UNIVERSIDADE CANDIDO MENDES
INSTITUTO A VEZ DO MESTRE
PÓS-GRADUAÇÃO “LATU SENSO”
OS CONTROLES INTERNOS NO CONTEXTO BANCÁRIO
AUTOR: ANTONIO ELISIO PIMENTA SOBRINHO
Prof. LUCIANO GERARD
Rio de janeiro
2010
2
_______________________________________________________________
UNIVERSIDADE CANDIDO MENDES
INSTITUTO A VEZ DO MESTRE
PÓS-GRADUAÇÃO “LATU SENSO”
OS CONTROLES INTERNOS NO CONTEXTO BANCÁRIO
OBJETIVO:
Demonstrar a importância dos controles internos nas organizações bancárias
3
_______________________________________________________________
AGRADECIMENTOS
A Deus, aos Mestres, aos amigos e familiares que
tanto colaboraram e incentivaram com o
desenvolvimento desse trabalho.
4
DEDICATÓRIA
A minha filha Mariana Pimenta que esta iniciando o
seu desenvolvimento cultural como prova de toda
dedicação e esforço que é necessário para
sobrevivência social.
______________________________________________________________
5______________________________________________________________
RESUMO
Os bancos brasileiros vêm apresentando grandes lucros nos últimos anos.
Procurando investigar o que faz essas empresas serem tão lucrativas, descobri
que entre as inúmeras tarefas de um banco estão à obrigatoriedade de cumprir
as normas do Banco Central e da CVM - Comissão de Valores Mobiliários, as
empresas que negociam títulos no exterior também são obrigadas a se
adequarem as leis internacionais como a lei Sarbanes-Oxiley e os acordos da
Basiléia. As organizações bancárias são obrigadas ainda a cumprirem as
legislações trabalhista, previdenciária, tributária, contra a lavagem de dinheiro e
o código de defesa do consumidor. Além disso, precisa proteger o seu sistema
de informação da ação de hackers, como forma de manter e preservar os
ativos dos seus acionistas e clientes, bem como, a realização de milhares de
operações de forma consistentes e seguras. Ou seja, o sucesso dos bancos,
está associado ao tipo de atividade, a complexidade do ambiente em que atua
e à eficiência das suas operações.
Para operar num cenário complexo e auferir resultados tão positivos, os
bancos precisam ter uma administração de alto nível, uma gestão de riscos
eficiente e controles internos efetivos. Os controles internos devem fiscalizar
toda organização, desde a implantação do ambiente de controle para a
formação de uma cultura adequada até o monitoramento que é a etapa final.
Como a finalidade dos controles internos é fazer com que as organizações
atinjam os seus objetivos é dessa forma que os bancos têm obtido tanto
sucesso e preservado o seu maior ativo que é a confiança do público.
6_______________________________________________________________
METODOLOGIA
A metodologia utilizada será baseada na pesquisa exploratória de ordem
teórica viabilizada, através de levantamentos bibliográficos e estudos de caso.
7
SUMÁRIO
INTRODUÇÃO 08
CAPÍTULO I
Objetivos e controles internos de um banco 11
CAPÍTULO II
Os componentes do controle interno 30
CAPÍTULO III
Riscos: Identificação e Avaliação 40
CAPÍTULO IV
GESTÃO DE RISCO 63
CAPÍTULO V
ESTUDOS DE CASOS DE UM CONGLOMERADO BANCÁRIO 76
CONCLUSÂO 81
ANEXO 83
BIBLIOGRAFIA 84
INDICE
_______________________________________________________________
8_______________________________________________________________
INTRODUÇÃO
A função principal de um banco é a de estabelecer um elo entre os
poupadores e os investidores. Montar um negócio, expandir os negócios
existentes ou empreender qualquer tipo de atividade empresarial exige
recursos, o capital de investimento. Assim, a prosperidade econômica de
qualquer sociedade só pode ser atingida quando uma parte da renda auferida
pelos indivíduos ou pelas empresas, não é totalmente consumida.
Mas a decisão de poupar por se só não é suficiente. Deve haver
alguma instituição que opere mecanismo através dos quais a poupança possa
ser coletada e canalizada para os investimentos produtivos.
A mais importante das instituições que se desenvolveram para
desempenhar o papel de intermediação entre os poupadores e os investidores
foi o banco comercial.
A posição preeminente dos bancos nos sistemas financeiros das
economias de mercado baseia-se na sua capacidade exclusiva de emitir
depósitos à vista, sacáveis por cheques, ordens de pagamento ou por cartões
de crédito ou débito. A liquidez, a aceitabilidade e a transferibilidade dos
depósitos à vista são as prosperidades que levam os poupadores a confiar
seus recursos aos bancos.
Em síntese, sem um sistema bancário efetivo para coletar e aplicar as
poupanças de uma sociedade haveria poucas chances para que uma
economia conseguisse mobilizar os recursos necessários para o seu
desenvolvimento.
A disposição dos poupadores de confiar seus recursos a um banco
pressupõe que tais poupadores tenham absoluta confiança na integralidade
financeira da instituição. Se essa confiança é colocada em cheque, a
capacidade de uma sociedade de mobilizar e investir produtivamente a sua
poupança fica severamente restringida ou mesmo impossibilitada e uma das
principais alavancas do desenvolvimento econômico e do progresso social, que
9é a intermediação bancária, entrará em colapso. Assim, os bancos têm um
único ativo que realmente conta: a confiança do público, da qual depende a sua
imagem, a sua reputação e, é claro, a sua continuidade operacional.
A chave para a manutenção da integridade financeira de um banco e da
preservação da sua confiabilidade e fé pública, é a garantia de que todas as
operações, tais como as de crédito, as de investimentos e as de custódia e
aplicação de recursos de terceiros, sejam conduzidas dentro de padrões
elevados de análise, gestão e controle dos riscos.
Os bancos precisam aplicar os seus recursos em ativos produtivos para
obter a rentabilidade demandada pelos seus acionistas. Mas podem ter
repercussões sociais negativas muito fortes, se os riscos que cercam tais
operações não forem adequadamente reconhecidos e controlados.
Felizmente hoje são bem conhecidos os meios para que sejam evitadas
as falências e seja preservada a estabilidade financeira de uma economia, com
um “grau razoável de garantia”. Tais meios são: uma supervisão oficial
abrangente, criteriosa e rigorosa dos bancos e de suas operações e uma
administração consciente, competente e efetiva em cada banco.
Na verdade, o papel dos supervisores oficiais é indispensável e não
pode ser substituído por qualquer outro mecanismo, porque só eles,
exclusivamente, é que: possuem uma visão geral dos riscos do sistema
financeiro como um todo; têm a neutralidade necessária para solicitar
informações, acompanhar e avaliar as exposições de riscos de cada banco e
verificar a qualidade de seus sistemas de informação e de seus controles
internos; estão na posição de poder observar as grandes tendências
apresentadas pelas operações das organizações bancárias, no Brasil e no
mundo; podem exigir compliance em relação às leis e regulamentos do setor;
podem exigir que sejam tomadas prontamente as ações necessárias para
sanear problemas financeiros ou de má gestão particularmente quando esses
problemas ainda não são conhecidos pelo mercado.
Como foi dito, não é possível dispensar o papel desempenhado pela
supervisão bancária na manutenção da estabilidade de um sistema financeiro.
Mas são os próprios supervisores oficiais que dizem que o seu papel num
10sistema financeiro é suplementar e subsidiário, já que “o papel principal é e
sempre será desempenhado pela administração de cada instituição bancária,
pois só uma administração de alto nível em cada banco garante efetivamente a
solidez do sistema como um todo ”(Paul Volcker, apud Martin, Nilton Cano,
2004, p.7).
São três os elementos de uma administração bancária de alto nível: uma
governança atuante; um sistema válido de gestão de riscos e um sistema de
controles internos completo, abrangente e rigoroso.
Para que um banco conduza suas operações de forma criteriosa,
prudente e produtiva, a responsabilidade principal é da sua Governança, que é
uma atribuição de seu Conselho de Administração em estrita interação com
sua Diretoria Executiva. Deve haver uma Governança Corporativa atuante no
banco e, para que os riscos desse banco sejam minimizados, ela deve zelar
pela instalação de um sistema efetivo de análise de riscos e um sistema de
controles internos. De fato, os controles internos sempre foram importantes
para o desenvolvimento e a continuidade operacional de um banco forte,
rentável e de boa imagem, já que só eles podem assegurar, “de forma
razoável”, que o banco: tenha os seus ativos ou os seus clientes em segurança
e aplicados de forma correta; conduza suas operações com eficiência e
eficácia; cumpra as normas, políticas, leis e regulamentos e pratique princípios
éticos e de boa conduta.
Com tais objetivos, é claro que a imagem, a confiabilidade e o sucesso
de qualquer organização bancária vão estar estreitamente ligados a eficácia do
seu aparato de controle interno. E isso nunca foi tão verdadeiro que nos dias
atuais, já que, conforme as palavras do Presidente do Singapore National
Bank, um dos maiores da Ásia, em 12/04/2005:” À medida que as atividades
dos bancos se tornam cada vez mais competitivas, diversificadas e complexas,
mais importantes se tornam os controles internos para fazer com que os
bancos se focalizem e alcancem seus objetivos através de operações sólidas e
rentáveis "(William J.McDonough, apud Martin, Nilton Cano, 2004, p.9).
É essencial que sejam destinados aos órgãos de controles internos
recursos, pessoas e, a valorização profissional que a sua importância exige.
11
CAPÍTULO 1
OBJETIVOS E CONTROLES INTERNOS DE UM BANCO
1. Objetivos das Organizações Bancárias
O banco é uma empresa que atua na intermediação financeira entre
poupadores e investidores. Entre as instituições financeiras, o banco comercial
ou simplesmente banco caracteriza-se por ser a mais importante porque é
capaz de captar recursos financeiros emitindo depósitos à vista, um título que
tem uma elevadíssima liquidez, podendo ser transferido ou movimentado
através de uma série de mecanismos, tais como cheques, transferências
eletrônicas, cartões de débito ou crédito, etc. Quase a totalidade dos
pagamentos/recebimentos, numa economia de mercado, é baseada nos
depósitos à vista: daí a importância dos bancos.
Neste trabalho, o termo Banco aplica-se tanto a uma entidade isolada
como a um grupo de bancos (um conglomerado bancário). Para Martin (2004, p.12) O controle interno é um processo cuja
finalidade é assegurar, num grau razoável, que um banco atinja o sucesso
empresarial, alcançando os seguintes objetivos:
a) Eficiência e eficácia das suas operações;
b) Manutenção e conservação do seu patrimônio em bom estado de
capacidade produtiva inclusive mantendo os seus ativos
financeiros em bom estado de liquidez;
c) Cumprimento das leis, normas e regulamentos, principalmente os
emanados das autoridades bancárias;
d) Cumprimento das diretrizes, normas e regulamentos internos,
especialmente os que se referem a estratégia, políticas,
procedimentos, produtos e limites de risco;
e) Confiabilidade e precisão de suas demonstrações financeiras
12
2 . O conceito de controle interno
O Comitê de Procedimentos de Auditoria do Instituto Americano de
Contadores Públicos Certificados afirma que o significado de Controle
Interno é bem amplo:
“O controle interno compreende o plano de organização e de todos os
métodos e medidas adotadas na empresa para salvaguardar seus ativos,
verificar a exatidão e fidelidade dos dados contábeis, desenvolver a
eficiência nas operações e estimular o seguimento das políticas
administrativas prescritas.” Attie, (1984, p.61).
Ainda de acordo com Attie (1984, p.64) o conceito de controle interno
pode ser traduzido como sendo “o conjunto de políticas operacionais,
procedimentos e definições na estrutura organizacional, operado por pessoal
capacitado, que visam salvaguardar os ativos da empresa, assegurar que as
informações contábeis sejam fidedignas e estimular a eficiência nas
operações”.
Segundo Almeida (2007, p.63) em sua definição “O controle interno
representa em uma organização o conjunto de procedimentos, métodos ou
rotinas com o objetivo de proteger os ativos, produzir dados contábeis
confiáveis e ajudar a administração na condução ordenada dos negócios da
empresa”.
Para Martin (2004, p.12,13,14), os pontos chaves dessa definição são as
seguintes:
a) o controle interno é um processo
b) o controle interno é uma atribuição de todas as pessoas, de todos
os níveis e de todos os órgãos ou unidades de um banco
c) o controle interno é fundamental para que o banco atinja seus
objetivos. Os objetivos de um banco são fixados para atender às
exigências de seus participantes relevantes (stakeholders), isto é,
os que são importantes para que o banco seja uma empresa
rentável, de alta qualidade de serviços de elevado nível de
responsabilidade social e que, a partir desses fundamentos venha
13a se desenvolver a longo prazo. Os participantes do banco são
os seus clientes, acionistas, funcionários, fornecedores,
autoridades monetárias e a comunidade em geral e o banco deve
fixar objetivos para atender cada um deles.O controle interno é
um dos processos básicos de gestão e é realizado para que todos
os demais processos, atividades, operações e transações
permaneçam sempre focalizadas nos objetivos. Evita, dessa
forma, que haja desvios em relação a esse foco, os quais, quando
detectados devem ser prontamente corrigidos.
d) O controle interno reduz os riscos de perdas e procura manter os
ativos de um banco num patamar apropriado de capacidade
produtiva e de liquidez
e) O controle interno deve cuidar para que as demonstrações
financeiras do banco sejam confiáveis e preparadas em
conformidade com as normas contábeis, geralmente aceitas, ou
seja, todas as transações bancárias devem ser registradas e
todos os registros contábeis das transações devem ser reais,
adequadamente valorizados e classificados, assim como
corretamente consolidados e publicados . No Brasil, os bancos
são organizados obrigatoriamente na forma de sociedades
anônimas e os mais importantes do país são também empresas
de capital aberto, isto é, empresas que têm seus títulos
negociados no mercado financeiro. Como sociedades anônimas
de capital aberto, as demonstrações financeiras são fundamentais
para os que adquirem título emitidos pelos bancos, que podem
ser de crédito (certificados de depósitos à vista ou a prazo, por
exemplo), ou de participação (ações, por exemplo). É através das
demonstrações financeiras que os investidores em particular os
acionistas minoritários, podem julgar a rentabilidade, a liquidez e
o risco de seus investimentos nos bancos.
f) Cumprir as leis e regulamentos externos e internos é uma
obrigação de qualquer empresa. Os bancos são, de longe, as
14empresas brasileiras mais fiscalizadas pelas autoridades, entre
elas as monetárias, tributárias, trabalhistas, previdenciárias, etc.
O cumprimento das leis e normas emitidas por tais autoridades
deve ser, pois, uma atribuição fundamental de qualquer banco. O
controle interno deve verificar se os seus executivos
encarregados desses pagamentos/recolhimentos possuem
critérios e métodos seguros de agendamento e cumprimento
dessas obrigações. Essa é a chamada função de compliance
externo dos gestores de um banco. A função de compliance
também tem a sua face interior, já que os executivos de todos os
níveis devem acatar e cumprir as políticas, normas e
regulamentos emitidas pelas autoridades internas do banco, em
especial os que têm origem no Conselho (o board) e em sua Alta
Administração (o Presidente e sua equipe de Diretores Executivos
), que constituem as autoridades máximas dentro da estrutura
organizacional de uma sociedade anônima brasileira.
• controle interno deve proporcionar uma garantia razoável –
embora nunca absoluta – de que o banco terá sucesso no
alcance de seus objetivos. Muitas são as possíveis causas pelas
quais um banco, mesmo com um controle interno de excelente
qualidade, não possa ter uma garantia total de que todos os seus
objetivos serão cumpridos. A principal delas é a ocorrência de
eventos não previstos, que podem ser externos (como, por
exemplo, mudanças súbitas na política econômica ou a criação
de um novo tributo ) ou internos (como, por exemplo, falhas nos
sistemas de computação; fraudes conduzidas por colusão entre
funcionários; erros de julgamento, entendimento imperfeito das
instruções normativas, etc. ). Uma limitação muito comum diz
respeito ao quadro de funcionários. Restrições, nesse quadro,
podem impedir uma perfeita segregação de tarefas, que é
considerada fundamental para impedir fraudes.
15 O conceito de garantia razoável reconhece que o custo da estrutura de
controle de um banco não pode exceder os benefícios esperados com a sua
implantação. A relação custo/benefício é o critério básico para o planejamento
de uma estrutura de controle, mas levantar os elementos para fazer essa
avaliação não é um processo simples e objetivo. O julgamento ainda é
fundamental, sendo, pois, vulnerável a erros. Não são poucos os casos de
fraudes bancárias que foram facilitadas por restrições impostas aos controles
internos.
3. Objetivos Gerais, Objetivos Segmentados e Governança
Corporativa
Os controles internos são fundamentais para que uma empresa bancária
atinja os seus objetivos. Para que eles tenham sentido prático, os objetivos do
banco devem ser segmentados, desdobrados ou decompostos em objetivos
coerentes e harmônicos para cada área de negócios, cada linha de produto,
cada departamento, cada tarefa e até mesmo cada funcionário. É através do
cumprimento dos objetivos em cada unidade, em cada segmento de suas
operações, que as pessoas que lá trabalham, em todos os níveis, colaboram
entre si e adicionam os resultados de seus esforços para que o banco alcance
seus objetivos.
Assim, o Conselho de Administração (o Board) é a autoridade maior da
Governança Corporativa que, em última instância, representando os acionistas,
tem o poder de controle não só para fixar os objetivos do banco, como,
também, para assegurar o seu cumprimento, impondo o aparato de controle
interno aos gestores de todos os níveis, que são os responsáveis pelas
diferentes unidades operacionais. Desse modo, verifica-se que numa
organização bancária há três esferas totalmente distintas de atuação, que, pela
lógica organizacional, devem ser segregadas em três tipos de órgãos com
atuação e natureza totalmente diferentes:
a) Governança Corporativa: conduzida principalmente pelo Conselho de
Administração. É encarregada de fixar a missão, os objetivos e as metas de um
banco, mas não tem o poder executivo de aplicar recursos diretamente.
16 b) Dirigentes e Executivos: por delegação e autorização do Conselho, são os
encarregados de elaborar as estratégias e efetivar, em todos os níveis, as
operações e os negócios bancários que mobilizam e aplicam recursos. São os
diretamente encarregados de fazer com que o banco atinja seus objetivos.
c) Controles Internos: também por delegação e autorização do Conselho, são
os encarregados do processo de controle interno, isto é, de implantar e manter
os controles necessários para que haja a citada garantia razoável de que os
executivos irão cumprir os objetivos do banco e que serão evitados ao máximo
os desvios e perdas de ativos, que podem ocorrer por imprevisão,
incompetência ou má-fé.
Na figura 1, estão representadas as três áreas básicas de uma
estrutura organizacional bancária, que, no seu conjunto, existem para fazer
com que os objetivos sejam atingidos.
FIGURA1: Segregação de Funções na Estrutura Organizacional
FONTE: Apostila FIPECAFI, p.17
• O órgão fundamental da governança corporativa: O Conselho de
Administração, que numa sociedade anônima representa os interesses
17dos acionistas e é diretamente subordinado à assembléia dos
acionistas.
• Os órgãos gestores de negócios e das atividades de suporte são
subordinados à governança. Entre os órgãos bancários de gestão
estão, por exemplo, os diferentes órgãos que realizam operações de
crédito e os que operam com títulos no mercado, para o próprio banco
ou em nome de terceiros. Entre os órgãos de suporte de um banco
estão, por exemplo, o departamento de recursos humanos, a
tesouraria, etc.
• Os órgãos de controle interno, que, idealmente, também deveriam
se subordinar à governança corporativa e ser independentes dos
executivos. Entre eles estão, por exemplo, a
controladoria/contabilidade, a auditoria interna, o controle interno de
risco, o controle de compliance, etc.
4. Estrutura Organizacional do Sistema de Controle Interno
A estrutura organizacional desempenha um papel muito importante na
construção de um sistema efetivo de controle interno. A base da estrutura
organizacional que facilita a efetividade do controle interno está na segregação
de tarefas, discutida anteriormente. As unidades de controle, embora
interagindo de forma estreita e colaborativa com as áreas de recursos e riscos,
não podem ficar hierarquicamente subordinadas aos executivos. Os órgãos de
controle interno não podem ficar sujeitos aos responsáveis pelas operações de
créditos, tesouraria, administração financeira, recursos humanos, TI, marketing,
etc., cujas atividades eles controlam e auditam. Esse principio é fundamental e
deveria ser aplicado nos bancos em todos os níveis de sua estrutura
organizacional, especialmente nas estruturas descentralizadas tais como as
Regionais. Em todos os casos em que a segregação não for possível, o banco
deve considerar que tais casos são pontos relevantes de concentração de
riscos e deve ser implantado algum mecanismo de revisão periódica
independente das operações desses pontos para assegurar que todas as
normas de políticas e procedimentos do banco estejam sendo seguidas.
18 Outro tema importante da estruturação organizacional dos controles
internos diz respeito à sua descentralização em diversas unidades autônomas
ou à sua unificação sob um único comando. A razão básica da autonomia
fundamental na sua possível vocação diferenciada. Os Auditores Internos, por
exemplo, alegam que a auditoria não pode se confundir com o trabalho de
qualquer outra unidade e também ressaltam a necessidade de uma
segregação total de sua unidade para lhe dar total independência de opinião.
A Controladoria alega sua total diferenciação em relação aos agentes de
controles internos e compliance, e assim por diante.
A razão básica para a centralização, por outro lado, diz respeito à
necessidade de que controles internos possam proporcionar o que é mais
desejável numa organização complexa: uma visão harmônica e unificada do
banco como um todo. Essa visão é fundamental para que a governança
corporativa possa se exercer sobre o conjunto dos objetivos e riscos de um
banco, muito acima da visão específica, especializada e fragmentada que é
própria dos gestores das áreas de negócios, dos órgãos de suporte ou mesmo
de cada banco de um conglomerado bancário. Há consideráveis argumentos
favoráveis a essa orientação principalmente nos bancos nos quais existe uma
corporativa atuante.
Tanto o tema da segregação, como o tema unificação dos controles
internos são extremamente controversos e cada banco acaba por seguir a sua
própria orientação e vocação, já que não há uma recomendação oficial sobre a
melhor forma de estruturar os controles internos.
5. Riscos: gestão e controles internos
Já se disse que todas as empresas, os bancos em particular, trabalham
num ambiente de riscos. Riscos são eventos que podem ter um impacto
negativo no cumprimento dos objetivos de uma empresa e são inerentes a
qualquer atividade humana que aplica recursos, cujos resultados acabam se
realizando no futuro. Esse, pela própria natureza, sempre é incerto. Assim, é
imperativo que, no processo de controle interno, os riscos significativos que
podem afetar negativamente o alcance dos objetivos de um banco sejam
19levantados, reconhecidos e continuamente avaliados. A avaliação do risco de
um determinado evento é feita a partir de estimativas: de seu impacto potencial
(que corresponde a perdas patrimoniais ou de resultados que poderiam ser
causados pelo evento) e da probabilidade de sua ocorrência (que corresponde
a uma medida da possibilidade de que o evento aconteça). No setor bancário,
os riscos mais relevantes são os riscos sistêmicos ou estratégicos, os riscos de
crédito, os riscos de mercado, os riscos de liquidez, os riscos operacionais, os
riscos legais e os riscos de imagem ou reputacional.
Em função das mudanças ambientais e de constantes inovações nos seus
instrumentos de captação e aplicação dos recursos, os riscos bancários são
muito dinâmicos e estão em constante mutação. Dessa forma, os controles
internos precisam ser constantemente revisados para fazer face à novos riscos
ou riscos anteriormente não detectados. Espera-se que os executivos
gestores dos recursos do banco também saibam administrar os riscos
inerentes às suas atividades, escolhendo as decisões mais cabíveis e
adequadas entre as alternativas existentes1.
Para nortear os gestores de recursos e riscos, bem como os controles
internos, a governança corporativa de um banco, em nome de seus acionistas,
deve determinar, da forma mais clara possível, o grau de aceitação de riscos
com que o banco como um todo, como também nas suas diferentes áreas do
front - Office e do back- Office. O nível de aceitação de riscos implica na
fixação de diretrizes e limites máximos para a realização de certas operações
ou para formação de estoques de determinados títulos.
Ao controle interno cabe verificar se a gestão de riscos está sendo
executada de forma eficaz e eficiente e verificar se o grau de aceitação de
riscos fixado para o banco está sendo cumprido, não só nas diferentes áreas
de sua atuação (ou linhas de produtos), mas também em termos agregados ou
combinados no banco como um todo.
Como se verá adiante, os riscos inerentes ás atividades bancárias levaram
a adoção, através do Basiléia I, da exigência legal de um capital mínimo para
1 Os gestores de riscos adotam as seguintes grandes alternativas para a sua gestão:evitar,transferir,neutralizar ou reduzir ou
mitigar
20cobrir perdas eventuais, não esperadas, que poderiam colocar em risco a
continuidade de um banco. Através do Basiléia II, reconheceu-se que métodos
melhores de administrar e controlar os riscos de um banco deve reduzir a
exigência de capital mínimo. Assim pode-se dizer que métodos mais
avançados de efetuar a gestão e o controle interno dos riscos bancários, além,
de minimizar as surpresas e as perdas operacionais, também terão uma
conseqüência econômica importante com a redução do capital mínimo
obrigatório.
6. As categorias dos controles
Há muitas formas de classificar os controles internos. Pode-se classificá-
los, por exemplo, em abrangentes ou restritos, em manuais ou automáticos,
em preventivos ou detectores, etc. Nesta parte deste trabalho, será adotada
para efeito de ilustração uma classificação que envolve o tipo particular de
objetivo que deve ser cumprido. Segundo esse critério, os controles internos
podem ser classificados em: controles de custódia, controle de desempenho,
controle de compliance e controles da qualidade da informação.
6.1 Controles internos de custódia: Os executivos de qualquer área da
organização bancária recebem por delegação do Conselho, autoridade para
a gestão de uma parte dos recursos internos do banco, que ficam então,
sob sua responsabilidade. Os controles internos de custódia procuram
verificar se os recursos que se encontram em qualquer área:
a) Estão sendo geridos pela pessoa autorizada a fazê-lo;
b) Estão sendo geridos em conformidade com as normas internas
que estabeleceram os procedimentos adequados para fazer tal
gestão;
c) Estão sendo adequadamente conservados e mantidos num nível
de capacidade produtiva apropriada;
d) Estão sendo aplicados em conformidade com a finalidade de sua
designação;
21e) Estão a salvo de desvios de recursos, fraudes e de outros riscos
que envolvam a sua mobilização e manipulação;
f) Estão sendo geridos com uma consciência dos custos dos
recursos empregados e da relação custo/benefício;
E, a partir das constatações acima:
- Reportar aos executivos responsáveis, bem como ao conselho,
todas as falhas, erros e omissões verificadas em relação ao objetivo de
custódia, assim como o constituir um follow-up da implantação das medidas
corretivas que eventualmente sejam necessárias.
Os controles internos de custódia abrangem principalmente os riscos
operacionais, mas também se encontram em sua órbita os riscos de créditos
e de mercado.
6.2. Controle interno de compliance: Os bancos são as empresas
brasileiras mais regulamentadas e fiscalizadas oficialmente. Esse fato
originou um risco relevante para as instituições bancárias: o risco de
compliance, que é o “ risco de sanções legais ou regulatórias, de perda
financeira ou perda de reputação, que um banco pode sofrer como
resultado de falhas no cumprimento da aplicação das leis, regulamentos e
práticas bancárias recomendadas”.2
Para conter o risco de compliance, os controles procuram verificar:
a) Todo conjunto de leis, regulamentos, normas e outros dispositivos
legais que envolvem os bancos, especialmente os que emanam das
autoridades bancárias, tais como as resoluções e circulares do Banco
Central;
b) Qual é a forma mais adequada de entender e cumprir cada dispositivo
legal, o que é obtido junto ao departamento legal do banco;
c) Quais são as áreas executivas do banco que tem sob sua
responsabilidade direta de cada um dos dispositivos legais que alcançam o
banco;
2 BIS- Bank of International settlements, Compliance and the Compliance Function in Banks, basiléia, abril/2005.
22d) Se está havendo um adequado entendimento dos dispositivos legais nas
áreas encarregadas de cumpri-los;
e) Se está havendo um adequado cumprimento dos dispositivos legais nas
áreas encarregadas de cumpri-los, especialmente as normas mais
relevantes para a atividade bancária, tais como as normas do Banco
Central, a legislação contra a “ lavagem de dinheiro “ e as leis referentes
aos direitos dos consumidores;
f) Se todos os comprovantes e atestados de cumprimento dos diferentes
tipos de dispositivos legais estão sendo corretamente registrados e
arquivados.
E, a partir das recomendações acima:
-Reportar aos executivos responsáveis, bem como ao aconselho, todas as
falhas, erros e omissões verificadas no cumprimento do objetivo de compliance
e preparar um follow- up da implantação das medidas corretivas que
eventualmente forem necessárias.
O compliance tem, também, uma face interna, já que, nos bancos,
especialmente os grandes, quase todas as políticas e procedimentos se
encontram normatizadas. E essa normatização é tão ampla e abrangente que o
controle interno acaba por se confundir com o próprio controle de compliance.
6.3. Controle interno do desempenho. Os recursos internos que foram
designados para cada gestor do banco, não lhes foram passados
exclusivamente para ser conservados. Eles devem ser aplicados de forma
eficiente e eficaz, ou seja, deve ser aplicado em cada área do front-office ou
do back-office de forma a gerar os objetivos e metas desejadas pelo banco.
Cabe aos controles de desempenho, por exemplo:
a) Verificar se os objetivos e metas estipulados para o banco como um todo
foram adequadamente desagregados em objetivos e metas válidos para
cada unidade organizacional (Diretorias, Divisões, Departamentos, Etc.).
Aqui a noção de validade significa responder à seguinte questão: se cada
unidade organizacional cumprir os seus objetivos e metas específicos, a
agregação da performance de todas as unidades fará com que o banco
como um todo consiga atingir seus objetivos e metas?
23b) Verificar se há normas específicas estipulando os objetivos e metas
para cada unidade organizacional, envolvendo os resultados esperados. As
unidades de negócios ou de front-office, que financeiramente são centros
de lucro, devem ter objetivos e metas definidos em termos de receitas e
custos, ao passo que as áreas de back-office, que financeiramente são
centro de custos, devem ter objetivos e metas fixados em termos de suas
atividades e de seus custos.
c) Verificar se os responsáveis pela gestão de cada unidade estão
entendendo exatamente os seus objetivos e metas específicos.
d) Verificar se foram criados sistemas de análise de desempenho válidos
que corretamente possam avaliar a performance competitiva do banco
como um todo e das suas diferentes unidades organizacionais, não só
em termos da realização de custos e lucros, mas também em termos
dos riscos assumidos para obtenção dos resultados.
e) Verificar se há um benchmarking apropriado para julgar o desempenho
do banco, não só em termos do seu padrão histórico, mas também de
seus concorrentes, já que o desempenho do banco deve ser
competitivo para satisfazer os seus acionistas, clientes e demais
participantes relevantes.
f) Verificar se o banco possui sistemas de apoio decisorial, tal como a
análise de cenários e a simulação de resultados segundo tais cenários.
g) Verificar se o banco possui um orçamento apropriado dos resultados
esperados que fixe metas orçamentárias não só para o banco como um
todo, mas que seja abrangente e determine metas orçamentárias para
todas as suas áreas ou linhas de negócio e para todas as suas
unidades organizacionais.
h) Verificar se a performance esperada em termos de eficácia e eficiência
das suas operações, das metas orçamentárias e dos limites de risco
estão sendo cumpridos em cada unidade organizacional e no banco
como um todo.
E, a partir das constatações acima:
24 -Reportar aos executivos responsáveis, bem como ao Conselho, todas as
falhas, erros e omissões verificados no cumprimento dos objetivos de
desempenho, assim como constituir um follow-up da implantação das medidas
corretivas que eventualmente sejam necessárias.
Os controles internos de desempenho são vitais para um banco, pois sem
eles a Governança Corporativa e os executivos jamais poderiam saber se sua
atuação esta levando o banco aos seus objetivos3, dentro de limites de risco
aceitáveis. Só o cumprimento dos objetivos, dentro de uma circunscrição
aceitável de riscos, pode assegurar a continuidade do banco “ com um grau
razoável “ de garantia.
6.4. Controle interno da qualidade da informação. A informação é a
matéria – prima das decisões. É vital, pois, que as informações que são
criadas, registradas e circuladas dentro de um banco e fora dele4 sejam
criteriosas, relevantes, precisas, reais, tempestivas e comunicadas com
regularidade, consistência e facilidade de uso para os tomadores de
decisão. Assim o processo de controle interno deve zelar para que haja
sistemas de informação que sejam, ao mesmo tempo, confiáveis e
abrangentes, de modo a cobrir todas as atividades significativas do banco.
Além disso, tais sistemas de informação, especialmente os que usam dados
na forma eletrônica e que são imprescindíveis nos bancos modernos,
devem ser monitorados de forma independente – empregando, inclusive,
especialistas e consultores externos, quando necessário – e devem se
demonstrar capazes e seguros, em termos de manutenção de sua
operacionalidade mesmo em situação de emergência.
Os controles internos da qualidade da informação devem, em primeiro
lugar, verificar e atestar a qualidade da informação externa5, principalmente
das demonstrações contábeis publicadas. Assim, os controles internos devem:
3 Principalmente o de eficácia e eficiência, do qual depende diretamente o retorno dos investimentos de seus acionistas 4 Para uso, por exemplo, pelas autoridades governamentais e pelos investidores. 5 A qualidade da informação interna é, em ultima instância uma responsabilidade do Conselho de administração e da Diretoria. Todavia, para apoiar a governança corporativa, cabe ao controle interno verificar e atestar a sua autenticidade e validade.
25a) Identificar toda a legislação aplicável à confecção e publicação das
demonstrações financeiras e a outras informações externas que devem
ser providas pelos bancos.
b) Identificar os princípios contábeis geralmente aceitos aplicáveis à
confecção das demonstrações financeiras.6
c) Identificar os processos internos que produzem informações para a
contabilidade e para os órgãos que devem prover as informações
externas, bem como o teor, a periodicidade e a mídia das informações
que deve suprir.
d) Verificar se a contabilização de todos os produtos negociados pelo
banco, bem como todas as suas transações estão sendo feitas dentro
das normas legais e de acordo com os princípios contábeis geralmente
aceitos e as normas legais referentes ao sigilo que cerca as informações
sobre negócios feitos com os clientes.
e) Identificar os riscos aos quais a contabilização e o suprimento de outras
informações externas estão expostas, incluindo os riscos de
interpretação das normas, concluindo pelas suas vulnerabilidades a
falhas, erros e omissões relevantes.
f) Atestar a qualidade das demonstrações contábeis e das outras
informações reportadas externamente pelos bancos, bem como as
possíveis falhas, erros e omissões existentes.
E, tendo feito as constatações acima:
-Reportar aos executivos responsáveis pela contabilização e pela confecção
das demais informações externas, bem como ao Conselho, todas as falhas,
erros e omissões verificadas em relação à preparação e publicação das
demonstrações contábeis, assim como constituir um follow-up da implantação
das medidas corretivas que eventualmente sejam necessárias.
Além das informações externas, a qualidade e a segurança das
informações utilizadas dentro do banco também devem ser uma preocupação
dos controles internos. A informação é a matéria-prima das decisões e é das
6 Determinados bancos, que tem títulos (ações, bonds ou ADR) negociados no mercado americano,ficam sujeitos ás normas especificas de confecções das demonstrações contábeis segundo a legislação americanas, inclusive a Lei Sarbanes-Oxley, de 2002.
26decisões que, em última instância são produzidos os resultados e a própria
continuidade no tempo dos bancos. A informação interna não pode ser
contaminada por “ jogos “ de poder ou de afirmação de status, que tenham por
finalidade omitir ou restringir seu uso, bem como não pode ser circulada para
indivíduos, de dentro ou de fora da organização, que poderiam fazer dela um
uso abusivo.
Ao controle interno cabe, então:
a) Identificar cada área e cada unidade da organização como um “
fornecedor “ e um “ receptor “ ou “ cliente “ de informações.
b) Identificar a importância e os atributos de qualidade das informações
recebidas por uma unidade organizacional para que ela possa realizar
as suas decisões específicas e alcançar os seus resultados esperados.
c) Verificar quais são os riscos que cercam o fluxo e a qualidade da
informação recebida e fornecida em cada unidade organizacional.
d) Verificar e examinar o histórico e a procedência das reclamações sobre
a qualidade de tal fluxo. Investigar as causas controláveis e
incontroláveis das falhas, erros e omissões que causaram a perda de
qualidade da informação.
e) Verificar a “cadeia de riscos “ que pode ser causada por um defeito de
qualidade da informação, ou seja, como uma informação imprecisa,
falha ou não completa recebida por uma área pode levar a uma
conseqüência viciada de informações e decisões em outras áreas,
podendo repercutir, inclusive, no desempenho das respectivas unidades
organizacionais envolvidas e no próprio banco.
E, tendo feito as constatações acima:
- Reportar aos executivos responsáveis pela contabilização e pelas
demais informações externas, bem como ao Conselho, todas as falhas, erros e
omissões verificados em relação à preparação e publicação das
demonstrações contábeis, assim como constituir um follow-up da implantação
das medidas corretivas que eventualmente sejam necessárias.
Nas últimas décadas, os bancos ficaram cada vez mais dependentes de
seus sistemas eletrônicos de processamento, registro e comunicação de
27informações. Nos dias atuais, seria impossível trabalhar com todos os bilhões
de detalhes que cercam as transações bancárias sem o suporte de tecnologia
da informação (TI ). E não se trata apenas das operações de back –office.
Estão hoje totalmente automatizadas algumas importantes operações das
áreas de negócios ( como, por exemplo, a comercialização de títulos
governamentais ) ou mesmo da gestão de riscos ( como, por exemplo, o credit
scoring ). Essa realidade permitiu aos bancos avanços na área de
comunicação e conectividade, que lhes permitiram estender a sua área de
atuação para dimensões continentais ou mesmo universais. Tornou-os,
entretanto, extremamente expostos aos riscos inerentes que cercam a TI, os
quais podem afetar de forma relevante a sua capacidade operacional ou
mesmo a sua condição financeira. Assim, até com mais ênfase do que
qualquer outra área da organização, os riscos de TI devem ser geridos pelos
seus executivos, mas sempre com uma estreita avaliação e acompanhamento
do controle interno.
Quatro fatores exacerbam a importância da gestão e dos controles
internos da TI num banco: primeiro, todas as áreas são hoje totalmente
dependentes dela, logo a capacidade de um banco operar e fazer resultados
tem na TI uma área de suporte vital; segundo, a TI, especialmente a bancária,
tem apresentado uma natureza de rápida evolução
e inovação; terceiro, a complexidade das soluções de TI tem levado uma
grande parte dos bancos a operar com uma arquitetura descentralizada e muito
diversificada de hardware e software, o que obriga um esforço imenso de
conversão e consistência, quando a informação transita de uma parte do
sistema para outra; quarto, a tecnologia envolvida na TI, dada a sua natureza
altamente técnica e de certa complexidade, pode se tornar uma “ caixa preta “
só acessível a especialistas, o que pode dificultar uma visão de conjunto de
sua solidez e a análise do seu desempenho.
Em relação á TI, o controle interno:
• Deve verificar quais as áreas do banco são efetivamente as
responsáveis pela TI dentro de um banco e o teor dessas
responsabilidades.
28• Deve verificar a natureza da arquitetura de TI utilizada pelo banco (
centralizada ou descentralizada, os produtos e transações
submetidas a um processamento ou solução central e os
produtos/transações que utilizam soluções particulares, a origem
dos softwares utilizados e o seu grau de “propriedade exclusiva “, a
natureza e os custos dos contratos de manutenção de software e
hardware empregados pelo banco, Etc. )
• Deve verificar os processos de administração utilizados na unidade
organizacional responsável pela TI, ou seja, o planejamento, o
investimento, a execução e o quadro de pessoal utilizado
internamente, bem como deve verificar se a estratégia de TI para
o banco ou para as áreas usuárias é consistente com os objetivos
do banco e se a unidade de TI possui processos administrativos
capazes de executar tal estratégia.
• Deve verificar o histórico de falhas, erros e omissões de TI (
problemas de registro e memória, incapacidade de acesso,
transmissão inadequada, conversões errôneas, etc. ), que fizeram
com que o fluxo de informações internas ( e das conseqüentes
decisões ), sofresse problemas de qualidade e verificar o histórico
das soluções encontradas.
• Deve conhecer, revisar e testar a qualidade e a eficiência das
aplicações e as funções de suporte de TI às áreas de front - office
e back-office, bem como o julgamento das áreas usuárias a
respeito dessa qualidade e/ou confiabilidade.
• Deve conhecer o histórico de todas as aquisições de TI, analisando
as justificações técnicas que fundamentaram os investimentos e
verificando se o funcionamento real após a implantação do
hardware ou do software esteve em conformidade com as
propostas da aquisição.
• Deve finalmente, conhecer todos os sistemas de segurança em
uso no banco, testando inclusive, dois dos seus aspectos cruciais:
(a) a capacidade de continuar funcionando após um abalo
29profundo num centro de processamento e (b) sua capacidade de
resistir á invasão de hackers.
7. O Sistema de Controles internos
Esse sistema é constituído pelo conjunto de todos os controles internos
de um banco e, conforme está demonstrado na figura 2, a sua finalidade é
focalizar a organização nos seus objetivos e assegurar, com um grau razoável
de garantia, que os riscos inerentes às operações, atividades e processos
bancários não tenham impacto relevante no cumprimento de tais objetivos.
Figura 2: sistema de controles internos e riscos
bancários
Fonte: Apostila FIPECAFI, pág. 33
Segundo o esquema conceitual da figura 2, enquanto os riscos
ameaçam o cumprimento dos objetivos do banco, os sistemas de controles
internos funcionam como uma verdadeira rede de segurança para que seu
impacto seja minimizado. Cada tipo de controle se faz para cada um dos tipos
de riscos. Assim, por exemplo, o risco de crédito pode ter controles de
custódia, de eficiência e eficácia, de compliance e de qualidade das
informações.
30
CAPITULO 2
OS COMPONENTES DO CONTROLE INTERNO:
UMA VISÃO GERAL
Segundo o COSO ( COMMITTEE OF SPOSORING ORGANIZATIONS ), o
processo de controle interno consiste de cinco componentes inter-
relacionados, que dependem da forma como a Governança deseja que a
organização bancária seja controlada e como os seus executivos principais a
administram. O processo de controle é uma manifestação do poder de controle
sobre o processo de gestão e está integrada a esse último. Os cinco
componentes são os seguintes:
1. Ambiente de Controle. É o Conselho de Administração, em seu
trabalho de Governança Corporativa e como representante dos
acionistas, que estabelece as diretrizes em relação aos riscos,
determinando como os controles devem ser estabelecidos, implantados,
limitados e cumpridos na organização bancária. Nos bancos, que são
organizações compostas de pessoas, o que os controles internos
desejam é influenciar o comportamento dessas pessoas, estabelecendo
um ambiente interno de qualidade, segurança e motivação para que elas
se sintam incentivadas a aplicar em seu trabalho todos os recursos de
que dispõem ( conhecimento, experiência e competências, mas também
valores éticos, integridade e espírito de colaboração ) para que, em
conjunto, façam com que o banco atinja seus objetivos.
Para construir um ambiente de controle favorável, a Governança e a Alta
administração devem iniciar por moldar a cultura interna da organização, que
corresponde aos valores éticos, atitudes e percepções compartilhadas pelas
pessoas, no sentido de que ela tenha característica que promovam a
colaboração, a integração, o aperfeiçoamento e o desenvolvimento. Numa
cultura adequada, o controle interno é entendido como um processo necessário
31e relevante que faz com que o banco focalize a sua gestão de recursos na sua
missão e objetivos e que esses sejam cumpridos dentro dos limites de risco
estipulados pela Governança.
2. Avaliação dos Riscos. O estabelecimento de um sistema de
controles internos efetivo num banco requer que sejam identificados e
continuamente avaliados os riscos que são relevantes e que podem
impedir ou afetar negativamente o cumprimento dos objetivos da
organização.
São os Diretores Executivos do banco e sua equipe de gestores que devem
fazer a gestão dos seus recursos e também dos riscos que cercam as suas
atividades. Entretanto, cabe ao controle interno acompanhar tal gestão de
recursos e riscos para acompanhar a sua eficácia e eficiência ( e outros
objetivos ). Os controles internos por sua vez, devem ser constantemente
revisados e atualizados de modo a abranger quaisquer riscos que não
tenha sido anteriormente identificados ou corretamente avaliados.
3. Atividades de Controle. As atividades de controle devem ser
consideradas como uma parte integral das atividades do dia-a-dia dos
bancos. Um sistema de controles internos efetivo deve se apoiar numa
estrutura organizacional adequada, Na qual as atividades de controle
estão estabelecidas para cada processo de gestão/operação do banco e
para cada nível da hierarquia. O primeiro fundamento do controle interno
é a determinação pelo Conselho de Administração dos objetivos e
metas, das políticas gerais de controle e a fixação dos limites de risco
para o banco como um todo. O segundo fundamento, que é de
responsabilidade da Diretoria Executiva, é o desdobramento ou
decomposição dos objetivos, metas e limites de risco para cada unidade
da organização e para cada gestor de recursos, os quais serão
aplicados no controle da administração da área específica de suas
atividades.
A partir da estruturação de objetivos e responsabilidades efetuados pela
Governança e pelos executivos do banco, cabe aos órgãos de controle: ( a )
verificar o cumprimento dos objetivos da gestão e as respectivas atividades
32de controle para cada processo, departamento ou divisão, bem como a
aderência aos níveis de alçadas para aplicação de recursos e ao sistema de
aprovações ou autorizações estabelecido; ( b ) Realizar controles físicos
sobre os ativos de propriedade do banco bem como a verificação do seu
estado de conservação e liquidez ( no caso dos títulos e valores ); ( c ) fazer
o acompanhamento de compliance em relação às leis, regulamentos e
normas, internas e externas, bem como um follow-up dos casos de non
compliance; ( d ) verificações e reconciliações em todo o sistema de
pagamentos/recebimentos, incluindo os recursos de terceiros administrados
pelo banco.
Para o estabelecimento de um sistema formal de controles internos é
importante destacar o papel da normatização. As normas internas são
importantes porque fixam de forma explícita, objetiva e documental, as
políticas, procedimentos atividades e controles que devem ser aplicados em
cada processo, transação ou contratação efetuada pelo banco.
4. Informação e Comunicação. Um sistema efetivo de administração e
de controle interno de um banco requer a coleta, o registro e a comunicação
de um vasto conjunto de dados financeiros, operacionais e de compliance,
além de dados colhidos externamente, a respeito do mercado, da legislação
e das condições econômicas. Tais dados são absolutamente necessários
para a tomada interna de decisões e também para proceder ao controle de
qualidade dessas decisões. Por outro lado, o controle interno deve verificar,
também, a qualidade da comunicação interna do banco, já que, sem uma
boa comunicação, se perde grande parte do valor da informação. As
comunicações sempre devem ser confiáveis, tempestivas, acessíveis e
consistentes, quer sejam internas, entre as pessoas e os diferentes níveis
da organização, quer sejam externas. Os controles internos devem verificar
especialmente a qualidade das comunicações externas para os
participantes relevantes do banco, os acionistas, os clientes e as
autoridades bancárias.
335. Acompanhamento e Monitoramento. Todo o controle interno deve
ser continuamente acompanhado e monitorado, buscando continuamente
avaliar a sua eficiência e eficácia em relação aos riscos que pretende
impedir ou coibir. Como o mercado financeiro e o ambiente econômico-
social em que os bancos operam são usualmente muito voláteis , o banco
deve estar preparado para realizar revisões, atualizações, ajustes e
correções periódicas de sua forma de controlar internamente os riscos.
Como é obvio, há uma relação direta entre os objetivos e os controles
internos, já que os objetivos representam o que o banco pretende alcançar
e os controles verificam se o banco efetivamente os alcançou. Por outro
lado, os controles internos dependem da forma especial, dos níveis das
atribuições conferidas aos diferentes órgãos da estrutura organizacional do
banco. Essas relações entre os componentes do controle interno com os
objetivos e a estrutura da organização encontram-se abaixo, na Figura 3.
FIGURA 3: Componentes do Controle Interno, Objetivos e Estrutura Organizacional
Fonte: Apostila FIPECAFI, pág. 40
34 Na Figura 4, que é uma versão do chamado CUBO-COSO do controle interno,
são demonstradas as seguintes relações:
- Ao centro, os cinco componentes do controle interno;
- À esquerda, os cinco objetivos básicos de um banco;
-À direita, a estrutura organizacional típica de uma organização
bancária, partindo do banco como um todo.
Relações dos Componentes dos Controles Internos com os
Objetivos e com a Estrutura Organizacional.
O ambiente de controle é a fundação, a base, o pilar do controle interno.
Sem o ambiente de controle, os outros componentes não terão sustentação e
entrarão em colapso como uma casa sem alicerces. Um ambiente de controle
interno efetivo é aquele em que as pessoas são competentes em suas funções;
compreendem as suas responsabilidades e os limites de sua autoridade, são
conscientes e estão dispostas a aprender; têm o compromisso de fazer o que é
certo da forma certa; têm um comportamento ético e integro e, finalmente,
estão dispostas a colaborar e seguir as políticas e procedimentos estabelecidos
na organização. O ambiente de controle é um fator intangível, mas que é
essencial para o funcionamento do sistema de controles internos. Sem as
condições favoráveis mínimas, seria até ocioso determinar os objetivos da
organização bancária, pois ela jamais os alcançaria de modo consistente.
Como a continuidade de um banco tem importância para todo sistema
financeiro, o ambiente de controle interno é de importância não apenas para os
seus mais diretos interessados ( como os acionistas, clientes e funcionários ),
mas para as próprias autoridades bancárias.
Quando um ambiente apropriado de controle está estabelecido, são
fixados os objetivos do banco e é feita a avaliação dos seus riscos. É claro que
os objetivos devem ser estabelecidos em primeiro lugar, já que os riscos,
representam condições, eventos e fatores que podem fazer com que um banco
não possa atingir plenamente os seus objetivos ou o impeçam totalmente de
fazê-lo. Por outro lado, os riscos dependem do especial objetivo que deve ser
atingido com os negócios ou operações do banco.
35 É muito diferente a perspectiva dos riscos do ponto de vista do banco como
um todo ou do ponto de vista de uma das suas unidades organizacionais. Uma
agência bancária, por exemplo, na perseguição das suas metas de
desempenho, pode estar disposta a autorizar operações de empréstimos
consignados, achando-as totalmente válidas para sua unidade. O banco
todavia numa perspectiva mais geral, pode não estar disposto a aprovar tais
operações, porque já estaria muito concentrado em tal produto e não desejaria
ampliar mais os volumes atuais em carteira. Uma visão particular e isolada do
risco, como a da agência pode entra em conflito com a visão mais sistêmica e
geral, do banco como um todo. E isso geralmente acontece. As atividades de
controle, pois, devem conhecer as diferentes perspectivas dos riscos que estão
presentes em cada unidade operacional do banco e verificar se elas estão
consistentes e harmônicas com os seus objetivos e limites de risco como um
todo.
As atividades de controle dependem do especial objetivo que o banco
quer atingir na gestão de recursos. Por exemplo, a natureza e os instrumentos
utilizados para o controle de desempenho são muito diferentes dos que são
utilizados no controle de compliance externo. Para a verificação do seu
desempenho produtivo (eficiência e eficácia de suas operações ) são
geralmente utilizados indicadores econômico-financeiros dos resultados das
áreas de negócios. Já para o controle de compliance os bancos utilizam a
verificação direta da observância das leis através da documentação de registro
do cumprimento da obrigação (do pagamento dos tributos ) da análise do fluxo
documental, das autorizações, etc.
As atividades de controle são também bastante diferenciadas em função
dos níveis da organização bancária onde são praticadas. Os controles
existentes ao nível de uma agência, são muito diferentes dos controles que
são utilizados pela diretoria executiva de varejo, a qual as agências de um
banco são subordinadas. Os controles da agência são mais detalhados, mais
próximos das operações, mais específicos e compreendem um volume menor
de operações, já que, dependendo do tipo de agência sequer mencionam
determinados tipos de operação que não realizam. Os controles utilizados pelo
36Diretor Executivo, por seu lado, usualmente são feitos com grandes
agregações, somando os resultados de um grande número de agências (
agências de uma regional, por exemplo ), e de todas as linhas de negócios
operadas pelo banco. O Diretor só se preocuparia com uma agência em
particular, se ela tivesse uma importância muito grande para o banco como um
todo.
O monitoramento é a contínua verificação da validade e da eficiência de
cada categoria do controle interno e também de todo processo em relação aos
objetivos da organização bancária. Como as atividades de controle são
diferentes, em função de cada objetivo, de cada área e de cada nível da
organização em que é praticado, o monitoramento deve partir de uma perfeita
compreensão do significado de cada objetivo e das atribuições de cada área
em relação a tal objetivo.
A informação é disseminada numa organização através dos canais de
comunicação. Os canais de comunicação devem levar a informação de
controle a todos os níveis da organização para que tal informação possa ser
recebida pelos gestores de recursos, que são as pessoas na organização que
devem utilizar as informações para tomar as decisões e corrigi-las quando
necessário. A informação e a comunicação de controle são componentes que
devem agir para adaptar a gestão às mudanças que podem ocorrer no
ambiente sistêmico em que opera a organização bancária. Essas mudanças
podem ocorrer no sistema financeiro, no sistema tributário, na atuação dos
concorrentes, no lançamento de novos produtos, no surgimento de novas
tecnologias e em miríades de novos fatores que podem ter um impacto na
organização e, como tais, devem ser identificados e avaliados pelo controle
interno. Esse, por sua vez, deve fazer com que a gestão seja informada dessas
mudanças e se ajuste a elas. Deve haver um amplo fluxo de informações entre
os agentes do controle interno e os gestores de recursos. A utilização da
informação de controle dependerá diretamente da capacidade dos canais de
comunicação de suprir a informação aos órgãos e pessoas que delas
necessitarão.
37 Ao controle interno cabe verificar a qualidade das informações e dos canais
de comunicação utilizados na organização bancária, já que, a própria
capacidade de gestão e decisão sobre os recursos pode ficar severamente
limitada ou distorcida se essa qualidade não se verificar. Além disso, num
mundo como o bancário em que é intenso o uso de sistemas eletrônicos de
processamento e comunicação de dados, é fundamental verificar se tais
sistemas estão processando e transmitindo adequadamente a informação
desejada. Tem sido muito grande o número de críticas que tais sistemas vêm
sofrendo, demonstrando que, em muitos sistemas de TI, particularmente no
meio bancário, se privilegiou mais o avanço tecnológico do que a sua real
utilidade e acessibilidade interna gerando uma relação muito baixa de
custo/benefício.
As organizações bancárias particularmente as de capital aberto, têm uma
grande responsabilidade no sentido de preparar e divulgar externamente as
suas demonstrações financeiras. Um grande número de escândalos e desvios
de recursos por parte de administradores inescrupulosos de empresas, no
Brasil e no mundo, foram executados através de fraudes contábeis. Como
resposta a esses escândalos, os legisladores aprovaram leis para salvaguardar
a integridade das demonstrações financeiras. Essas leis determinam requisitos
normativos bastantes estritos e detalhados sobre o procedimento de coleta,
registro, classificação e preparação final das demonstrações financeiras. Como
o Conselho de Administração e o Fiscal do banco, assim como os Diretores
Executivos que assina as demonstrações contábeis têm a responsabilidade de
atestar a sua veracidade e consistência em relação às regras estipuladas para
a sua preparação, o controle interno, especialmente a Auditoria Interna, deve
ter como uma de suas prioridades a verificação de todos os fatores de risco e
vulnerabilidade (material weakeness ) que poderiam levar a uma contabilização
com erros, falhas, omissões ou distorções que poderiam comprometer a sua
legitimidade.
Como as demonstrações financeiras correspondem a um sumário
valorizado de todas as transações realizadas pelo banco num determinado
período, é claro que as atividades que serão controladas não são apenas as
38que são realizadas dentro da Contabilidade, o órgão que faz a contabilização.
Na verdade, todas as operações, transações e contratações realizadas pelo
banco devem ser verificadas para confirmar se todas as transações reais estão
sendo contabilizadas e se toda a contabilização é real, isto é, se está de acordo
com os princípios e procedimentos contábeis geralmente aceitos.
O monitoramento do controle interno não pode esquecer que a finalidade
básica dos controles é a de influenciar o comportamento das pessoas. Isso não
pode ser esquecido e sempre deve ser verificado, porque essa finalidade é
muito mais básica do que qualquer tecnologia. No apêndice 1, discute-se “O
Fator Humano e os Controles: Fatos a Considerar”, que demonstram que a
reação das pessoas aos controles é uma verificação vital, já que a própria
viabilidade deles depende dessa reação.
Nessa seção, em que são apresentados as relações entre os controles
internos, os objetivos e a organização, cabe discutir as diferenças básicas que
existem entre as atividades de controle e as atividades de gestão. As
atividades de controle devem permear toda administração de um banco, já que
o controle é um dos processos básicos de gestão. Entretanto, as
responsabilidades dos agentes de controle e dos executivos são muito
diferentes. Tome-se, por exemplo, uma área de gestão de recursos de um
banco, como o de crédito. Examinar os critérios de concessão de empréstimos,
avaliar a sua eficácia em termos de defaults, os procedimentos adotados em
relação às contratações, a solicitação de garantias reais, etc. são atribuições
dos controles internos. Entretanto, não são atribuições do controle interno
estipular quaisquer critérios, condições e procedimentos, pois essas são
responsabilidades do executivo de crédito, que também é quem deve gerir os
riscos envolvidos em seus negócios. É claro que esse gestor possuirá seus
próprios controles e irá aplicá-los para verificar, em primeira mão, a eficiência e
eficácia de seu trabalho. Mas a organização não poderá se valer, sem maiores
exames, desses controles operados pelo próprio gestor, já que poderiam ser
invalidados por omissões, incapacidades ou por simples má-fé. Assim, uma
pré-condição para controles internos válidos é a sua independência em relação
aos executivos. Se a organização vai utilizar as informações produzidas pelos
39executivos ou gestores de recursos, ela deve atestar antes a sua veracidade,
sua integralidade e sua consistência. Uma boa parte dos escândalos
financeiros que marcaram o mundo empresarial, no final do século anterior,
teve como pecado original a não-segregação de tarefas e a ausência de testes
de validade sobre as informações produzias pelos administradores de recursos
sobre as transações que eles próprios conduziam.
40
CAPITULO 3
Riscos: Identificação e Avaliação
Os bancos estão numa atividade econômica em que os riscos estão
permanentemente presentes. Pode-se mesmo dizer que a essência dos
negócios bancários não é a intermediação financeira, mas a intermediação de
riscos.
No universo bancário, há um grande número de riscos. A maioria deles é
bem conhecida, mas, nas últimas décadas, com a criação de novos produtos
bancários, principalmente os derivativos, os bancos ingressaram numa nova e
muito mais complexa região de atuação, que os obrigou a refinar suas
definições de riscos e criar novas técnicas para geri-los, que evoluíram das
práticas de avaliação meramente qualitativas para as técnicas muito mais
sofisticadas, de natureza quantitativa.
A regulamentação bancária, nacional e internacional, que fez exigências
de capital mínimo para cobrir perdas inesperadas nos negócios, também
contribuiu de forma decisiva para a evolução da gestão e do controle dos
riscos. Pela sua relevância, a gestão de riscos é modernamente uma das mais
importantes áreas da administração dos bancos e abrange todas as unidades
da organização. A fixação da própria missão e dos objetivos de um banco hoje,
são influenciados pela sua particular disposição de assumir riscos. É o que se
representa na Figura 4.
41Figura 4: A Identificação/Avaliação dos Riscos, os Objetivos e a Organização
Bancária
Fonte: Apostila FIPECAFI, pág. 57
É importante distinguir dois papéis muito diferentes no que tange à
administração dos riscos. O primeiro papel é o dos gestores ou executivos, que
captam recursos para o banco e os aplicam nas diferentes operações. Os
gestores, que têm a responsabilidade de aplicar os recursos, têm também a
obrigação de fazer a gestão direta dos riscos inerentes às suas atividades e
essa gestão de riscos percorre quatro etapas: (1) identificação; (2) avaliação;
(3) gestão propriamente dita, eliminando ou reduzindo o impacto dos eventos
de possíveis perdas inerentes às aplicações dos recursos do banco e, (4)
acompanhamento e monitoramento.
Os responsáveis pelo controle interno, também têm interesse direto no
resultado das etapas (1) e (2), mas, como não tem responsabilidade na
aplicação dos recursos, também não têm qualquer ingerência na gestão dos
negócios bancários. Suas atribuições são de natureza bem diferente: Eles
devem verificar (e comunicar) se os responsáveis pela gestão dos riscos estão
fazendo um trabalho adequado, primeiramente, com a redução efetiva das
perdas potenciais, em segundo lugar, com o cumprimento dos limites de riscos
que foram determinados pela Governança Corporativa.
42 É essa diferença de atuação que está representada na Figura 5. Assim, as
suas atribuições em relação ao acompanhamento e monitoramento, feitos na
etapa (4), são também distintas das que fazem os gestores.
Figura 5: Riscos e Controles
Fonte: Apostila FIPECAFI, pág. 58
Embora cada gestor de recursos/riscos possa fazer seus próprios controles
de verificação e resultado, os responsáveis pelo controle interno verificam, de
forma independente, se toda a sua gestão, incluindo o monitoramento, possui
falhas significativas que possam dar origem a perdas relevantes não esperadas
para o banco. Esse fato leva a duas trajetórias da administração geral dos
riscos bancários: a dos gestores e a dos controles internos, conforme é visto na
Figura 6.
43
Figura 6: Etapas da Gestão e do Controle dos Riscos
Fonte: Apostila FIPECAFI, pág. 59
1. Os riscos bancários
Os riscos principais7 aos quais um banco está exposto são os
seguintes:
• Riscos de crédito: É a perda potencial que teria origem na falta de
cumprimento da obrigação de pagar por parte de um tomador de
empréstimo ou uma transação.
• Risco de mercado: É a perda potencial que seria causada por um
movimento negativo dos preços de mercado dos títulos/contratos
possuídos por um banco e poderia ter origem, por exemplo, em
variações nas taxas de juros, nas taxas de câmbio ou nas cotações de
ações.
• Riscos operacionais: É a perda potencial não esperada, que poderia
advir de sistemas de informação deficientes, problemas operacionais,
falhas ou omissões nos controles internos, fraudes e catástrofes ou
outras causas não previstas.
7 Essa categorização dos riscos é a utilizada pelo BIS em Basiléia e, desde 1998, vem se constituindo na classificação adotada universalmente pelos bancos.
44• Riscos legais: É a perda potencial não esperada, que poderia ser
causada ou pela incapacidade jurídica de fazer com que sejam
cumpridos contratos e acordos feitos, ou que teriam origem em
processos ou julgamentos contrários aos interesses do banco.
• Riscos de liquidez: É a perda potencial não-esperada que teria origem
na incapacidade de um banco de fazer frente às suas obrigações
financeiras. Muitas podem ser as causas da iliquidez. O estudo de casos
demonstra que uma delas é a impossibilidade, temporária ou definitiva,
de se suprir de fundos (esse risco é chamado de incapacidade de
financiamento ou risco de funding). Outra é a incapacidade de vender
títulos para cobrir suas obrigações, sem fazer cair de forma brutal os
preços, o que ocorre em momentos de crise ou de pânico (esse é o risco
de iliquidez de mercado ou Market Liquiditiy Risk). Outra causa ainda
pode ser a excessiva concentração em determinados setores, que
inesperadamente perde sua capacidade de pagamento (esse é o
chamado risco de liquidez por excesso de concentração em
(determinado setores problemáticos ou Adverse Concentration Risk).
• Riscos de reputação ou de imagem: É a perda potencial não
esperada, que poderia ter origem numa publicidade adversa ou uma
exposição negativa junto ao público, seja essa verdadeira ou não. As
perdas poderiam advir, por exemplo, de redução da base de clientes,
redução de receitas, aumento dos custos de comercialização ou no
incremento de litígios (contra o banco).
• Riscos estratégicos: É a perda potencial não esperada, que pode ter
origem numa situação ou decisão estratégica, especialmente quando ela
é irreversível e poderia ter um elevado potencial destrutivo sobre os
resultados do banco. Tais riscos poderiam ter origem, por exemplo, em
aquisições problemáticas de outros bancos, numa orientação de funding
que poderia levar a descasamentos significativos (tomar recursos em
moeda forte e fazer o empréstimo desses fundos numa moeda mais
fraca, sem hedge) ou mesmo numa atuação em desacordo com as leis e
regulamentos do país.
45 Sobre a classificação dos riscos apresentadas anteriormente devem ser
feitas duas observações: Primeira, ela não é totalmente exclusiva e
independente. Segunda, como os bancos se preocupam principalmente com a
obrigação de manter um capital mínimo para cobrir perdas inesperadas nas
categorias de risco de mercado, risco de crédito e, dentro em breve, risco
operacional, todas os demais riscos são estudados e analisados a partir dessa
classificação tripartite, ou seja, todos os riscos bancários, embora possam ser
reconhecidos e identificados em categorias próprias , são efetivamente
avaliadas em maior profundidade segundo seus possíveis impactos nas
categorias acima.Tomem-se, por exemplo, os riscos estratégicos. É claro que
eles são avaliados como tais pela Alta administração de um banco. Todavia,
são seus impactos finais nos riscos de mercado, de crédito ou de operação que
recebem um detalhamento mais circunstanciado e até uma avaliação
quantitativa.
2. Identificação dos Eventos de Risco
Eventos de risco são causas externas ou internas, que teriam potencial
para impedir ou impactar negativamente no cumprimento dos objetivos de um
banco, podendo atingi-lo como um todo ou mesmo numa área específica de
suas atividades, dando origem aos riscos que foram categorizados em riscos
de crédito, de mercado, etc. Uma outra classificação é a que utiliza os “livros”
(books), que são agrupamentos de operações bancárias que apresentam como
característica comum o tipo principal de risco a que estão expostos (risco de
juros, risco de câmbio, risco de oscilação na bolsa), etc. Os produtos
enquadrados em cada livro deverão ser suficientes homogêneos para que se
possa estudar de forma conjunta ou agregada, o impacto geral dos eventos de
risco neles.
Para a gestão e o controle dos riscos, é crucial que um banco seja capaz
de fazer um levantamento e identificação dos seus eventos de risco. Conforme
está representado na Figura 7, há um grande complexo de eventos que têm
potencial para afetar um banco e o cumprimento de seus objetivos. A Figura 9
46deve ser entendida como uma série de camadas superpostas. Assim; de fora
para dentro, quanto mais externa for a camada, maior será o efeito de seu
impacto. Por exemplo, eventos de riscos globais, como uma crise no mercado
financeiro internacional, têm potencial para afetar todos os países, todos os
setores de negócio e todas as empresas, os bancos entre elas. Já eventos de
risco de um país em particular têm um potencial limitado aos setores de
negócios e os bancos desse um país (a menos que o país tenha uma
importância muito grande no cenário internacional).
Figura 7: Eventos de Risco bancário de Origem Externa
Fonte: Apostila FIPECAFI, pág. 62
3. Riscos externos
Os fatores ou forças externas que podem levar a evento de risco bancário
são os seguintes:
a) Fatores sistêmicos globais: Podem ser crises financeiras, guerras,
atentados, movimentos de preços desfavoráveis em commodities básicas,
problemas de confiança generalizados que podem afetar o funcionamento do
mercado financeiro global, etc.
b) Fatores sistêmicos nacionais: Podem afetar o funcionamento de
todos os negócios e atividade bancária dentro do Brasil. Entre elas estão os:
47 - Fatores políticos: São políticas e orientação da legislação e da
atuação governamental que podem afetar a economia do país como um
todo, tais como choques econômicos de impacto (como o plano Collor, por
exemplo) ou o funcionamento específico do setor bancário (a criação de
impostos e encargos específicos para a atividade bancária, etc.).
- Economia brasileira: São mudanças nas variáveis econômicas
fundamentais, que podem ser causados ou não pela política
governamental, que podem afetar de forma significativa o funcionamento
do setor bancário (tal como a taxa de crescimento do PIB, as flutuações da
renda disponível e o nível de emprego, a disponibilidade de energia, a
atividade do mercado financeiro brasileiro para investimentos financeiros e
produtivos do capital internacional, o nível de competitividade da indústria
nacional, etc.).
- Fatores sócio-demográficos: Dizem respeito às influências
negativas sobre o setor bancário de negócios variáveis, tais como: a cultura
e a educação média, a influência da religião sobre o dia-a-dia das pessoas,
a composição etária da população, etc. É claro que um grande número
dessas variáveis são influenciadas pela condição econômica geral do Brasil
e vão afetar o setor bancário de forma indireta, através da demanda por
serviços, da capacidade de crédito dos potenciais clientes do banco, etc.
- Fatores do setor bancário: São forças específicas que, dentro do
quadro de influências das forças sistêmicas ou globais, podem se
transformar em eventos de risco e impactar negativamente nos resultados
ou patrimônio dos bancos. Algumas dessas forças são as seguintes:
Autoridades bancárias: Podem introduzir regulamentos que
podem ter repercussões relevantes nas atividades bancárias, tais como
exigências de formação de reservas, de capital mínimo, de entrada e saída
de capital estrangeiro, etc.
Mercado e Demanda pelos serviços bancários: Forças
específicas que podem afetar e criar eventos de risco são as variações nas
atividades dos clientes devido a sazonalidade ou grande sensibilidade a
desaceleração do PIB (por exemplo: o setor de construção residencial para
48a classe média é altamente sensível a qualquer recessão ou baixo
crescimento da economia e a capacidade de geração de fluxo de caixa e a
capacidade de pagamento de empréstimos desse setor cai drasticamente
com a retração do PIB); a perda inesperada de mercado e rentabilidade
através de movimentos desfavoráveis causados por variáveis político-
econômicas, tal como a taxa de câmbio (por exemplo: os problemas de
perda de rentabilidade da agricultura brasileira de exportação, levaram a
uma grande incapacidade de pagamento de um grande número de clientes
que haviam contraído empréstimos para o financiamento da produção e da
exportação).
Atuação da concorrência: Um banco pode perder segmentos
inteiros de mercado através da atuação de concorrentes mais poderosos
que poderão influenciar os clientes através de taxas, tarifas e publicidade
agressiva. Sabe-se, por exemplo, de um banco de atacado brasileiro que
perdeu 60% de sua carteira de Private Banking por causa da atuação de
um banco estrangeiro, que atuou diretamente sobre seus clientes,
oferecendo um teor de serviços, de atendimento e tarifas muito mais
favoráveis do que o banco brasileiro poderia oferecer. A carteira de Private
desse banco ficou antieconômica após a perda de mercado e ele acabou
por negociá-la posteriormente.
Tecnologia: O nível de tecnologia empregado pelo setor bancário,
especialmente da tecnologia da informação/telecomunicação, é um dos
mais avançados entre os setores econômicos, tanto no Brasil como no
mundo. É claro que o domínio da TI e de sua complexidade técnica
promove vantagens competitivas, mas também é um gerador importante de
eventos de riscos. Avanços em TI são freqüentes e nem todos os bancos
de um país ou região podem dispor das últimas versões do hardwere mais
potente ou do software mais potente ou do software mais sofisticado.
Dessa forma, podem ocorrer perdas de mercado pela ação de
concorrentes mais atualizados. Além disso, hackers (com auxílio ou não de
pessoas da organização) podem quebrar senhas e protocolos de
comunicação de um banco, invadir seus sistemas e efetuar fraudes
49eletrônicas consideráveis. Aliás, esse tipo de fraude têm sido cada vez
mais comum no setor bancário e já atingem níveis que alguns especialistas
julgam alarmantes.
4. RISCOS INTERNOS
Além dos fatores externos, uma série de fatores internos podem se tornar
geradores de eventos de risco:
• Os processos de trabalho utilizados: Determinados processos omissos
ou falhas técnicas podem levar a falhas de atendimento, a problemas na
qualidade dos serviços prestados, a tempo excessivo de processamento
etc., podem levar a custos maiores ou a perdas inesperadas de
negócios e clientes. Num nível mais alto de severidade, podem ocorrer
perdas de contratos e até litígio com clientes com todas as
conseqüências negativas decorrentes.
• As pessoas da organização: As pessoas envolvidas nas atividades
internas de um banco podem gerar eventos de risco através de
incapacidade, desatenção ou simples má-fé. Elevadas perdas podem
ser causadas a um banco através de fraude conduzidas ou auxiliadas
por funcionários8. Como toda organização, os bancos são constituídos
de pessoas. As diferenças, as fraquezas e as vulnerabilidades
profissionais ou de caráter dessas pessoas podem se tornar eventos de
risco para um banco, se esses eventos não forem conhecidos e
controlados. O colapso do Barings, por exemplo, é um dos exemplos
mais contundentes a respeito.
• Os equipamentos de apoio à atividade bancária, especialmente os que
constituem a infra-estrutura de TI. A atividade bancária moderna tem na
TI um dos seus principais pilares de suporte. È muito grande a
quantidade de eventos de risco que podem ser gerados pela TI de um
banco, que pode ir desde uma incapacidade temporária súbita de
8 Mais de 40% das invasões de hackers com fraudes foi auxiliada por funcionários.
50processamento por causa de acidentes naturais ou atentados (como os
que atingiram as instituições financeiras que se encontravam no World
Trade Center, por exemplo), até riscos mais sutis e de longo prazo
(como o obsoletismo da tecnologia de TI utilizada pelo banco, por
exemplo), passando por riscos de perda de memória, riscos de
incompatibilidade entre software que atendem diferentes áreas de
atividades, riscos de erros no processamento eletrônico, etc.
• Os Riscos de “descasamento”. Os bancos, como instituições de
intermediação financeiras, fazem operações passivas (venda de títulos,
certificados de depósitos, empréstimos de outros bancos, etc.), através
das quais captam fundos para seus negócios em determinadas
condições de prazo, moeda, taxa de juros, etc. Os recursos assim
captados são aplicados em operações ativas (empréstimos, compra de
títulos, compra de ouro, etc.), que geralmente são feitas em condições
de prazo, moeda, taxa de juros, etc. bastante diferentes das operações
passivas, sem contar que diversas posições de ativo podem sofrer
grandes flutuações em seu preço de mercado. É dessas diferenças e
flutuações que podem resultar os eventos de risco de descasamento, os
quais podem ter conseqüências tão profundas e graves a ponto de
ameaçar a própria continuidade de um banco.
5. PERSPECTIVAS DE RISCOS
Um banco deve possuir uma clara definição de sua missão, dos seus
objetivos e metas integradas aos objetivos e metas do banco como um todo.
Por outro lado, numa linha de desagregação ou decomposição progressiva,
cada unidade organizacional deve também determinar missão, objetivos e
metas para cada um dos seus órgãos ou seções, conforme Figura 8.
Os eventos de risco apresentam, assim, diferentes perspectivas,
dependendo do nível da organização no qual se insere o colaborador. As
perspectivas de riscos de funções abrangentes como as dos membros do
Conselho e a do Presidente, por exemplo, são muito diferentes quando
51comparadas às dos Executivos encarregados de áreas específicas de
negócios, ou e são especialistas nos eventos de risco dessas áreas.
Figura 8: Desagregação dos objetivos e dos Riscos num banco
Fonte: Apostila FIPECAFI, pág.62
A regra geral é a seguinte: em função da abrangência e da especialização,
cada gestor de recursos de um banco tem uma perspectiva própria e particular
dos riscos da organização bancária. Nas esferas mais altas prevalecem as
perspectivas mais abrangentes e gerais dos riscos. Nos escalões mais baixos
da organização, todavia, cada gestor possui uma visão restrita, particular, mas
altamente especializada dos riscos. Essas duas perspectivas devem estar
presentes simultaneamente. Ao definir as estratégias gerais para o banco,
devem ser empregadas as perspectivas gerais, mas ao nível operacional e
tático, o banco precisa ter uma visão granular e especializada dos seus riscos,
já que, em alguns casos que se tornaram tristemente célebres, foi nesses
níveis que eventos de risco não devidamente reconhecidos e controlados
produziram prejuízos consideráveis. Assim, um banco dirigiu aos seus
supervisores e funcionários dos órgãos de suas unidades operacionais (“os que
fazem e realmente sabem o que fazem” nas palavras do Presidente de um
banco brasileiro) o seguinte questionário sobre suas atividades9. (Figura 9):
9 O questionário surgiu na publicação:Testing Compliance with Internal Control requermentes – Managers “ Guide, editado pelo Bank of New York,2003.
52 Figura 9: Questões sobre Eventos de Riscos em Órgãos de um Banco
Fonte: Apostila FIPECAFI, pág. 68
6. MÉTODOS DE IDENTIFICAÇÃO DOS RISCOS
As questões apresentadas no questionário da Figura 10 são genéricas e
a listagem não é exaustiva. Mas é um bom exemplo de todos os eventos de
risco que devem ser identificados ao nível das atividades de um
departamento/órgão de uma organização bancária. São métodos de
identificação de riscos:
• Questionários de identificação;
• Levantamentos históricos de eventos de risco que se tornaram
“sinistros”, isto é, levaram a perdas efetivas para o banco10 e a análise
de suas causas;
10 Esse método é o preconizado por Basiléia II, por exemplo, para o levantamento preliminar das freqüências dos riscos operacionais.
53• Casos históricos de “sinistros” ocorridos em outros bancos, também com
a devida análise de suas causas;
• Modelagem estatística de eventos, na qual são demonstrados os
eventos de riscos internos e externos, que usualmente estão inter-
relacionados quando ocorre um “sinistro”;
• Mapeamento dos processos de trabalho conduzido por especialistas,
com foco nos eventos de risco, etc.
7. Avaliação dos Riscos
Uma vez identificados, os riscos devem ser priorizados em função do
seu potencial de perdas para o banco. Isso significa que os riscos devem ser
medidos através de determinadas métricas ou critérios quantitativos que
permitam compará-los entre si segundo diferentes dimensões e fundamentar
políticas consistentes e objetivas para sua gestão e controle.
Dois conceitos sobre análise de risco devem ser aqui introduzidos: o
conceito de risco intrínseco e o conceito de risco residual. O risco intrínseco de
uma atividade bancária é o montante de riscos aos quais está exposta, se não
efetuar nenhuma ação visando reduzir o seu impacto ou a possibilidade de sua
ocorrência. O risco residual diz respeito ao montante dos riscos que
permanecem latentes numa atividade bancária, após ter tomado todas as
medidas para sua gestão e controle.
Cada evento de risco identificado deve ser avaliado em termos de suas
possíveis conseqüências para a empresa, o que significa avaliar o seu impacto
e a possibilidade de sua ocorrência.
• Impacto é o efeito que um evento de risco poderia trazer em termos de
perdas para a organização bancária. Esse efeito poderia ser traduzido
em termos de prejuízos monetários, mas também poderia ser feito em
termos de perda de oportunidade ou de algum patrimônio intangível do
banco como sua reputação ou imagem, sua base de clientes, etc. Se
possível esse efeito deveria ser quantificado, para que seja facilmente
percebida a sua importância relativa. No mínimo, o impacto de um
evento de risco deveria ser descrito de forma a demonstra a sua
54relevância para o banco. Os impactos possíveis de um risco podem
apresentar um amplo intervalo de variação. Costuma-se, pois,
representá-los pela sua média estimada dentro de intervalo de variação
percebido.
• Probabilidade de ocorrência é a possibilidade de que um evento de risco
irá ocorrer no banco, se não forem tomadas medidas para a sua gestão
e controle. Cada evento de risco vai exigir uma avaliação específica da
probabilidade de sua ocorrência. Aqui também a preferência deve ser
por técnicas quantitativas, mas mesmo que forem utilizadas técnicas
qualitativas, que se baseiam no julgamento das pessoas, suas
avaliações deverão quantificadas de forma a permitir comparações.
8. MÉTODOS QUALITATIVOS E MATRIZ DE AVALIAÇÃO
DOS RISCOS
Para auxiliar na tarefa de avaliar riscos num banco de um modo prático, a
matriz apresentada na Tabela 1 pode ser utilizada. Essa matriz:
- Pode ser desagregada para cada área e unidade do banco
- Pode ser adaptada e customizada para cada banco
Tabela 1: Matriz de Avaliação dos Riscos
Fonte: Apostila FIPECAFI, pág. 70
55A tabela 1 é a forma usual de representar, graficamente, os riscos que cercam
as atividades de um banco, de forma a pôr em evidência a sua importância
relativa.
Para que os riscos possam ser classificados em função de sua
importância, os indicadores da Tabela 2 podem ser usados:
Tabela 2: Indicadores Qualitativos da Probabilidade e do Impacto dos Riscos
Fonte: Apostila FIPECAFI, pág. 70
56
Fonte: Apostila FIPECAFI, pág. 71
O princípio geral do uso das matrizes de avaliação de riscos é que o
banco deve ser capaz de ter a visão que seja, ao mesmo tempo,
suficientemente detalhada para que o seu Conselho e sua Diretoria Executiva
tenham uma percepção do montante e da seriedade dos riscos em cada uma
de suas atividades e, por outro lado, que haja uma perspectiva sintética do
conjunto dos riscos que cercam a organização. Assim, matrizes de risco das
unidades do banco podem ser consolidadas para formar uma matriz sintética
como essa que se encontra na Tabela 3.
A metodologia de avaliação de riscos utilizadas num banco, normalmente
combina métodos qualitativos e quantitativos. As avaliações qualitativas são
empregadas, quando os riscos não são facilmente quantificáveis ou quando a
base de dados de que dispõe não tem muita consistência ou extensão de modo
a permitir uma análise mais precisa ou significativa.
57
Fonte: Apostila FIPECAFI, pág. 72
58 Para obter consenso sobre a probabilidade e o impacto usando métodos
qualitativos os bancos empregam, em geral, os mesmos métodos utilizados na
identificação dos eventos, tais como: questionários de auto-avaliação,
entrevistas, works-shop, avaliações de especialistas, etc. Mas, mesmo nos
casos em que o julgamento coletivo é empregado, ele deve ser apresentado e
traduzido de forma quantitativa ou numérica para permitir a sua manipulação
mais fácil. Essa “roupagem” quantitativa pode ser conseguida através das
escalas de Likert, por exemplo.
9. Métodos Quantitativos
Num banco que pretenda utilizar as avaliações quantitativas para
atender às exigências do Basiléia II, por exemplo, o nível de trabalho e de rigor
será sempre muito grande, exigindo a utilização de métodos matemático-
estatisticos de alto nível de sofisticação. Tais modelos relacionam
estatisticamente um conjunto de eventos de risco e os impactos resultantes
com a probabilidade de ocorrência desses eventos, com base em
determinadas premissas.
Tanto a probabilidade de ocorrência como o impacto são baseados em
dados em históricos ou em simulações que procuram prever os resultados em
determinadas condições futuras. Exemplos de modelos de base estatística
(também chamados de modelos probabilísticos) são Value-at-Risk (VAR), o
Fluxo de Caixa em Risco (CFR), o RAROC, o RORAC e as chamadas
distribuições ou curvas de perdas.
Os modelos estatísticos são usados em muitas situações Por exemplo,
eles podem ser utilizados com diferentes prazos ou horizontes de tempo de
modo a estimar a variância dos valores que determinados títulos ou contratos
de empréstimo poderiam apresentar no futuro. Também podem ser usados
para prever não apenas os impactos médios ou esperados de certos eventos
de risco, mas também os impactos que poderiam ocorrer em circunstâncias
extremas ou de stress. A partir do estudo da correlação estatística entre
eventos e do emprego de cenários, os modelos quantitativos também podem
59ser usados para os impactos de conseqüências determinadas de eventos,
incluindo fatores externos e internos, que poderiam ter conseqüências muito
destrutivas do que as de cada evento avaliado isoladamente.
Os modelos quantitativos constituem um grande avanço tecnológico na
administração bancária e são grandes as vantagens que propiciam à
administração de um banco. Duas delas são particularmente notáveis.
10. Curvas de Perdas
Primeira: permitem a construção das curvas estimadas de perdas para
todos os riscos relevantes de um banco, distinguindo três mensurações
fundamentais: (a) as perdas médias esperadas; (b) as perdas máximas
esperadas e (c) as perdas estimadas dentro de um cenário de stress. A Figura
11 demonstra o perfil de uma curva hipotética de perdas, na qual estão
assinalados os pontos de média e de VAR e as três áreas que eles delimitam.
Figura 11: Curvas de perdas
Fonte: Apostila FIPECAFI, pág. 75
60 O valor esperado de perdas é estimado pela média da distribuição e se
espera que seja coberto pelos próprios resultados das operações da instituição
bancária. O valor VAR (Value-at-Risk) de perdas expressa a variabilidade das
perdas esperadas ao longo do tempo e seria a maior perda que, num
determinado período, a empresa teria com o risco analisado a um determinado
nível de confiança (90% ou 99%). Espera-se que o capital próprio da instituição
bancária permita, num primeiro nível, a cobertura dessas perdas, com grau de
confiança atribuído ao VAR. Por fim, valores superiores ao VAR representam
perdas estimadas em condições de stress, ou seja, expressam as perdas mais
significativas que poderiam ocorrer para um banco em simulações de perdas
extremas. Em princípio, o capital mínimo de um banco deveria também arcar
com os prejuízos estimados nas condições de stress, mas esse segundo
montante ainda não está sendo exigido dos bancos. As simulações de stress
são importantíssimas para um banco e usualmente são feitas com uma
ferramenta bastante sofisticada da modelagem quantitativa, que é a análise de
cenários.
Outra vantagem que as medidas de risco proporcionam é a sua facilidade
de agregação. As diferentes medidas feitas em cada categoria e em categoria
de risco e cada linha de negócios de um banco podem ser rapidamente
consolidadas. Pode haver, por exemplo, um VAR para o livro ( book) do
mercado de empréstimos em moeda nacional, um VAR para o livro de
mercados de ações, um VAR para o livro dólar, etc. e todas essas medidas
podem ser consolidadas numa única: o VAR do banco. Utilizando o VAR de
cada linha de negócios ou livros, pode-se também construir medidas
importantes de desempenho, que combinam as mensurações da rentabilidade
de cada um desses livros com as de seus riscos, obtendo as chamadas
medidas de risco-retorno.
São, pois inegáveis as grandes vantagens advindas de uma avaliação
quantitativa. Todavia, para que a quantificação ou a modelagem dos riscos
possa gerar os benefícios esperados, deve-se sempre ter em mente que as
técnicas quantitativas não podem produzir resultados que sejam melhores do
que a qualidade dos dados que dão suporte aos cálculos e inferências que
61estão inseridos nos modelos. As técnicas quantitativas só produzirão
resultados válidos quando a base de dados historicamente é suficientemente
grande e as freqüências e variâncias das incidências dos eventos
suficientemente conhecidas. Só com tais pré-condições é que os resultados
dos modelos podem provar uma significância real. Ainda assim, devem provar
sua eficácia na prática, discriminando adequadamente as propostas de crédito
que o banco recebe. Se o uso de um modelo não conseguir separar as
propostas “boas” (clientes com boa capacidade creditícia) das más (clientes
com má capacidade de crédito) com um nível de eficácia superior a 80% ou
90%, o modelo não estaria provando a sua validade.
A modelagem quantitativa dos riscos não é uma ciência exata. Assim,
sempre que possível, deve-se suplementar os métodos quantitativos com
avaliações de cunho qualitativo e de bom-senso para lhes dar maior grau de
validade. Por outro lado, os responsáveis pelos controles internos sempre
devem estar prevenidos contra os chamados “riscos de modelo” que são
exatamente os riscos de gestão que resultam da utilização de modelos de
baixa qualidade, que tenham uma base de dados insuficiente ou que
contenham falsas premissas. Os grandes problemas de controlar tais riscos
num banco nascem, em primeiro lugar, da sua complexidade matemático-
estatística, que torna muito difícil para não-especialistas evidenciar suas
fraquezas; e, em segundo lugar, da relutância dos gestores (que não raro
foram os arquitetos dos modelos ou avalizaram a sua aquisição pelo banco) em
discutir fracamente suas carências técnicas. Os chamados testes de validade
dos modelos em uso num banco devem ser acompanhados por homens do
controle interno que sejam qualificados para isso. Se essa qualificação não
existir, devem ser contratados consultores especialistas para auditar a
qualidade dos modelos e fazer com que haja uma “razoável garantia” de sua
funcionalidade.
Seja utilizando métodos qualitativos ou quantitativos, a administração e o
controle interno devem ficar continuamente atentos a possíveis inter-relações
entre os eventos de risco, os quais podem gerar, como foi dito anteriormente,
sequências de eventos externos e internos (incluindo os descasamentos), que
62são as chamadas “cadeia de risco”. Essas podem ter – e geralmente têm! – um
potencial de perdas muito superior ao de cada evento isolado. Na verdade,
onde não houver a preocupação de verificar a inter-relação ou a correlação
entre eventos de riscos, esses poderão parecer enganosamente simples e
esse tipo de engano pode ser fatal.
Como um produto final da etapa de avaliação de riscos, o controle interno,
independente da gestão, deve elaborar a sua listagem das transações
bancárias mais suscetíveis ou de alto risco, bem como as perdas ou custos que
poderiam resultar de impactos de eventos de risco nessas transações. Todavia,
essa listagem é dinâmica e nunca é definitiva por diversas razões. Primeiro,
porque mudanças no ambiente externo (políticos, econômicos, autoridades
bancárias e regulamentos, tributação, etc.) ou interno (mudanças nas
operações, na estrutura da organização, na tecnologia de TI, etc.) podem
alterar a configuração dos riscos de um banco e novos eventos de risco podem
emergir, impactando nos resultados ou no fluxo de caixa das transações. Os
controles internos devem ser, pois, constantemente revisados ou atualizados
para fazer frente a novas configurações dos fatores de risco. Segundo, deve
ser levado em conta que a atividade bancária é bastante inovadora ao longo do
tempo, o que leva à criação de novos instrumentos financeiros ou à
transformação dos antigos. Quando se produz uma inovação financeira, o
banco precisa, é claro, avaliar os riscos dos novos instrumentos e das
transações de mercado associadas a eles. Para a área de controles internos,
uma inovação significa uma inclusão obrigatória na sua listagem de riscos
relevantes e todo um conjunto de possíveis problemas par considerar, os quais
podem ir desde a falta de entendimento adequado do produto pelos clientes,
até falhas operacionais e contratuais. Finalmente, terceiro, a área de controles
internos deve ficar atenta aos possíveis eventos de risco que podem ser
produzidos pela contratação de pessoas para ocupar cargos de alto nível ou
por um excessivo turnover de pessoal numa determinada área.
63
CAPÍTULO 4
GESTÃO DE RISCOS
1- GESTÃO DE RISCOS NAS INSTITUIÇOES FINANCEIRAS
Introdução
“Nos últimos anos, surgiu uma nova concepção na gestão de riscos,
visando conhecer os fatores que podem ameaçar uma instituição financeira,
sejam eles decorrentes de riscos de mercado, riscos de crédito, risco
operacional ou riscos legais”. (Duarte Jr., A. M., 1999, p.40)
Para Coimbra, (2008, p.1), a definição do Comitê da Basiléia, apesar da
amplitude, destaca-se em relação a outras conceituações em virtude de indicar
os fatores que dão origem ao risco “processos internos à organização, pessoas
(fraudes, erro ou negligência, ausência de qualificação e conduta antiética),
tecnologia (falhas de hardware, software, instalações, sistemas de energia e
comunicação) e eventos externos (como ataque terroristas e fenômenos da
natureza)”.
Definição
Segundo Duarte Jr. (1999, p.40), “risco, neste contexto, pode ser
entendido como conseqüência incerta e indesejada de alguma situação a que a
instituição financeira esteja exposta, por menor que seja a possibilidade de sua
ocorrência”.
De acordo com Coimbra (2008, p.1), a definição mais conhecida sobre
risco operacional, bastante difundida na indústria bancária, foi proposto pelo
Comitê de Supervisão Bancária da Basiléia, órgão integrante do BIS – Bank of
International Settlements: “riscos de perda, resultante de inadequações ou
falhas de processos internos, pessoas e sistemas, ou de eventos externos”.
64Esta definição inclui o risco legal, mas exclui os riscos estratégicos e de
reputação.
Para Rodrigo Côrtes, “o risco operacional pode ser definido como aquele
oriundo de erros humanos, tecnológicos ou de acidentes”. Isso inclui fraudes,
falhas de gerência e controles e procedimentos inadequados. Erros técnicos
podem ser causados por interrupções de informações, por processamento
inadequado de transações, por sistemas de liquidação e, de maneira geral, por
qualquer problema de back Office relacionado com o registro das transações e
a conciliação das operações individuais com a posição agregada da empresa.
2. Riscos Operacionais
De acordo com Coimbra (2008, p.1), no setor financeiro, a expressão “risco
operacional” foi provavelmente usada, pela primeira vez, como tentativa de
explicar o colapso do banco Barings, em 1995, embora o risco operacional
sempre estivesse presente nos negócios, tanto em instituições quanto nos
demais tipos de empresas.
Ainda segundo Coimbra (2008, p.2), os riscos operacionais transcendem
todas as linhas de negócios, sendo mais amplos do que os riscos cobertos por
seguros e do que as falhas de controle.
3. A Importância da Gestão dos Riscos Operacionais
“As organizações devem gerenciar o risco operacional em função do
significativo potencial de perdas que em alguns casos extremos, como alguns
já citados , podem levar à falência. Exemplificando, de acordo com as
informações disponíveis, o ataque de 11 de setembro causou danos a ativos
físicos e interrupções de negócios, acarretando prejuízos de cerca de US$ 27
bilhões em seguros; fraude e comportamento criminoso resultaram em perdas
de US$ 690 milhões ao Allied Irish Bank em transações não autorizadas; houve
perdas em ações judiciais de US$ 2 bilhões, sofridas pela Prudential Insurance,
65e de US$ 400 milhões, sofridas pela Providian Financial, por causa de práticas
de negócio impróprias”. (Coimbra, Fábio, 2008, p.3)
4- Os Acordos da Basiléia
“Em julho de 1988 foi assinado na cidade da Basiléia, localizada na Suíça,
sede do BIS – Banco de Compensações Internacionais o acordo da Basiléia.
Foram signatários do acordo os presidentes dos bancos centrais do grupo dos
10 (dez), que é constituído pelos seguintes países: Bélgica, Canadá, França,
Alemanha, Itália, Japão, Luxemburgo, Holanda, Suécia, Suíça, Reino Unido e
Estados Unidos. Aderiram, também ao acordo: Chile, China, República Tcheca,
Hong Kong, México, Rússia e Tailândia.
Esse Comitê estabeleceu novos parâmetros para a determinação de
capital exigido dos bancos internacionais, adequando-o ao nível de risco de
suas operações ativas, visando a minimização dos riscos de insucessos
bancários no cenário internacional e, em conseqüência, a garantia de solvência
e liquidez do sistema financeiro internacional”. (Carvalho, Gilmara Pinto, 2003,
p.4)
Para Coimbra (2008, p.3), “uma melhor compreensão dos riscos
operacionais e de suas implicações teve início com o aprimoramento dos
controles internos 2 em instituições financeiras, recomendado pelo Comitê da
Basiléia por meio do documento Framework for Internal Control Systems in
Banking Organisations, de setembro de l998”.
4.1- A Adesão do Brasil aos Acordos da Basiléia
“O processo de globalização da economia obrigou o Conselho Monetário
Nacional a regulamentar em 17/08/1994, através da Resolução n 2.099, os
limites mínimos de capital realizado e patrimônio líquido para instituições
financeiras, com o objetivo macro de enquadrar o mercado financeiro aos
padrões de solvência e liquidez internacionais que foram definidos em julho de
1988 em acordo assinado na Basiléia”. (Fortuna, Eduardo, apud Carvalho,
Gilmara Pinto, 2003, p.5)
66 De acordo com Coimbra (2008, p.3), “com a implantação do novo acordo
no Brasil, cujo cronograma inicial foi fornecido pelo comunicado 12.764, do
Banco Central do Brasil, de 9 de dezembro de 2004, e posteriormente ajustado
pelo comunicado 16.137, de 29 de setembro de 2007, a gestão do risco
operacional torna-se cada vez mais importante para as instituições financeiras
e órgãos reguladores, haja vista que a alocação de capital incluirá o risco
operacional, além dos riscos de mercado e de crédito, causando impactos no
posicionamento competitivo dos bancos.
A Resolução 3.380 do Banco Central do Brasil, de 29 de junho de 2006,
determinou que, até o final de 2007, todas as instituições autorizadas a
funcionar pela referida autarquia implementassem estrutura para gestão do
risco operacional, representando mais um passo no importantíssimo processo
de adesão do Sistema Financeiro Internacional ao Novo Acordo”.
5. LISTA DE CONTROLES INTERNOS
De acordo com Duarte Jr. (1999, p.42 a 44), as listas do controles
internos que devem abranger a gestão de riscos corporativos do Brasil
(incluindo riscos de mercado, riscos de crédito, riscos operacionais e riscos
legais) é a seguinte:
1. Alçadas e limites – Envolvem a delimitação do âmbito de atuação
influência de gestor, via sistema aplicativo ou de forma manual,
quanto a sua condição de vir a aprovar valores ou assumir
posições em nome da instituição, conferida pela hierarquia ou por
comitês.
2. Autorização- Buscam o encaminhamento de uma
operação/transação após conferência, evidenciando por log no
sistema ou assinatura/visto em documentação de suporte.
3. Conciliação – Consiste no confronto de informações de origem
distintas, com o objetivo de detectar inconsistência.
4. Acesso físico – Consiste no controle da entrada/saída de
funcionários, clientes e/ou equipamentos em determinadas áreas
de uma instituição.
675. Acesso lógico - Busca o controle de acesso/alcance de
funcionário e/ou clientes a arquivos eletrônicos e sistemas
computacionais, bem como a disponibilidade de instruções e
treinamento parra esses sistemas aos usuários autorizados.
6. Delimitação de responsabilidade – Determinar uma definição clara
e formal de responsabilidade e da autoridade sobre os
procedimentos criados para certas atividades.
7. Disponibilização e padronização de informação – Visam ao
estabelecimento de sistema de comunicação efetiva entre áreas,
de maneira a assegurar que as informações cheguem a seu
destino, contemplando, inclusive aspectos, como integridade,
confiabilidade e disponibilidade.
8. Execução de plano de contingência – Busca formalizar e testar
ações que permitam dar continuidade as operações de unidade
que não possam ser interrompidas, independente da adversidade
da situação.
9. Manutenção de registros – Consiste em fazer a manutenção
atualizada, segura e organizada de registros.
10. Monitoração- Acompanhamento de uma atividade ou processo,
para avaliação de sua adequação e/ou desempenho em relação
ás metas, aos objetivos traçados e os benchmarks, assim como
acompanhamento contínuo do mercado financeiro, de forma a
antecipar mudanças que possam impactar negativamente a
instituição.
11. Normalização interna – Compreende o estabelecimento formal de
normas internas, para a execução das atividades inerentes a
unidade.
12. Segregação de funções- Envolve a separação das
responsabilidades sobre atividades conflitantes, por meio de
organograma ou estabelecimento de regras, a fim de prevenir ou
detectar problemas nas tarefas executadas.
6813. Treinamento- Engloba exercícios para apurar habilidade ou
transmitir conhecimentos, ampliando competência e capacitações.
14. Validação- Consiste em examinar minuciosamente procedimentos
relacionados a uma atividade, como o intuito de validar
informações (internas e externas), obtidas por funcionários ou de
clientes, na documentação de operações financeiras ou em
eventual modificação desses procedimentos.
6. CASOS DE FRAUDE
6.1. Personagens do mercado: Nick Leeson, a conta 88888 e a megafraude
do Barings
SÃO PAULO - A trajetória do operador Nick Leeson é digna de filme.
Além de uma das mais famosas fraudes da história dos mercados, o caso
mostrou como um mero empregado poderia levar o mais antigo banco de
investimentos da Inglaterra, o Barings, à ruína.
InfoMoney
Mais que a atuação irregular de um trader no mercado futuro, o caso
revelou algumas das inúmeras brechas que o sistema financeiro apresenta,
além de expor a rotina de cobrança e interesses que alimenta a busca
desenfreada por retornos, muitas vezes ignorando o risco.
Leeson começou como operador no banco Coutts, na primeira metade da
década de 1980. Rodou por diversos bancos até conseguir um posto de
operador do Barings, uma instituição de atuação histórica, fundado em 1762.
Leeson foi transferido para Cingapura, para ativar uma cadeira que o Barings
possuía na Singapore Monetary Exchange, para operar no mercado futuro da
região.
O primeiro flerte de Leeson com uma operação ilegal não partiu de sua
ganância, mas de um erro de uma colega de trabalho inexperiente. Segundo
consta em sua autobiografia, "A história do homem que levou banco Barings à
falência", a funcionária havia vendido vinte contratos que deveria comprar, o
69que causou uma perda próxima de £ 20 mil à instituição.
Para encobrir o erro, Leeson utilizou uma das contas erro do Barings,
utilizadas para corrigir diferenças de negociação. A partir daí, Leeson criou a
famosa conta erro de número 88888, que passou a usar para esconder os
prejuízos de suas operações
Com a possibilidade de encobrir seus prejuízos, Leeson passou a tomar
posições cada vez mais arriscadas. Quando perdia, encobria o prejuízo na
conta 88888; mas seus ganhos começavam a chamar a atenção da alta cúpula
do Barings. As ordens de Leeson garantiam alguns retornos substanciais ao
Barings, chegando a faturar mais de £ 10 milhões para a instituição em 1992.
Seduzida pelos ganhos, á administração do Barings passou a estimular as
operações de Leeson, oferecendo bônus milionários a cada aplicação de
sucesso do operador. Os prejuízos da conta 88888 passavam a se multiplicar,
chegando a cerca de £ 210 milhões em 1994.
Mas Leeson sempre via sua próxima tacada como a oportunidade de cobrir
o rombo da conta 88888, o que levava a tomar mais e mais risco. Em uma
destas operações, apostava na manutenção da tendência de alta dos
mercados asiáticos na sessão seguinte. Mas o acaso colocou à sua frente um
terremoto de 7,3 graus de magnitude que devastou a cidade japonesa de Kobe
e derrubou as bolsas da região em 17 de janeiro de 1995.
A aposta errada aumentou substancialmente o prejuízo. Leeson não parou
por aí e assumiu posições que indicavam uma recuperação rápida do índice
Nikkei 225. Neste período, o operador movimentou mais de 20 mil contratos,
enquanto as perdas registradas na conta 88888 bateram aproximadamente
US$ 1,3 bilhão.
Para se ter uma idéia, quando os gestores do Barings descobriram a fraude,
este valor superava o capital e reservas em posse do banco, o que representou
a insolvência da instituição de 235 anos. Pelo simbólico valor de £ 1, o
holandês ING assumiu o Barings em fevereiro de 1995.
Leeson fugiu. Após rodar por Malásia e Tailândia, foi preso em Frankfurt no
início de março daquele ano. Extraditado para Cingapura foi condenado a seis
anos e meio de prisão, mas acabou solto em 1999 por bom comportamento.
70 Sua história foi contada por ele mesmo na autobiografia "A história do homem
que levou banco Barings à falência". Também pode ser vista na interpretação
do ator Ewan Mcgregon, em "A Fraude" - título original "Rogue Trader",
lançado em 1999.
"A história do homem que levou banco Barings à falência", editora Record, 1997
6.2. “A EMERGÊNCIA DOS RISCOS OPERACIONAIS NO CONTEXTO
CORPORATIVO
Introdução
Num momento em que as atenções de executivos, acadêmicos, órgãos
reguladores e da mídia em geral encontram-se voltados para a crise subprime
americana e seus desdobramentos nas economias dos demais países, o
recente caso envolvendo o banco Société Générale, um dos maiores da
França, traz novamente os riscos operacionais à tona.
De acordo com as informações fornecidas pelos meios de comunicação,
um trader, Jérôme Kerviel, supostamente sozinho, teria sido responsável por
uma fraude causadora de perdas em torno de 4,9 bilhões de euros. Tal
acontecimento nos remete ao caso clássico de riscos operacionais e de
governança corporativa: a falência do banco Barings, há 13 anos, em que
apenas uma pessoa, Nick Leeson, foi considerada a responsável pelas perdas
de cerca US$ 1,5 bilhão, acarretando na venda do Barings para o banco ING
por apenas uma libra esterlina.
Ainda é cedo, pela ausência de informações precisas, para elaborar uma
análise detalhada sobre o caso ocorrido na França, entretanto,
independentemente de Kerviel ter agido sozinho ou juntamente com outras
pessoas, de ser culpado ou inocente, o fato é que estamos diante de um típico
caso de risco operacional.
71 No setor financeiro, a expressão “risco operacional” foi provavelmente
usada, pela primeira vez, como tentativa de explicar o surpreendente colapso
do banco Barings, em 1995, embora o risco operacional sempre estivesse
presente nos negócios, tanto em instituições financeiras quanto nos demais
tipos de empresas.
Historicamente, o risco operacional tem recebido menor ênfase do que os
riscos financeiros (riscos de crédito e de mercado), e, freqüentemente, tem sido
considerado menos importante, apesar da experiência dos últimos anos
mostrar que o risco operacional foi o responsável por muitos dos enormes
desastres ocorridos em instituições financeiras (Bankers Trust - 1994, Credit
Lyonnais - 1994, Barings - 1995, Daiwa Bank - 1995, Nacional - 1995,
Sumitomo - 1996, para citar alguns) e não-financeiras, como Arthur Andersen,
Enron e Parmalat.
A definição mais conhecida sobre risco operacional, bastante difundida na
indústria bancária, foi proposta pelo Comitê de Supervisão Bancária da
Basiléia, órgão integrante do BIS - Bank of International Settlements: “risco de
perda, resultante de inadequações ou falhas de processos internos, pessoas e
sistemas, ou de eventos externos. Esta definição inclui o risco legal, mas exclui
os riscos estratégicos e de reputação”1.
A definição do Comitê da Basiléia, apesar da amplitude, destaca-se em
relação a outras conceituações em virtude de indicar os fatores originadores do
risco: processos internos à organização, pessoas (fraude, erro ou negligência,
ausência de qualificação e conduta antiética), tecnologia (falhas de hardware,
software, instalações, sistemas de energia e comunicações) e eventos externos
(como ataques terroristas e fenômenos da natureza).
Riscos Operacionais
Os riscos operacionais transcendem todas as linhas de negócios, sendo
mais amplos do que os riscos usualmente cobertos por seguros e do que as
falhas de controle. Estão presentes seja o negócio regulado ou não; seja
centralizado ou descentralizado; seja conduzido com o emprego de rígidos
procedimentos ou pouco controlado; seja demandante de alta tecnologia ou
72empregue tecnologias convencionais; sendo suas vendas realizadas por meio
de um simples canal ou através de vários canais.
Cabe ressaltar que, diferentemente dos riscos financeiros, maiores riscos
operacionais não necessariamente significam maiores retornos potenciais, ao
passo que reduções na exposição de risco operacional normalmente acarretam
aumento de eficiência e redução de custos.
Embora não pareça ser intuitivo, o fator “pessoas” tende a ser a origem da
maioria dos riscos operacionais que inevitavelmente surgem a partir de
decisões questionáveis, seja por erro ou intenção.
Empregar pessoas cujas qualificações não são adequadas para o
cumprimento das tarefas também é risco operacional, podendo ter
conseqüências significativas como erros ou fraudes. As fraudes podem ser
internas, cometidas por pessoas de dentro da organização, como gerentes,
diretores e funcionários, ou externas, praticadas por terceiros, tais como
contrapartes, fornecedores e clientes. Ainda que sejam os crimes de alto
escalão aqueles que recebem destaque na mídia, a maioria das fraudes
internas é praticada por funcionários detentores de baixos níveis hierárquicos.
Normalmente, as fraudes praticadas por funcionários incluem a falsificação de
relatórios de despesas, desvio de fundos, uso das instalações corporativas
para fins pessoais, roubo de ativos e recebimento de benefícios de
vendedores, prestadores de serviços e fornecedores. Por outro lado, as fraudes
cometidas em níveis hierárquicos mais altos incluem a adulteração de
demonstrativos financeiros, aumento em ativos, vendas e lucro ou diminuição
de passivo, despesas e perdas, com a finalidade de ludibriar investidores e
credores ou inflar os lucros para aumentar salários e bonificações.
O chamado risco de liquidação ou execução, relacionado a problemas de
operações de back-office, corresponde a situações em que as transações não
são concluídas, não são devidamente registradas ou ainda há inconsistência
em reconciliações.
Atentados terroristas como o ocorrido em 11 de setembro de 2001, nos
Estados Unidos, e acontecimentos como o tsunami (em 26 de dezembro de
2004, no sudeste asiático) e a invasão do centro de pesquisa da Aracruz
73Celulose pelo Movimento dos Sem-Terra (em 8 de março de 2006, no Rio
Grande do Sul) podem interromper o fornecimento de serviços, destruir
conhecimento organizacional e informações estratégicas ou causar prejuízos
materiais.
O risco legal faz parte do risco operacional, conforme definição do Comitê da
Basiléia. Ações judiciais ou processos legais envolvendo funcionários, clientes,
concorrentes, fornecedores, investidores, credores, governo e órgãos
reguladores são fontes de risco legal.
As organizações devem gerenciar o risco operacional em função do
significativo potencial de perdas que em casos extremos, como alguns já
citados, podem levar à falência. Exemplificando, de acordo com as informações
disponíveis, o ataque de 11 de setembro causou danos a ativos físicos e
interrupção de negócios, acarretando prejuízos de cerca de US$ 27 bilhões em
seguros; fraude e comportamento criminoso resultaram em perdas de US$ 690
milhões ao Allied Irish Bank em transações não autorizadas; houve perdas em
ações judiciais de US$ 2 bilhões, sofridas pela Prudential Insurance, e de US$
400 milhões, sofridas pela Providian Financial, por causa de práticas de
negócio impróprias.
Evolução da gestão de riscos operacionais
Os notáveis avanços alcançados pela disciplina de gestão de riscos
operacionais, em anos recentes, podem ser creditados, em boa parte, à
atuação de órgãos reguladores e supervisores da indústria financeira.
O desenvolvimento de estruturas organizacionais adequadas para gestão
de risco tem representado parte crescente dos interesses da Supervisão
Bancária nos últimos anos, diante da preocupação da comunidade financeira
internacional em melhorar a solidez dos sistemas financeiros em todo o mundo,
já que a fragilidade do sistema bancário de um país, desenvolvido ou não, pode
ameaçar a estabilidade financeira tanto no ambiente interno quanto
internacionalmente.
Dentro desse contexto, o Comitê da Basiléia desempenha papel
proeminente em âmbito mundial, influenciando e orientando as normas
74estabelecidas pelos órgãos supervisores em todo o mundo. O Acordo de
Capital de 1988, cujos termos foram adotados, em maior ou menor grau, em
cerca de cem países, tornou-se padrão de referência para a Supervisão
Bancária mundial.
No Brasil, a gestão de risco desenvolveu-se a partir das exigências
regulamentares e das práticas de mercado internacionais. Uma melhor
compreensão dos riscos operacionais e de suas implicações teve início com o
aprimoramento dos controles internos2 em instituições financeiras,
recomendado pelo Comitê da Basiléia por meio do documento Framework for
Internal Control Systems in Banking Organisations, de setembro de 1998, e
pela Resolução 2.554, de 24 de setembro de 1998, do Banco Central do Brasil.
A partir de então, os riscos operacionais começaram a ser vistos com maior
atenção, demandando políticas, procedimentos, modelos de identificação,
análise e mensuração específicos.
A adoção do Novo Acordo de Capitais da Basiléia representa o marco de
uma nova etapa na evolução dos regulamentos prudenciais, bem como no
relacionamento entre o mercado financeiro e os órgãos supervisores, uma vez
que o Novo Acordo considera outros aspectos de risco – como o risco
operacional, controles internos e transparência das instituições financeiras –,
além de transparência e objetividade da Supervisão Bancária.
Com a implementação do Novo Acordo no Brasil, cujo cronograma inicial foi
fornecido pelo Comunicado 12.746, do Banco Central do Brasil, de 9 de
dezembro de 2004, e posteriormente ajustado pelo Comunicado 16.137, de 29
de setembro de 2007, a gestão do risco operacional torna-se cada vez mais
importante para as instituições financeiras e órgãos reguladores, haja vista que
a alocação de capital incluirá o risco operacional, além dos riscos de mercado e
de crédito, causando impactos no posicionamento competitivo dos bancos.
A Resolução 3.380 do Banco Central do Brasil, de 29 de junho de 2006,
determinou que, até o final de 2007, todas as instituições autorizadas a
funcionar pela referida autarquia implementassem estrutura para gestão do
risco operacional, representando mais um passo no importantíssimo processo
de adesão do Sistema Financeiro Nacional ao Novo Acordo.
75 A unidade de gestão de risco operacional das instituições financeiras, além
de construir banco de dados com perdas de riscos operacionais deve identificar
e monitorar eventos de risco operacional, desenvolver mecanismos de
mitigação, elaborar relatórios e estimular uma cultura organizacional adequada
à gestão de riscos.
Devem ser mencionadas, também, as exigências do Sarbanes-Oxley Act,
promulgado em 2002, que estão produzindo impactos na maneira como as
empresas estruturam seus sistemas de controles internos e elaboram seus
demonstrativos financeiros e contábeis, obrigando as companhias a empregar
práticas mais consistentes de gestão de risco operacional.
A tendência mundial é promover o desenvolvimento de mecanismos para
a gestão dos riscos operacionais, tanto para a sobrevivência da empresa
quanto para atender aos órgãos supervisores nacionais e internacionais”.
(Coimbra, Fabio, 11/7/2008), artigo do INSTITUTO BRASILEIRO DE EXECUTIVOS DE
FINANÇAS DE SÃO PAULO -IBEF SP
76
CAPÍTULO 5
ESTUDO DE CASO DE UM CONGLOMERADO BANCÁRIO
De acordo com Martin (2004, p.19 a 22) Para o estudo de um caso
prático, a figura 11 apresenta as soluções estruturais que estão sendo usadas
atualmente por um conglomerado bancário brasileiro que reúne dois bancos de
grande porte. O estudo da organização desse conglomerado não pretende se
constituir num guia ou numa referência a ser seguida. O propósito de sua
analise é simplesmente o de ilustrar toda a variedade e complexidade
organizacional que envolve a organização hierárquica, funcional e de
relacionamento dos órgãos do controle interno de um grande banco.
Figura 11: Estrutura organizacional dos controles internos num grupo bancário
Fonte: Apostila FIPECAFI, pág. 19
77O organograma desse banco apresenta as seguintes características:
1. Há uma separação fundamental de responsabilidades. O
Conselho de Administração, como o representante dos
acionistas da empresa e órgão maior da governança
corporativa, possui o total poder de controlar. As Divisões
Operacionais são constituídas pelos bancos do grupo e são elas
que possuem o poder de gestão, isto é, o de realizar as
operações bancárias de intermediação financeira.
2. Há uma administração central. O banco constituiu uma
holding e essa reúne dois tipos de órgão, que tem em comum a
sua ligação direta com o Conselho:
a) Os Comitês, que são compostos pelos próprios membros do
Conselho que são designados para determinadas tarefas de
monitoramento (tal como o Comitê de Auditoria Interna ou Comitê
de Recursos Humanos e Remuneração).
b) Os órgãos de controle, propriamente ditos, entre os quais se
encontra a Auditoria Interna, a Controladoria e o Controles
Internos e Compliance.
Dentro da holding, o Conselho tem a função de fixar os objetivos e
metas do conglomerado, especialmente para as suas Divisões
Operacionais. Por outro lado, cabe aos órgãos da holding o controle
interno de todas as atividades e transações realizadas pelas
Divisões Operacionais para verificar o cumprimento dos objetivos e
metas estipulados pela governança.
3. Há órgão de administração centralizada.
Todos os órgãos de controle da holding têm uma das seguintes
missões:
a) Orientar e fixar diretrizes uniformes de atuação dentro do grupo
(recursos humanos ou TI, por exemplo);
b) Exercer de forma centralizada determinadas funções para todas
as unidades do grupo (jurídico e relações com investidores, por
exemplo);
78c) Exercer o controle interno (Auditoria Interna, a Controladoria e os
Controles Internos). Nesse banco, em particular, foi criada uma
Diretoria de Controles Internos e a Avaliação de Riscos. A
Auditoria Interna é um órgão autônomo da holindg com um report
direto com o Conselho.
Há uma relação muito próxima entre o Comitê de Auditoria e os
órgãos internos de Controladoria/Contabilidade e Auditoria Interna,
assim o Comitê de Controles Internos possui tal relação estreita com
o órgão de controle internos.
4. A gestão dos recursos é realizada nas Divisões
Operacionais. Cada banco desse conglomerado tem
autonomia e possui todos os órgãos necessários para fazer a
captação de depósito e outros fundos; a aplicação de recursos
em empréstimos e investimentos, em nome próprio ou de
terceiros (administração de fundos); participar de operações de
fusão ou aquisições; participar de lançamentos internacionais
ou nacionais de títulos; etc., além de ter sua própria Tesouraria
e mesa de operações. Em relação à gestão de riscos, cada
banco segue as orientações da holding em termos da
identificação e mensuração dos riscos de suas operações, mas
efetua de forma independente a gestão propriamente dita dos
riscos inerentes a essas operações, através de operações
próprias de transferência, hedge ou mitigação.
5. Funções especificas dos órgãos de controle: são as
seguintes:
a) Controladoria/Contabilidade: É responsável pela preparação
das demonstrações financeiras que serão publicas, em
conformidade com a regulamentação específica e com os
princípios contábeis aplicáveis. Faz o planejamento tributário para
todas as empresas do grupo e é responsável pelo pagamento de
79todos os tributos incidentes sobre as operações e produtos. Faz
também a análise de desempenho do conglomerado e de todas
as suas empresas, utilizando indicadores de rentabilidade
ajustados ao risco (RAROC, no caso).
Esse órgão tem uma ligação funcional de orientação e report com as
Controladorias Divisionais, isto é, com as Controladorias que fazem o
seu papel em cada Divisão Operacional do grupo. As Controladorias
Divisionais fazem uma boa parte do processo contábil e tributário de
suas respectivas Divisões, mas a elaboração final das
demonstrações financeiras que serão publicadas é feita
exclusivamente pela Controladoria/Contabilidade Central. Na maior
parte dos bancos, a Controladoria reporta diretamente ao Conselho.
Contudo, no banco em questão, a Controladoria reporta a um Diretor
Geral de Controles.
b) Controles Internos e Compliance: É responsável por assegurar
que as unidades do conglomerado em especial as suas Divisões,
cumpram todos os requisitos legais ou regulamentares ao
conduzir suas operações ou transações. Esse órgão cuida das
relações com a Supervisão Bancária e se encarrega de notificar
todas as unidades sobre mudanças nos regulamentos ou na
forma de interpretá-los. Com exceção do desempenho financeiro
(que é examinado pela Controladoria), esse órgão analisa e
reporta o desempenho operacional das unidades. Não só perante
o objetivo de compliance, mas perante os objetivos de custódia e
qualidade das informações. Na maior parte dos bancos,
Controles Internos relacionam-se e diretamente com o Conselho,
mas seus STAFF, que são os officers de controle e compliance,
normalmente trabalham junto às próprias unidades que estão
controlando. No banco em questão, Controles Internos reportam-
se a um Diretor Geral de Controles.
c) Avaliação de riscos: É a responsável pelo estudo, criação e
implantação dos modelos de análise e mensuração de risco que
80são utilizados pelas Divisões Operacionais, quer sejam modelos
de base qualitativa ou quantitativa. Cabe também a esse órgão a
verificação periódica da validade dos modelos, em face da
experiência real das Divisões com o seu uso. É uma função
centralizada, que é exercida no Escritório Central do
conglomerado. Na maior parte dos bancos, a Avaliação dos
Riscos comunica-se diretamente com o Conselho, contudo, no
banco em questão, a Avaliação de Riscos reporta-se a um Diretor
Geral de Controles.
d) Auditoria Interna: É um órgão de controle essencial para realizar
com independência uma série de análise e investigações, boa
parte delas ex post facto, para detectar problemas, desvios, falhas
e omissões no cumprimento dos objetivos e das normas de
políticas e de procedimento do banco, não só nas Divisões
Operacionais, mas também nos órgãos centrais da Holding, tais
como: Controladoria/Contabilidade, a Avaliação de Riscos,
Recursos Humanos, TI e etc. Cabe à Auditoria Interna o
relacionamento com a Auditoria Externa e a realização de
auditorias periódicas (na área contábil e recursos humanos, por
exemplo). Além disso, também é encarregada de efetuar
levantamentos e investigações especiais em operações,
transações, produtos, métodos de trabalho etc., de qualquer área
e em qualquer nível, sempre que houver uma evidência razoável
de que estejam em curso ou que já tenham sido realidades ações
(ou omissões) que poderão redundar em perdas significativas
para a organização.
Tendo em vista o largo espectro de suas responsabilidades, a
Auditoria Interna pode fazer uso de especialistas próprios ou
contratados para auditar determinadas áreas e transações como,
por exemplo, da área de crédito ou certas transações
estruturadas, que envolvem grande complexidade financeira e
contratual.
81
CONCLUSÃO
Os bancos são instituições que administram recursos de terceiros, que
operam em ambiente bastante complexo e de riscos permanentes. O sucesso
das organizações bancárias interessam tanto aos seus participantes
relevantes, como também ao mercado financeiro internacional, dependendo da
importância da instituição no cenário global.
Com o objetivo de orientar a Supervisão Bancária Internacional e as
organizações que atuam no mercado financeiro mundial, foi criado o Comitê da
Basiléia, que passou a emitir normas como forma de recomendações, visando
contribuir para a prevenção dos riscos das operações e possíveis perdas,
assim como evitar o colapso do sistema financeiro internacional. O Brasil
através do Banco Central vem seguindo esses acordos e tentando se adequar
a essas regras.
Os acordos da Basiléia, tem apontado para problemas de administração,
riscos operacionais e controles internos. Para as instituições que negociam no
mercado internacional a adequação a lei Sarbanes-Oxiley, passou a ser uma
exigência.
Pelo que foi observado neste trabalho, a maior parte dos problemas
causados às instituições financeiras surgiram em decorrência de controles
internos inadequados, falhas de pessoas ou sistemas que, de acordo com o
Comitê da Basiléia, se enquadram como risco operacional. Outro ponto que
vale a pena destacar é o envolvimento de “pessoas” nesses eventos, o que
aumenta a importância dos controles internos nessas organizações, como
forma de influenciar o comportamento das pessoas que trabalham nessas
instituições, tentando evitar que eventos indesejáveis aconteçam, e assim,
colaborando para que as empresas atinjam os seus objetivos. A finalidade do
controle interno é fazer com que o banco atinja os seus objetivos.
No Brasil, os últimos balanços das instituições financeiras divulgados na
mídia, têm apresentado resultados bastante positivos, o que vem demonstrar a
eficiência da gestão e dos controles internos desses bancos.
82 Ao concluir este trabalho, estou convencido de que vale a pena as
organizações bancárias investirem em controles internos, desde que obedeça a
relação custo benefício e não haja controles em excesso, pois, além do retorno,
aumenta a confiança da sociedade nessas empresas.
83ANEXOS
Legislação citada:
LEI 9613/98 – Lei Contra a lavagem de Dinheiro
LEI 8.078/90 – Código de Defesa do Consumidor (CDC)
Resolução do Banco Central nº 2.554, de 24/9/98
Resolução do Banco Central nº 2.878, de 26/7/01
Resolução do Banco Central nº 3.380, de 29/6/06
84
BIBLIOGRAFIA
ALMEIDA, Marcelo Cavalcanti. Auditoria: Um Curso Moderno e Completo. 6 Ed. São Paulo: Atlas, 2007. 590p. ATTIE, William. Auditoria:Conceitos e Aplicações.2. Ed. São Paulo: Atlas, 1984.393 PIL CARVALHO, Gilmara Pinto. Monografia do Curso de Graduação de Ciências Contábeis da Universidade de Brasília. 2003 CÔRTES, Rodrigo. Análise Critica do Colapso do Barings Bank. Disponível: WWW.rmac3.com.br Martin, Nilton Cano. Apostila Os Controles Internos no Contexto Bancário. FIPECAFI. 17/11/2004. DUARTE Jr., A.M., JORDÃO, M.R, GALHARDO, L.C., KANNEBLEY, R.F., SCALON, D., SCHLDLOW, M., CONILIO, M.A.M., Artigo Técnico, Resenha BM&F -nº143, pgs. 40 a 44.
85
INDICE
INTRODUÇÃO 08
CAPÍTULO I
Objetivos e controles internos de um banco 11
1. Objetivo das organizações bancarias 11
2. O conceito de controles internos 12
3. Objetivos Gerais, objetivos segmentados e governança corporativa 15
4. Estrutura organizacional do sistema de controles internos 17
5. Riscos: Gestão e controles internos 19
6. As categorias dos controles 20
7. O Sistema de controles internos 29
CAPÍTULO II
Os componentes do controle interno 30
1. Ambiente de controle 30
2. Avaliação dos riscos 31
3. Atividades de controle 31
4.Informação e comunicação 32
5. Acompanhar e Monitoramento 33
CAPÍTULO III
Riscos: Identificação e Avaliação 40
1. Os riscos bancários 43
2. Identificação dos eventos de risco 45
3. Riscos externos 46
4. Riscos internos 49
5. Perspectivas de riscos 50
6. Métodos de identificação dos riscos 52
7. Avaliação dos riscos 53
86CAPÍTULO IV
GESTÃO DE RISCO 63
1. Gestão de riscos nas instituições financeiras 63
2. Riscos operacionais 64
3. A importância da gestão de riscos operacionais 64
4. Os acordos da Basiléia 65
5. Lista de controles internos 66
6. Casos de fraude 68
CAPÍTULO V
ESTUDOS DE CASOS DE UM CONGLOMERADO BANCÁRIO 76
CONCLUSÂO 81
ANEXO 83
BIBLIOGRAFIA 84