaurar a confiança dos investidores no mercado de capitais norte-americano.

• Novo Acordo da Basiléia de Junho de 2004 (revisto em 2006) – que estabelece requisitos de capital mínimo às instituições financeiras teve como principal novidade o requerimento de capital mínimo para fazer frente a perdas de natureza operacional.

• Resolução CMN nº. 3380/06 – Que dispõe sobre a implementação de estrutura para Gestão de Riscos Operacionais.

2.1. Governança Corporativa

Este tópico apresenta o conceito de Governança Corporativa (GC), o requisito da “transparência”, a relação com o processo de reporte financeiro e controles internos.

monitoradas, envolvendo os relacionamentos entre acionista/cotistas, conselho de administração, diretoria, auditoria independente e conselho fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.

A Governança Corporativa, conforme menciona Di Micelli (2006), apesar de ser considerado um tema recente, é uma questão antiga cujo entendimento passa pela compreensão do “Problema de Agência dos Gestores”.

O problema do conflito de agência foi retratado no artigo de Jensen e Meckling, de 1976, que tratou sobre a teoria da firma. Segundo a teoria da firma (JENSEN; MECKLING, 1976) é natural haver conflito de interesses entre os administradores e proprietários (conflito de agência), sendo um fato que os administradores tenderão (mesmo inconscientemente) a maximizar seus próprios ganhos em detrimento aos interesses da empresa que são responsáveis.

A Governança Corporativa trata do “conflito de agência”, uma vez que tem por objetivo regular o relacionamento entre a companhia, seus administradores, conselho de administração, acionistas e outras partes relacionadas.

Com relação ao papel da contabilidade na Governança Corporativa, afirmam Hendriksen e Van Breda (1999, p.139) que a teoria de agência oferece bases para um papel importante para a contabilidade no fornecimento de informações após a ocorrência de um evento: um papel pós-decisório, isto dá a contabilidade um valor como feedback, além de seu valor preditivo, sendo a informação contábil uma das formas de reduzir a incerteza, dando aos contadores papel importante na divisão de riscos entre administradores e proprietários.

É neste contexto que os controles internos relacionados ao processo de porte financeiro, a conformidade com os requisitos da Lei Sarbanes-Oxley, a que estão obrigadas as empresas com títulos negociados nos mercados de capitais norte-americanos é relevante para a Governança Corporativa.

Segundo a OECD - Organization for Economic Co-operation and

Development (2004) a Governança Corporativa fornece a estrutura através da qual

A transparência segundo o Código de Melhores Práticas em Governança Corporativa (IBGC, 2004) é um dos valores fundamentais da Governança Corporativa e o sistema contábil é um elemento importante para a promoção da transparência.

Como pode-se verificar o conceito de “risco” se tornou central para a Governança Corporativa e se tornou vinculado à idéia de controles internos. Estes riscos são gerenciados dentro das estruturas de Governança Corporativa através de mecanismos de responsabilização, tais como reporte financeiro, controles internos e auditoria.

O conceito de Governança Corporativa é importante no contexto deste trabalho, para explicar a vinculação de controles internos, reporte financeiro, transparência, governança corporativa e sua importância para os investidores. Permitindo uma visão estratégica do conceito de controles internos. Como veremos a seguir, “SOX Compliance” diz respeito, em grande extensão, a controles internos sobre o processo de reporte financeiro.

2.2. Gestão de Riscos

Este tópico apresenta os principais riscos a que estão sujeitas as instituições financeiras e sua forma de gestão.

A essência do negócio bancário pode ser resumida como fazer resultado de captar recursos de depositantes e aplicar estes recursos captados em operações de crédito ou em tesouraria (através da aquisição de ativos financeiros) e viabilizar meios de pagamentos. A diferença entre a taxa de captação e a taxa de aplicação é o “spread”, que é o ganho de uma instituição em uma operação individual. O somatório dos “spreads” deve ser suficiente para cobrir os demais custos e despesas da instituição, de forma a gerar um lucro, que seja suficiente para remunerar satisfatoriamente os investidores, considerando o perfil de riscos da instituição.

Na realização de suas atividades as instituições financeiras incorrem nas seguintes classes principais de riscos (TILLAART, 2003, p.22; BESSIS, 2002, p.12; JORION, 1998, p.14):

• Risco de Mercado e de Taxas de Juros – É o risco pela variação nos preços dos ativos adquiridos pela instituição; variação em taxas de juros e moedas;

• Risco de Liquidez – É o risco decorrente de descasamentos de prazos e taxas, em captações e aplicações, onde, dependendo da liquidez dos ativos e passivos uma instituição em necessidade poderá necessitar fazer uma venda forçada de ativos, quando o preço destes ativos será menor. Do contrario, se o banco possui boa liquidez poderá planejar melhor venda de seus ativos, quando poderá se beneficiar de melhores preços.

• Risco de Crédito – É o risco de que as contrapartes em transações de crédito não honrem os seus compromissos creditícios junto ao banco. • Risco Operacional – É o risco de perdas decorrentes de falhas em

pessoas, processos e sistemas e ou eventos externos, inclusive risco legal. • Riscos Estratégicos – Riscos Estratégicos são os riscos decorrentes de

escolhas estratégicas e decisões de negócios.

• Riscos Reputacionais – São os riscos que impactam a imagem, a reputação da instituição financeira perante o mercado, reguladores, clientes, etc..

Os riscos de Crédito, Mercado, Taxa de Juros, Liquidez, Câmbio são riscos considerados riscos financeiros. Riscos Operacionais, Legais e Reputacionais, de Tecnologia da Informação, Estratégicos são riscos não financeiros.

ganho máximo para riscos não financeiros é zero. A gestão de riscos financeiros é parte do processo primário de um banco, enquanto gerenciamento de riscos não financeiros não o é. Segundo Tillaart (2003, p.25) os modelos desenvolvidos para mensuração de riscos operacionais, são falhos por que se baseiam em critérios válidos para riscos financeiros sendo aplicados a riscos não financeiros, que possuem características muito distintas.

A segregação dos tipos de riscos em financeiros e não financeiros é importante no contexto deste trabalho o qual trata das funções de controle, Controles Internos, Gestão de Riscos Operacionais e SOX Compliance, pois todas estas funções se ocupam de riscos não financeiros.

Para cada categoria de riscos, diferentes técnicas e abordagens são utilizadas para a sua gestão.

Como estudo feito por Tillaart (2003, p.102), embora os bancos sempre tenham trabalhado com riscos, a gestão de riscos não tinha sido uma função ou papel separado dentro de bancos até os anos 90. Gestão de riscos era implicitamente parte do trabalho diário de todos. Informação sobre riscos não era fornecida separadamente para a Diretoria Executiva. O desenvolvimento de métodos para mensuração de riscos mudou o papel da gestão de riscos. Gerenciamento de riscos se tornou um processo explícito em Bancos, com responsabilidades concretas atribuídas a várias funções.

A gestão de riscos financeiros sempre esteve atrelada ao que se entende por gerenciar uma instituição financeira, sendo uma disciplina fundamental nesta atividade, enquanto a gestão de riscos não financeiros, diferentemente, somente ganhou importância a partir dos eventos de quebras de bancos, notadamente do Banco Barings, dos escândalos contábeis que culminaram na Lei Sarbanes-Oxley, e se estruturaram primordialmente em resposta a requerimentos regulatórios.

A última tendência observada, principalmente após a crise de 2007, é de centralização das responsabilidades pela gestão de riscos em uma função única chamada CRO - Chief Risk Officer a qual passa a ter “cadeira” na Diretoria Executiva

2.3. Controles Internos

Este tópico apresenta o conceito de controles internos, COSO e os componentes de um sistema de controles internos tal como definidos pelo COSO.

As funções de controle têm origem na própria definição de administração. Das funções clássicas da administração tratadas por Fayol, estavam: organizar, formar equipe, dirigir, planejar e controlar.

Para Fayol, administrar é prever, organizar, comandar, coordenar e controlar, sendo que controlar é velar para que tudo corra de acordo com as regras estabelecidas e as ordens dadas (FAYOL, 2007, p. 26).

Ao contrário do que pode a alguns parecer, administrar pressupõe controlar. O que se pretende no universo empresarial, quanto ao que se refere ao termo controle, sob a ótica da administração é garantir que decisões tomadas realmente ocorram.

Em 1992, o COSO - Committee of Sponsoring Organization of the Treadway

Commission, uma organização formada por membros do American Institute of

Certified Public Accountants - AICPA (Instituto Americano de Contadores Públicos

Certificados), American Accounting Association - AAA (Associação de Contadores

Americanos), The Institute of Internal Auditors - IIA (Instituto de Auditores Internos),

Institute of Management Accounts - IMA (Instituto de Contadores Gerenciais) e

Financial Executives Institute – FEI (Instituto de Executivos Financeiros), com

participação de empresas de auditoria externa e outras grandes empresas de capital aberto, nos Estados Unidos, emitiu documento intitulado Internal Control – Integrated

Framework (Controles Internos – Estrutura Integrada) o qual apresenta definição de

controles internos, seus componentes, e uma estrutura de melhores práticas.

Uma estrutura amplamente aceita e que serviu de base para que anos depois, em 1998, no exterior o Comitê da Basiléia emitisse o seu Framework for Internal Control Systems in Banking Organizations (Estrutura para Sistemas de Controles

reporte financeiro, informando o “framework (estrutura)” utilizado como base para esta avaliação.

Em 1994, o COSO emitiu uma versão em 2 volumes do seu documento

Internal Control Integrated Framework a qual foi utilizada neste estudo.

A estrutura (Framework) de melhores práticas de controle do COSO é que

tem sido de longe a mais utilizada pelas empresas para fins de atendimento aos requisitos da Lei Sarbanes-Oxley.

O COSO – Internal Control Integrated Framework (1994) define controles

internos como um processo, efetuado pelo conselho de diretores de uma entidade, a administração e outras pessoas, desenhado para fornecer razoável segurança com relação ao atingimento de objetivos nas seguintes categorias:

• Eficiência e efetividade das operações; • Confiabilidade do reporte financeiro;

• Conformidade com leis e regulamentos aplicáveis.

Até a emissão, pelo COSO, do seu Internal Control – Integrated Framework, a

definição de controles internos prevalecente entre as empresas de Auditoria Externa, que eram as principais usuárias deste conceito, era a definição do American Institute of Certified Public Accountants – AICPA:

Controle Interno é o plano da organização e todos os métodos e medidas, coordenados, adotados dentro da empresa para salvaguardar seus ativos, verificar a adequação e confiabilidade de seus dados contábeis, promover a eficiência operacional e fomentar o respeito e obediência às políticas administrativas fixadas pela gestão.

Figura 1 – Cubo do COSO

Fonte: COSO – Internal Control Integrated Framework (1994)

O “cubo do COSO” (1994) apresentado na figura 1 mostra as três dimensões de um sistema de controles internos. A primeira dimensão diz respeito aos 5 componentes de um sistema de controles internos. A segunda dimensão retrata os três objetivos de atuação dos controles internos. A terceira dimensão apresenta as unidades e atividades através das quais estão permeados os “controles internos”.

Os cinco componentes de um sistema de controles internos são: • Ambiente de Controles (Control Environment);

• Avaliação de Riscos (Risk Assessment);

• Atividades de Controles (Control Activities);

• Informação e Comunicação (Information & Communication);

• Monitoramento.

As três categorias de objetivos de atuação de um sistema de controles internos são:

• Operações (eficiência e efetividade das operações); • Reporte Financeiro; e

Segundo o COSO (1994), o ambiente de controle define o tom de uma organização, influenciando a consciência de controle de seu pessoal. É a fundação para todos os outros componentes de controles internos, fornecendo disciplina e estrutura. Fatores de ambiente de controle incluem integridade, valores éticos e competência das pessoas da entidade; filosofia gerencial e estilo operacional; a forma como a administração atribui autoridade e responsabilidade e desenvolve suas pessoas, e a atenção e direção fornecida pelo conselho de diretores.

O trabalho realizado por Santos (2000), por exemplo, demonstra haver correlação entre “cultura organizacional” e “desempenho”, o que, no âmbito dos “controles internos” considerando os conceitos de “controles internos e ambiente de controle”, traduz-se como correlação entre um “forte ambiente de controle” (cultura organizacional) e o nível de “perdas” (desempenho). Deduz-se isto a partir de que um “bom desempenho” é o desempenho planejado, e desvios aos planos, são os riscos, que os controles internos visam mitigar, sendo o “ambiente de controle” (tone

at the top, cultura de controle) o alicerce sobre o qual se fundamenta todo o sistema

de controles internos de uma organização, assim “cultura boa” leva a “desempenho bom”.

Um processo de avaliação de riscos, segundo o Internal Control Integrated

Framework (COSO, 1994, p.33), deve assegurar que uma organização esteja

consciente e gerencie os riscos a que está exposta. A organização deve definir como pré-condição para avaliação de riscos, objetivos, integrados com as vendas, produção, marketing, finanças e outras atividades de forma a que a organização opere de forma harmônica. O processo de avaliação de riscos é a identificação e análise dos riscos relevantes para o atingimento dos objetivos, formando uma base para determinar como os riscos devem ser gerenciados. Em razão de que a economia, a indústria, a regulamentação e as condições operacionais irão continuamente mudar, mecanismos são necessários para identificar e gerenciar os riscos associados com as mudanças.

Atividades de controle, segundo o Internal Control Integrated Framework

tão diversas como aprovações, autorizações, verificações, reconciliações, revisões de performance operacional, segurança de ativos e segregação de funções.

Segundo o Internal Control Integrated Framework (COSO, 1994, p.59), no que

diz respeito à Informação e Comunicação, informações pertinentes devem ser identificadas, capturadas e comunicadas em um formato e momento que permita às pessoas realizarem as suas responsabilidades. Sistemas de informação produzem relatórios, contendo informação relacionada às operações, finanças e conformidade com leis e regulamentos que tornam possível administrar um negócio. Estas informações não tratam apenas de dados gerados internamente, mas também informação sobre eventos externos, atividades e condições necessárias para a tomada de decisão informada e reporte externo. Comunicação efetiva deve ocorrer em senso amplo, fluindo de cima para baixo, em torno e de baixo para cima nas organizações.

Todos os colaboradores devem receber uma mensagem clara da alta administração de que responsabilidade por controle é algo a ser levado a sério. Os colaboradores devem entender o seu próprio papel no sistema de controles internos e a forma como suas atividades individuais estão relacionadas à atividade de outros. Eles devem ter um meio de comunicar informação significante para seus superiores. Deve haver também comunicação efetiva com partes externas, tais como clientes, fornecedores, reguladores e acionistas.

Segundo o Internal Control Integrated Framework (COSO, 1994, p.69), os

sistemas de controles internos precisam ser monitorados – um processo que avalie a qualidade da performance do sistema ao longo do tempo. Isto é conseguido através de atividades de monitoramento contínuo, avaliações independentes ou um combinação de ambos. Monitoramento contínuo ocorre no curso normal das operações, inclui gerenciamento regular e atividades de supervisão, e outras ações tomadas na realização das atividades. O escopo e frequência de avaliações independentes irão depender primariamente de uma avaliação de riscos e da efetividade dos procedimentos de monitoramento contínuo. Deficiências de controle devem ser escaladas, e problemas sérios devem ser reportados a diretoria e conselho de administração.

Quadro 1 − Requisitos da Resolução CMN nº 2554/98

Fonte: A Própria Resolução

É possível clara identificação da influência da definição de controles internos do COSO – Internal Control Integrated Framework e de seus 5 elementos de

controle na Resolução CMN nº. 2554/98.

Na ocasião da implementação das regras da Res. CMN nº. 2554/98 as instituições se organizaram para assegurar que todas as políticas e procedimentos estivessem publicados e disseminados aos seus funcionários, uma estrutura de focais disseminadas em todas as áreas-chave periodicamente certificassem conformidade com as novas regras, geralmente sob coordenação da Função de Compliance dos Bancos que à época começava a ser estruturada. Esta função de Compliance emitia os relatórios semestrais para a Administração Senior, sobre o “status geral” dos controles internos.

Na priorização de ações, as funções de controles internos consideram análise de freqüência e severidade de impacto de riscos identificados. A prática comum,

Art Descrição

Determina a implantação de controles internos voltados para: - Atividades desenvolvidas;

- Informações Financeiras, Operacionais e Gerenciais; - Cumprimento de normas legais e regulamentares;

§1º Controles internos devem ser efetivos e consistentes com a natureza, complexidade e risco das operações. Responsabilidades da diretoria da instituição:

- Definição de atividades de controle para todos os níveis de negócios da instituição. - Estabelecer objetivos e procedimentos;

- Verificação sistemática da adoção e cumprimento dos procedimentos acima.

Disposições sobre controles internos devem ser acessíveis a todos os funcionários, de forma a esclarecer função e responsabilidades atribuídas aos diversos níveis da organização:

- Definição de responsabilidades;

- Segregação de atividades e meios de monitoramento de áreas identificadas como de potencial conflito;

- Identificação e avaliação de fatores internos e externos que possam afetar a realização dos objetivos da instituição; - Canais de comunicação aos funcionários garantindo-lhes acessos a informações relevantes para suas tarefas e responsabilidades;

- Avaliação contínua dos riscos associados às atividades da organização; - Acompanhamento sistemático das atividades;

- Existência de testes periódicos de segurança para os sistemas de informações;

§1º Controles internos devem ser periodicamente revistos.

§2º Auditoria interna como parte do sistema de controles internos.

3º Atividades devem ser objeto de relatórios no mínimo semestrais.

4º Incumbe a diretoria a promoção de elevados padrões éticos e de integridade e de uma cultura organizacional que_{demonstre e enfatize a importância dos controles internos e o papel de cada um no processo.} 5º Definição das estruturas internas e procedimentos.

1º

§2º

2º

anterior à institucionalização da “gestão de riscos operacionais” era os riscos serem classificados de acordo com seu “impacto” e “probabilidade”. Posteriormente, com a institucionalização da “gestão de riscos operacionais” as mensurações de riscos passaram a considerar “frequência” e “severidade”. Esta mudança, aparentemente pequena, tem grande impacto sobre a gestão de “riscos operacionais”, e quem não faz esta distinção sofre críticas duras pelos gestores de riscos operacionais (KHAN et AL, 2006). A distinção é importante por que ao multiplicar um evento de alto impacto por uma baixa probabilidade, faz parecer que o risco como um todo é baixo, e logo o assunto é considerado como não prioritário. Entretanto, a Gestão de Riscos Operacionais ao desenhar uma distribuição de freqüência, dispondo os riscos em função de sua freqüência e severidade, faz transparecer de forma mais contundente a importância dos riscos de alto impacto e baixa freqüência (como o caso do atentado às torres gêmeas em 2001 – severidade alta, freqüência baixa), outrora considerados como não prioritários pelos gestores de “controles internos”. Sendo a “modelagem” destes riscos (eventos extremos), para fins de cálculo de capital mínimo um dos maiores desafios dos “Gestores de Riscos Operacionais” (TILLAART, 2003, p.88). Veremos neste estudo, que a falta de integração entre as funções de controles internos, SOX Compliance e Gestão de Riscos Operacionais também se verifica na forma como estas funções se comunicam e reportam sobre os riscos, e um dos aspectos é o exemplo apresentado.

A dinâmica dos anos recentes fez aumentar a demanda por executivos capazes de entenderem o mundo, promoverem inovações e permitirem capacidade de adaptação constante a novos requisitos. Neste contexto, a ênfase da administração mudou fazendo tornar-se menos relevante as questões relativas a controle, que passaram a ser relegadas a um segundo plano. A nova tônica era a ênfase na maximização das oportunidades, a resolução dos problemas passou a ser vista como mera “restauração” da normalidade e controle como algo que inibe a flexibilidade necessária nos novos tempos.

executivos. Em 2001, a quebra de empresas de renome nos Estados Unidos fez nascer a Lei Sarbanes-Oxley, que tratou sobre controle relacionado à Governança Corporativa e ao processo de reporte financeiro.

O Basel Committee on banking supervision (o Comitê da Basiléia sobre

supervisão bancária) em 1998 emitiu documento intitulado Enhancing Bank

Transparency através do qual enfatiza a importância dos controles internos como

forma de assegurar confiabilidade das informações.

No que diz respeito à responsabilidade da administração sobre os controles internos o Código de Melhores Práticas de Governança Corporativa do IBGC (2004) define:

O principal executivo é responsável pela criação de sistemas de controle internos que organizem e monitorem um fluxo de informações corretas, reais e completas sobre a sociedade, como as de natureza financeira, operacional, de obediência às leis e outras que apresentem fatores de risco importantes. A efetividade de tais sistemas deve ser revista no mínimo anualmente.

Este tópico assume importância especial, no contexto deste estudo, uma vez que o COSO - Internal Control Integrated Framework, apresentado de forma sumária

neste tópico, é utilizado neste trabalho como base para comparação das diferentes funções de controle, quando as atividades realizadas por cada função de controle são analisadas em termos de sua contribuição para os cinco componentes de um sistema de controles internos definido pelo COSO.

É importante salientar que o conceito de “Controles Internos” é amplo, sendo mais fácil exemplificar o que não é controle interno do que defini-lo, havendo opiniões díspares acerca de seu real significado. Utilizaremos neste trabalho o conceito de “controles internos” definido pelo COSO, uma vez que é o conceito mais utilizado neste momento para fins de SOX Compliance. Não é objetivo deste estudo um aprofundamento maior no conceito de “controles internos”. As correntes atuais de administração e gestão de pessoas rechaçam a idéia de controle. A filosofia de “comando e controle” é considerada ultrapassada, modernamente está em moda a gestão por competências, o “empoderamento (empowerment)”, considerados

2.4. Compliance

Este tópico apresenta o significado de Compliance, suas origens, área responsável, principais preocupações.

Compliance conforme apresentado no Dicionário Merriam-Webster’s (2010) é o ato ou processo de atender a um desejo, demanda, proposta ou regime ou coação, ou conformidade em completar um requerimento oficial. Ou conforme menciona Manzi (2008, p.15):

O termo “compliance” origina-se do verbo em inglês to comply, que significa cumprir, executar, satisfazer, realizar algo imposto. “Compliance” é o ato de cumprir, de estar em conformidade e executar regulamentos internos e externos, impostos às atividades da instituição, buscando mitigar o risco atrelado à reputação e ao regulatório/legal.

Com relação ao termo “risco de compliance”, o documento “Compliance and the Compliance Function in Banks”, emitido pelo BIS - Bank for International Settlement (2005) define como o risco de sanções legais ou regulatórias, perda

A função de compliance existe com os objetivos primordiais de evitar danos à reputação ou sanções regulatórias às instituições; ambos os riscos podem comprometer seriamente a capacidade de uma instituição continuar operando.

A função de compliance a exemplo da função de Auditoria e outras funções de controle está sujeita a requisitos de independência, uma vez que o cumprimento de requisitos regulatórios não pode estar subordinado a outras funções conflitantes ou subordinado a linhas de negócios.

Dentre as categorias de objetivos dos controles internos, definidas no conceito de controles internos do COSO, ao lado de “eficiência e efetividade das operações”, “confiabilidade do reporte financeiro”, está a “conformidade com leis e regulamentação aplicável”.

A origem das funções de compliance, embora tenha sua ênfase no Brasil a partir de 2000, está atrelada à própria regulamentação bancária. Ou seja, na medida em que a regulamentação bancária ganha corpo ao longo dos anos, a complexidade regulatória faz nascer a necessidade de as instituições financeiras manterem funções permanentes para assegurar-se de que a regulamentação esteja sendo cumprida. O rigor da regulamentação pode fazer com que o descumprimento de requisitos regulatórios específicos possa ser fonte de risco significativo para instituições financeiras.

Segundo Drucker (1993, p.384), a primeira responsabilidade que a administração deve à empresa com relação à opinião pública, políticas e leis, é de considerar tais demandas feitas pela sociedade sobre a empresa (ou que provavelmente serão feitas no futuro próximo) considerando que podem afetar a realização de seus objetivos. É trabalho de administração encontrar uma forma de “converter estas demandas de ameaças ou restrições sobre a liberdade de ação da empresa em oportunidades para crescimento, ou no mínimo satisfazer estas demandas como o menor dano para a empresa.”

Na prática estar em compliance é uma responsabilidade de todos os que trabalham em instituições financeiras. O posicionamento da função de compliance dentro do organograma de uma instituição financeira pode variar, e, conforme varia, pode adotar diferentes abordagens. A função de compliance em certas instituições pode ter preocupação estritamente em atendimento às regulamentações e evitar multas, com foco, por exemplo, em “prevenção à lavagem de dinheiro (Lei 9613/98)”, definição de estruturas de “controles internos” (Resolução CMN nº 2554/98), acompanhamento de multas pagas, enquanto outras instituições podem incorporar além das preocupações regulatórias e de evitar multar, o risco de reputação, neste caso atuando para, por exemplo, disseminar o código de ética e conduta, definição de políticas de “chinese wall”, recebimento e doação de presentes de clientes, contribuição a partidos políticos, corrupção, aprovação de novos produtos, análise de contratos, prevenção à lavagem de dinheiro, evitar a venda casada, ou venda de produtos não adequados a clientes não suficientemente informados sobre a natureza das operações, etc.

Manzi (2008, p.61) avalia a função de “compliance” em comparação com a “auditoria interna”, concluindo que a função de “compliance” certifica o cumprimento de normas e processos de forma rotineira e permanente, enquanto a auditoria interna o faz de forma aleatória e temporal por meio de amostragem.

Cumpre esclarecer que em algumas organizações bancárias, em geral as de tamanho pequeno ou médio, as funções de “Compliance”, acumulam responsabilidade por riscos reputacionais, controles internos em geral, e até mesmo conformidade com a Lei Sarbanes-Oxley.

estruturação de funções de controle que ora buscam centralizar diversas responsabilidades ora buscam a descentralização destas responsabilidades. Havendo vantagens e desvantagens em cada uma das abordagens, sendo mais típico de instituições que buscam apenas atender regulamentação, a centralização. A centralização é, em geral, de implementação mais rápida, permite atender a regulamentação de forma mais rápida, ao mesmo tempo em que acaba contribuindo para diminuir a velocidade da “disseminação da cultura”.

2.5. Gestão de Riscos Operacionais

Este tópico tem por objetivo apresentar o conceito de Riscos Operacionais, suas origens, formas de mensuração e gerenciamento.

O avanço da globalização, com as transações de fusões e aquisições, aumento do nível de dependência de sistemas (globais) e trânsito mundial de dados através de redes internas e externas, o processamento centralizado de transações em países de baixo custo de mão-de-obra e o processo através do qual as empresas/clientes estão menos dependentes das tradicionais fontes de financiamento onde as instituições financeiras passam a prestar serviços de consultoria, fatores climáticos e doenças, além de outros fatores como, a necessidade de os bancos serem ágeis e flexíveis na criação de produtos desenhados para atender a demanda específica de clientes específicos geralmente controlados de forma não automatizada, fraudes eletrônicas (perpetradas através de

hacking, clonagem de cartões, etc.), e até mesmo a forma como as pressões

exercidas sobre a gestão das instituições fazem com que a performance seja medida por avanços em fatores de curto prazo em detrimento a medidas de longo prazo (lembrando que uma cultura de controle em geral é construída em médio/longo prazo), o encurtamento das carreiras e a dinâmica em que as pessoas não mais exercem suas funções por longos períodos de tempo têm feito com que cresça a importância relativa da gestão do risco operacional em relação aos outros tipos de riscos num ambiente de margens/spreads decrescentes.

com as deliberações do Comitê da Basiléia), trouxe como principais inovações: i) a definição oficial de risco operacional, ii) o estabelecimento de requerimento de capital regulamentar mínimo destinado a proteger uma instituição financeira contra riscos desta natureza, bem como, iii) as metodologias aceitáveis para a sua medição.

Risco Operacional tal como definido pelo Comitê da Basiléia é o risco de perda resultante de processos, pessoas e sistemas internos inadequados ou falhos e de eventos externos. Esta definição inclui o risco legal, mas exclui os riscos estratégicos e de reputação.

A implementação pelas Instituições Financeiras das medidas de adequação ao Novo Acordo da Basiléia concorreu com a Lei Sarbanes-Oxley e atualmente concorre com o processo de harmonização contábil com as regras do IFRS

-International Financial Reporting Standards.

O Banco Central do Brasil (BACEN) emitiu Comunicado nº 12.746 ainda no ano de 2004 estabelecendo cronograma de implementação das modificações decorrentes do novo acordo da Basiléia, fixando o ano de 2011, como ano limite de sua implementação. Em 2006, o Banco Central do Brasil emitiu edital de audiência pública, onde colocou em análise pública uma minuta de regulamentação a respeito da gestão de riscos operacionais. Após um período em audiência pública, foi emitida a Resolução CMN nº. 3380/06, a qual estabeleceu uma série de requisitos qualitativos para a gestão de riscos operacionais.

Em 2007, o Banco Central do Brasil emitiu Comunicado nº 16.137 estendendo o prazo para 2012 para início do processo de autorização para uso de modelos internos de apuração de requerimentos de capital para risco operacional. O novo Comunicado deixa “aberto” o prazo final, uma vez que somente define a data de início. Outro Comunicado do Banco Central do Brasil de nº. 19.028, de 2009, define 2013 para início dos trabalhos de homologação das estruturas de gestão de riscos operacionais, no modelo avançado. Em 2008, o Banco Central do Brasil emitiu a Circular 3.383, a qual estabelece os procedimentos para o cálculo da parcela do Patrimônio de Referência Exigido referente ao risco operacional, a mencionada Circular não tratou da abordagem avançada (ou interna).

que a nova regulamenta tanto conceituais, como incertezas sobre o melho A gestão de ris mensuração estão em d todos aqueles envolvidos ainda não pode ser m estabelecida de controles utilizadas como suporte quantitativas foram desen os “riscos financeiros” premissas não funcionam instituição objeto do estu desenvolvimento de uma fazer frente às perdas o confirmam os entendimen

Figura

Fon

tação passa a ser analisada com maior r o técnicos e metodológicos, começam a lhor curso de ação a ser tomado.

riscos operacionais não é uma ciência desenvolvimento e se constituem em g dos. A rigor o risco operacional com as té medido com exatidão e depende de

les internos e transparência, métricas qua rte auxiliar. Tillaart (2003) questiona qu senvolvidas tomando por base premissas q ” (risco de crédito, mercado e liquidez am para riscos não financeiros (como o Ris studo, conforme apresentado no tópico 5.5 ma abordagem para mensuração avança s operacionais e está se defrontando co

entos de Tillaart (2003).

a 2 – Três Pilares do Novo Acordo da Basilé

onte: Novo Acordo de Capital da Basiléia (2006)

r rigor, e os desafios, a emergir causando

cia, as técnicas de grande desafio para s técnicas disponíveis e uma cultura bem ualitativas podem ser que as abordagens s que funcionam para dez), entretanto, tais Risco Operacional).A 5.5., está em fase de çada de capital para com dificuldades que

A implementação do novo acordo da Basiléia é prevista que ocorra simultaneamente através de três frentes, chamadas pilares:

Pilar I – Diz respeito à quantificação do capital mínimo necessário;

Pilar II – Diz respeito à supervisão bancária;

Pilar III – Diz respeito à disciplina de mercado.

O novo acordo da Basiléia prevê três abordagens para cálculo de capital mínimo para fazer frente perdas de natureza operacional, as quais evoluem em termos de sofisticação e sensibilidade ao risco de uma abordagem bastante simplificada, o Método do Indicador Básico (BIA – Basic Indicator Approach),

passando pelo Método Padronizado (Standardized Approach) até chegar ao Método

de Mensuração Avançado (AMA – Advanced Measurement Approach).

A abordagem avançada (AMA - Advanced Measurement Approach)

pressupõe a utilização de modelos quantitativos internos para apuração do capital mínimo para fazer frente a perdas de natureza operacional e tem como principais requisitos:

• Requerimentos de gestão qualitativa de riscos operacionais devem estar implementados;

• Requerimentos Quantitativos (para cálculo de capital mínimo):

o Base de dados de perdas e incidentes internos de 3-5 anos.

o Base de dados de perdas externas.

o Análise de Cenários.

o Fatores que refletem o ambiente comercial e os sistemas de controle interno.

Considerando que as outras abordagens de cálculo (BIA - Basic Indicator Approach e SA - Standardized Approach) não são sensíveis aos fatos reais (as

taxas de captação mais competitivas e ii) poderem alocar menos capital do que seus concorrentes.

Estudos têm sido realizados no Brasil sobre o tema Gestão de Riscos Operacionais, destaca-se dentre outros estudos, um documento emitido em 2006, pelo Grupo de Trabalho de Melhores Práticas da Federação Brasileira de Bancos - FEBRABAN, intitulado Melhores Práticas na Gestão do Risco Operacional, o qual tomou por base outro documento importante emitido em 2003 pelo Basel Committee on Banking Supervision (Comitê da Basiléia), intitulado Sound Practices for the

Management and Supervision of Operational Risk.

Entre trabalhos acadêmicos recentes sobre a Gestão de Riscos Operacionais no Brasil destaca-se o trabalho realizado por Coimbra (2007), um estudo de caso, que teve como foco a forma como as instituições financeiras estruturam suas funções de Gestão de Riscos Operacionais, o qual apresenta suas considerações finais demonstrando como fatores condicionantes da estrutura organizacional da Área de Gestão de Riscos Operacionais, a Estratégia, o Ambiente Externo, Tecnologia, Fator Humano e Tamanho. Com relação à formalização da estrutura de gestão, o autor também encontrou no caso analisado elementos que confirmam a literatura disponível quanto à forma de estruturação da gestão de riscos operacionais, as quais prevêem: i) a subordinação da gestão de riscos operacionais ao Diretor do Departamento de Gestão de Risco e Compliance (equivalente ao Chief Risk Officer); ii) políticas que descrevem as atribuições de gestão de risco operacional permeadas nas demais unidades organizacionais; iii) atribuições da área de Gestão de Riscos Operacionais que seriam: coleta de dados; medição e análise de riscos operacionais; relação com demais áreas e órgãos externos; desenvolvimento de políticas, práticas e tecnologias; disseminar as melhores práticas; assegurar consistência; iv) necessidade de Comitê; v) comunicação com a alta administração; vi) descentralização de atividades aos gestores das áreas de negócios; vii) pessoal com perfil analítico e quantitativo. As análises realizadas no tópico 5.5 deste estudo confirmam os entendimentos de Coimbra (2007).

operacional nas instituições financeiras brasileiras que estão sujeitas à sua observância.

Os resultados da pesquisa de Camazano (2007) permitiram identificar a existência de convergência entre os referenciais estudados. A análise pormenorizada do marco regulatório do Comitê da Basiléia, em “confronto” com as exigências trazidas pelo Sarbanes-Oxley, revelou que ambos possuem a mesma base conceitual de propósitos, qual seja, controlar os fatores do risco operacional mantendo-os em níveis aceitáveis e compatíveis com o perfil de riscos da organização.

Uma distinção não feita por Camazano (2007) é quanto ao foco da Lei Sarbanes-Oxley, que é primordialmente o processo de “reporte financeiro”, enquanto o foco da Gestão de Riscos Operacionais é redução de perdas e conseqüente redução do capital a ser alocado para fazer frente aos riscos operacionais. Embora não sejam conflitantes estes requisitos, o tipo de habilidade requerida dos profissionais, conforme veremos, e suas linhas de reporte são diferentes. Esta distinção é fundamental na estruturação de áreas para monitoramento do cumprimento destes requisitos – as funções de controle.

Trapp (2005) apresentou artigo intitulado “Avaliação e Gerenciamento do Risco Operacional no Brasil: Análise de Caso de uma Instituição Financeira de Grande Porte”, onde apresenta um modelo para análise do nível de maturidade de uma instituição em relação à implementação de uma estrutura para Gestão de Riscos Operacionais.

Estudos internacionais na área de Gestão de Riscos Operacionais são inúmeros, destaca-se como importantes para o propósito deste estudo, que versará sobre as origens, usuários e principais práticas adotadas, e comparação entre as diferentes funções de controle, os trabalhos de Marshall (2002), Cruz (2002), Tillaart (2003), Chorafas (2004).

Tillaart (2003, p.15 conceitos de mensuraçã externa deu início ao operacional. O regulador operacional, o qual forçou

Segundo Tillaart ( tentaram utilizar os méto mercado. Estas tentativa aos problemas conceitu específico do risco opera pode ser bastante influe mensuração de risco ope um processo similar é ap crédito no passado. Indep deveria ter escolhido ou suficientemente acurada forma, espera-se que o interrompido em algum e para controllers gerenci advertidos sobre os obstá diferente de medição de p

Figura 3 – Gráfico

Fonte: FR

15) conclui sua pesquisa sobre como os ba ação para “risco operacional” dizendo q o desenvolvimento dos métodos de me

or bancário sugeriu um encargo explícito d çou os bancos a quantificar este tipo de risc t (2003, p.15) para serem capazes de fa

todos existentes, já aplicados para risco d ivas, de acordo com o autor, provavelment eituais identificados. A principal causa

racional. Ele é idiossincrático (específico a luenciado. Ao responder a questão, “com operacional têm sido desenvolvido?”, deve aplicável, como foi feito com o risco de m dependente disto, Tillaart é de opinião que outra direção. Uma medida de risco oper da para ser utilizada como medida de p o processo de mensuração de risco op

estágio. Os estatísticos serão forçados nciais, mas também os controllers gere stáculos. A Medição de performance para e performance para risco de crédito ou risc

ico de Distribuição de Perdas x Probabilida

FRS-Global Risk & Regulatory Compliance (2006)

bancos desenvolvem que uma demanda mensuração de risco o de capital para risco risco.

fazer isto, os bancos de crédito e risco de nte irão falhar devido a disto é o caráter o a cada instituição) e como os métodos de ve ser concluído que mercado e o risco de e a indústria bancária eracional nunca será performance. Desta operacional deva ser s a deixar o assunto renciais deverão ser ra risco operacional é isco de mercado.