Apostila Controles Internos Abr 2009

Programa Certificação Interna em Conhecimentos

CONTROLES INTERNOS E COMPLIANCE

CONTROLES INTERNOS E COMPLIANCE

Brasília, abril de 2009

S

Sumário

Introdução ..................................................................................................................................... 1. Ambiente regulatório.............................................................................................................. 1.1. Acordos de Basileia........................................................................................................... ► Acordo de Basileia I...................................................................................................... ► Emenda de riscos de mercado de 1996....................................................................... ► Princípios essenciais para uma supervisão bancária eficaz......................................... ► Acordo de Basileia II – Inclusão do risco operacional................................................... 1.2. Regulamentação no Brasil.................................................................................................

9 13 15 15 18 18 19 23

2. Gestão do risco operacional em instituições financeiras................................................... 27 2.1. Risco operacional.............................................................................................................. 28

2.2. Fases do gerenciamento do risco operacional.................................................................. ► Identificação e sensoriamento...................................................................................... ► Avaliação e mensuração............................................................................................... ► Mitigação....................................................................................................................... ► Controle......................................................................................................................... ► Monitoramento..............................................................................................................

29 30 30 35 36 37

3.

Gestão do risco operacional no BB...................................................................................... 3.1. Riscos gerenciados pelo Banco do Brasil......................................................................... 3.2. Políticas e processos de Gestão do risco operacional...................................................... ► Políticas de risco operacional....................................................................................... ► Processo de gestão do risco operacional..................................................................... 3.3. Estrutura de gestão e responsabilidades das áreas.......................................................... ► Diretoria de Gestão de Riscos – Diris........................................................................... ► Diretoria de Controles Internos – Dicoi......................................................................... ► Diretoria de Segurança – Diges.................................................................................... 3.4. Demais Intervenientes....................................................................................................... ► Gestores........................................................................................................................ 3.5. Fatores de risco e eventos de perda................................................................................. ► Fatores de risco............................................................................................................ ► Eventos de perda operacional...................................................................................... 3.6. Mensuração no BB............................................................................................................

39 40 41 41 42 43 43 44 44 46 46 47 47 49 52

4.

Controles internos em instituições financeiras................................................................... 4.1. Controles internos em um banco e os objetivos da organização...................................... ► Conceito de controle interno......................................................................................... ► Os objetivos das organizações bancárias..................................................................... 4.2. .Os componentes do controle interno................................................................................

55 56 57 60 66

5.

Controles internos no BB....................................................................................................... 73 5.1. Histórico de controles internos no Banco do Brasil........................................................... 74 5.2. Modelo de gestão de controles internos no BB................................................................. 76 5.3. Categorias e subcategorias de controles.......................................................................... 79 5.4. Compliance........................................................................................................................ 84

6.

Conformidade em processos................................................................................................. 95 6.1. Verificação de conformidade............................................................................................. 96 ► Tipos de verificação de conformidade........................................................................... 96 ► Regularização de não-conformidades.......................................................................... 97 ► Solicitação de reconsideração de não-conformidade................................................... 98 6.2. Consequências da inobservância dos pontos de controle................................................ 98 6.3. Ferramentas de controle.................................................................................................... 99 6.4. Informações gerenciais...................................................................................................... 100 6.5. Monitoramento da conformidade - rating de agências...................................................... 103 6.6. Acompanhamento da conformidade.................................................................................. 106

Referências................................................................................................................................... 109

O

Objetivo geral

Reconhecer políticas e procedimentos de controles internos e compliance e suas implicações para a mitigação do risco operacional no BB.

Controles



internos e compliance

Introdução1 A chave para a manutenção da integridade financeira de um banco e da preservação da sua confiabilidade e fé pública é a garantia de que todas as suas operações, tais como as de crédito, as de investimento e as de custódia e aplicação de recursos de terceiros, sejam conduzidas dentro de padrões elevados de análise, gestão e controle de riscos, já que os riscos estão sempre presentes em tais operações. Como a experiência histórica ensina, a perda generalizada de confiança no sistema bancário faz com que os indivíduos e as empresas busquem uma retirada rápida de seus depósitos para mantê-los líquidos ou aplicados em ativos reais. Toda a economia pode ficar paralisada como consequência dessa “corrida bancária”, causando imensos danos como a retração dos negócios, o colapso dos mercados de bens e serviços, a queda da renda e do emprego etc. E toda essa cadeia de “horrores econômicos” tem nascimento num evento singular: a incapacidade de um banco honrar seus compromissos. Não há dúvida: os bancos, como qualquer outra empresa, precisam aplicar seus recursos em ativos produtivos para obter a rentabilidade demandada pelos seus acionistas. Mas sempre se deve considerar que os bancos constituem um tipo de empresa muito especial, na qual as decisões particulares e privadas de aplicação de recursos podem ter repercussões sociais negativas muito fortes, se os riscos que cercam tais operações não forem adequadamente reconhecidos e controlados. A história dos bancos, no mundo e no Brasil, está repleta de colapsos, que trouxeram dolorosas consequências para os poupadores, para a economia e para a sociedade, dentre os quais destacamos os casos Barings, Marka, FonteCindam e Société Générale. Banco Barings Em 1995, o Banco Barings – tradicional banco inglês de 233 anos e depositário de parte da riqueza pessoal da monarquia britânica – foi à falência devido à atuação de um único funcionário, o operador de derivativos2 Nicholas Leeson.

Esta introdução baseia-se em textos da apostila BB/Fipecafi, “Os Controles Internos no Contexto Bancário”, de Martin (2006), e do curso Introdução à Gestão de Riscos, da UniBB. 2 Derivativo é um instrumento financeiro cujo valor deriva de um outro ativo, que pode ser um bem na forma financeira ou real. 1

Universidade Corporativa BB

10

Programa

certificação interna em conhecimentos

Os problemas que geraram as perdas nesse banco estão relacionados à mudança abrupta das condições de mercado e à inexistência de controles internos básicos como: segregação de funções, dupla conferência, conciliações e controles automatizados. Bancos Marka e FonteCindam Os bancos, por natureza, são empresas que operam de forma alavancada3. A utilização das operações com derivativos pode aumentar ainda mais a exposição aos diversos riscos a que estão sujeitos os agentes econômicos. Foi no ambiente dos mercados futuros que foram originadas as perdas dos bancos Marka e FonteCindam e que provocaram suas liquidações extrajudiciais. O Banco Marka possuía posição vendida (passivos) em dólares nos mercados futuros de mais de vinte vezes seu patrimônio líquido. Com isso, uma mudança brusca no câmbio, como a desvalorização ocorrida em janeiro de 1999, reduziu os recursos dos bancos para a continuidade das atividades. Operar em mercados de derivativos exige o estabelecimento de limites de exposição para não causar perdas elevadas. Quando uma instituição vende dólares futuros a descoberto (sem contrapartida comprada em operações com dólares), o prejuízo resultante de uma alta do dólar é ilimitado. No caso dos bancos Marka e FonteCindam, os prejuízos foram equivalentes a 1,5 bilhão de reais. Société Générale Durante 12 meses, o trader Jérôme Kerviel enganou os sistemas de segurança do Société Générale de uma maneira bastante simples. Para cada ordem de compra verdadeira, ele incluía uma ordem de venda fictícia. Os controles do banco viam somente o líquido dessas operações, isto é, não viam nada. Com esse mecanismo Jérôme acumulou posições especulativas que superaram 50 bilhões de euros e obteve, durante algum tempo, bons resultados com essas posições. De forma semelhante ao que aconteceu com o operador Lesson no Barings, devido à fragilidade dos controles internos do Société, os ganhos expressivos de Jérôme, ao invés de despertarem suspeita, foram incentivados por seus superiores, que tiveram aumento expressivo em seus bônus. Em virtude da crise subprime4, as áreas de controle e risco do Société foram Alavancagem: decisão de financiar ativos (negócios) com recursos de terceiros (passivos) e não com recursos próprios (patrimônio líquido). Quanto mais alavancada uma instituição, maior a presença de capital de terceiros comparativamente ao capital próprio em seu balanço patrimonial. 4 Subprime é um crédito à habitação, de alto risco, que se destina a uma fatia da população com rendimentos baixos e uma situação econômica instável. Disponível em www.diarioeconomico.sapo.pt, acesso em 12.02.2009. 3

Universidade Corporativa BB

Controles

11

internos e compliance

chamadas para reavaliar algumas de suas exposições. Essa inspeção fez com que fosse descoberta a fraude e revelado o prejuízo acumulado por Jérôme, que superava 7 bilhões de dólares. Trata-se da maior perda causada por fraude de todos os tempos, comunicada ao mercado em janeiro de 2008. Felizmente, com as lições obtidas ao longo da história, hoje são bem conhecidos os meios para que sejam evitadas as falências bancárias e seja preservada a estabilidade financeira de uma economia, com um “grau razoável de garantia”. Tais meios são: ■ a existência, no sistema financeiro de cada país, de uma supervisão oficial abrangente, criteriosa e rigorosa dos bancos e de suas operações; e ■ a atuação, em cada banco do sistema financeiro, de uma administração consciente, competente e efetiva. O papel dos supervisores oficiais é indispensável para a manutenção da estabilidade de um sistema financeiro e não pode ser substituído por qualquer outro mecanismo, porque somente eles, exclusivamente, é que: • possuem visão geral dos riscos do sistema financeiro como um todo; • têm neutralidade necessária para solicitar informações, acompanhar e avaliar as exposições de risco de cada banco e verificar a qualidade de seus sistemas de informação e de seus controles internos; • estão na posição de poder observar as grandes tendências apresentadas pelas operações das organizações bancárias, em seu país e no mundo; • podem exigir o cumprimento de leis e regulamentos do setor; • podem exigir que sejam tomadas prontamente as ações corretivas necessárias para sanar problemas financeiros ou de má gestão, ainda não conhecidos pelo mercado, evitando desestabilizar o sistema. Entretanto, segundo os próprios supervisores oficiais, seu papel no sistema financeiro é suplementar e subsidiário, já que o papel principal é desempenhado pela administração de cada instituição bancária. Dentre os elementos de uma administração bancária competente, podemos destacar: • uma governança atuante; • um sistema válido de gestão de riscos; • um sistema de controles internos completo, abrangente e rigoroso.

Universidade Corporativa BB

12

Programa

certificação interna em conhecimentos

A transparência, a redução de riscos e o cumprimento de leis e normas sempre foram aspectos importantes para as corporações em qualquer parte do mundo. Aliado à governança e à gestão de riscos, controles internos e compliance formam o tripé fundamental para contribuir para a sustentabilidade das organizações. A visão integrada desses três conceitos, incluindo todos os requisitos necessários ao atingimento dos objetivos estratégicos, vem se tornando uma importante ferramenta para a criação de valor e para o aumento da competitividade. O esforço das organizações em desenvolver e implementar sistemas e processos que permitam gerir riscos em escala global, adequar-se às crescentes exigências regulatórias e garantir os princípios de governança corporativa é um investimento que vale a pena, especialmente quando mensurado em termos de melhoria de performance, transparência e sustentabilidade corporativa. Nesta apostila, trataremos de cada um destes elementos – controles internos, compliance e gestão do risco operacional – buscando evidenciar a ligação entre eles, bem como sua importância para a gestão de uma organização.

Universidade Corporativa BB

1

Ambiente regulatório

Espera-se que ao final do estudo deste tema você possa: ▪ Identificar os marcos regulatórios internacionais que impactam o Sistema Financeiro Nacional - SFN. ▪ Reconhecer os conceitos criados pelo Acordo de Basiléia I. ▪ Identificar os aspectos relevantes da Emenda de Riscos de Mercado de 1996. ▪ Identificar os objetivos do Acordo de Basiléia II. ▪ Reconhecer os pilares do Acordo de Basiléia II e suas características. ▪ Identificar marcos da regulação bancária brasileira, referentes à gestão do risco operacional e aos controles internos.

Controles

15

internos e compliance

1.1. ACORDOS DE BASILEIA Em 1974, os responsáveis pela supervisão bancária nos países do G-105 decidiram criar o Comitê de Regulamentação Bancária e Práticas de Supervisão, sediado no Banco de Compensações Internacionais – BIS6, em Basileia, na Suíça. Daí a denominação Comitê de Basileia. O Comitê é constituído por representantes dos bancos centrais e por autoridades com responsabilidade formal sobre a supervisão bancária dos países membros do G-10. Nesse Comitê, são discutidas questões relacionadas à indústria bancária, visando estabelecer padrões de conduta, melhorar a qualidade da supervisão bancária e fortalecer a solidez e a segurança do sistema bancário internacional. A primeira reunião do Comitê de Basileia ocorreu em fevereiro de 1975. A partir de 1981, os resultados das reuniões começaram a ser publicados anualmente, por meio de relatório sobre os avanços ocorridos na supervisão bancária, intitulado “Report on International Developments in Banking Supervision”. De forma pontual, alguns estudos e propostas também foram publicados. Ainda em 1975, foi elaborado o documento intitulado “Concordat”, que visava estabelecer diretrizes para o desenvolvimento dos trabalhos do Comitê. O “Concordat” instituiu dois princípios: ■ todo estabelecimento bancário no exterior deveria ser supervisionado; ■ a supervisão deveria ser adequada. O Comitê de Basileia não possui autoridade formal para supervisão supranacional, mas tem o objetivo de que os países não membros do G-10, seguindo as orientações, aprimorem os métodos de supervisão e adotem as recomendações e princípios para melhoria das práticas no mercado financeiro. ► Acordo

de Basileia I

Em julho de 1988, foi celebrado o Acordo de Basileia que padronizou a aplicação de Fatores de Ponderação de Risco - FPR aos ativos e a exigência de capital mínimo. Atualmente, esse Acordo é conhecido como Basileia I. Apesar da denominação G-10, são 11 os países que compõem este grupo: Alemanha, Bélgica, Canadá, EUA, França, Holanda, Itália, Japão, Reino Unido, Suécia e Suíça. Além destes, atualmente também participam deste Comitê a Espanha e Luxemburgo. 6 Bank for International Settlements – BIS 5

Universidade Corporativa BB

16

Programa

certificação interna em conhecimentos

Os objetivos do acordo foram reforçar a solidez e a estabilidade do sistema bancário internacional e minimizar as desigualdades competitivas entre os bancos internacionalmente ativos. Essas desigualdades eram o resultado de diferentes regras de exigência de capital mínimo pelos agentes reguladores nacionais. O Acordo de Basileia de 1988 criou três conceitos: ■ Capital regulatório; ■ Ativos Ponderados pelo Risco – APR; ■ Índice mínimo de capital para cobertura do risco de crédito (Índice de Basileia ou Razão BIS). Capital regulatório Capital regulatório é o montante de capital próprio alocado para a cobertura de riscos, considerando os parâmetros definidos pelo regulador (no caso do nosso país, o Banco Central do Brasil - Bacen). O conceito de capital de uma instituição financeira, definido pelo Acordo de 1988, era composto da seguinte forma: Capital Nível 1 ou Principal – capital dos acionistas somado às reservas (lucros retidos); ■ Capital Nível 2 ou Suplementar – outras reservas (não publicadas, reavaliação etc.), provisões gerais, instrumentos híbridos de capital e dívida subordinada7. ■

O Capital Nível 2 não pode exceder a 100% do Capital Nível 1 e as dívidas subordinadas estão limitadas a 50% do Capital Nível 1. Essa exigência é motivada pela necessidade de garantir que os riscos do banco sejam cobertos, principalmente, pelo capital dos acionistas (Nível 1). Ativos Ponderados pelo Risco – APR A exigência de capital, prevista no Acordo de Basileia, considera a composição dos ativos da instituição e a natureza de suas operações fora do balanço, tais como derivativos e securitizações. A exposição a risco de crédito desses componentes é ponderada pelos diferentes pesos estabelecidos, considerando, principalmente, o perfil do tomador (soberano, bancário ou empresarial, bancos centrais, membros da OECD8 e governos centrais), conforme Quadro 1. 7

8

Instrumento híbrido de capital e dívida subordinada são produtos bancários que apresentam características tanto de dívida quanto de capital. OECD – Organização para Cooperação e Desenvolvimento Econômico (Organization for Economic Cooperation and Development).

Universidade Corporativa BB

Controles

17

internos e compliance

Quadro 1 Categorias de ativo e pesos de risco CAT EGORIAS DO AT IVO

PESOS DE RISCO

Caixa e ouro Títulos do governo central ou do banco central do país em moeda local 0% PESOS DE Títulos dos governos ou banco central de países da OECD. CAT EGORIAS DO AT IVO RISCO Títulos de entidades do setor público 0, 10, 20 ou 50% Caixa e ouro Títulos de bancos multilaterais de desenvolvimento Direitos de bancos incorporados na OECD. Títulos do governo central ou do banco central do país em moeda local 0%20% Direitos de bancosoudebanco fora da OECD prazos Títulos dos governos central dede países damenores OECD. que um ano Empréstimos imobiliários Títulos de entidades do setor hipotecários público 0, 10, 20 ou 50 50% Títulos do setormultilaterais privado Títulos de bancos de desenvolvimento Títulos governos fora da OECD. 100% Direitos de de bancos incorporados na OECD. 20% Direitos de bancos de fora da OECD de prazos menores que um ano Empréstimos imobiliários hipotecários 50 Títulos do setor privado A partir da aplicação dos pesos de risco (Fatores de Ponderação de Riscos – Títulos de governos fora da OECD. 100%

FPR) sobre os ativos, obtém-se o valor dos Ativos Ponderados pelo Risco – APR.

Ao estabelecer exigência de capital mínimo centrado na diferenciação dos riscos dos ativos, Basileia I indicou que, quanto maior for a exposição a riscos, maior será a exigência do nível de capitalização. Índice mínimo de capital para cobertura do risco de crédito – Índice de Basileia ou Razão BIS Para verificar se o capital próprio da instituição financeira está adequado para a cobertura do risco de crédito, o acordo de Basileia I criou um índice de solvência chamado Razão BIS ou Cooke Ratio (K). Esse indicador foi definido como o quociente entre o capital regulatório e os ativos (dentro e fora do balanço) ponderados pelo risco, conforme demonstração a seguir. K=

[Capital Nível I + Capital Nível II] APR

Se o valor de “k” for igual ou superior a 8%9, o nível de capital do banco está adequado para a cobertura de risco de crédito. Após a publicação de Basileia I, houve um período de transição, até 1992, para que os bancos dos países integrantes do G-10 pudessem adaptar-se às novas regras. Nesse período, as autoridades ficaram responsáveis pela im-

9

Os supervisores de cada país têm a prerrogativa de definir percentual superior ao estipulado pelo Acordo de Basileia. No Brasil, este percentual é de 11%.

Universidade Corporativa BB

18

Programa

certificação interna em conhecimentos

plementação das diretrizes nos seus respectivos países e pelos esforços em estender a metodologia aos demais países não pertencentes a esse grupo. ► Emenda

de riscos de mercado de 1996

O avanço obtido com Basileia I, em termos de marco regulatório e de exigência de capital para suportar o risco de crédito, é inegável. Entretanto, algumas críticas surgiram, tornando-se necessário o aprimoramento daquele documento no âmbito do Comitê de Basileia. Entre os ajustes, destacou-se a necessidade de alocação de capital próprio para cobertura de riscos de mercado. Assim, em janeiro de 1996, foi publicado adendo ao Basileia I, chamado de Emenda de Risco de Mercado10, cujos aspectos relevantes são: ■ ampliação dos controles sobre riscos incorridos pelos bancos; ■ extensão dos requisitos para a definição do capital mínimo (ou regulatório), incorporando o risco de mercado; ■ possibilidade de utilização de modelos internos na mensuração de riscos, desde que aprovados pelo regulador local; ■ criação do Capital Nível III, que corresponde aos títulos de dívida subordinada com maturidade abaixo de dois anos. ► Princípios

essenciais para uma supervisão bancária eficaz

Em setembro de 1997, o Comitê de Basileia publicou uma de suas mais importantes orientações, intitulada “Princípios Essenciais para uma Supervisão Bancária Eficaz”, que forneceu sete fundamentos básicos para a supervisão bancária nos mais diversos países. São eles: ■ condições prévias para uma supervisão bancária eficaz; ■ autorizações e estrutura; ■ regulamentação e requisitos prudenciais; ■ métodos de supervisão bancária contínua; ■ requisitos de informação; ■ poderes formais dos supervisores; ■ atividades bancárias internacionais.

10

Amendment to the Capital Accord to Incorporate Market Risks

Universidade Corporativa BB

Controles

19

internos e compliance

Esses fundamentos foram desmembrados em vinte e cinco princípios11, cujo objetivo foi padronizar uma atuação supervisora eficaz. ► Acordo

de Basileia II – Inclusão do risco operacional

Desde a criação do Comitê de Basileia em 1974, a regulamentação bancária vem apresentando avanços significativos. Assim, visando sanar deficiências ainda pendentes, em junho de 2004 o Comitê divulgou o Novo Acordo de Capital, comumente conhecido por Basileia II, com os seguintes objetivos: ■ promover a estabilidade financeira; ■ fortalecer a estrutura de capitais das instituições; ■ favorecer a adoção das melhores práticas de gestão de riscos; ■ estimular maior transparência e disciplina de mercado. A estrutura do Basileia II, conforme Figura 1, está apoiada em três pilares: ■ Pilar I – Exigência de capital mínimo; ■ Pilar II – Supervisão bancária; ■ Pilar III – Disciplina de mercado. Figura 1 Estrutura do acordo de Basileia II

Pilar I Exigência de Capital Mínimo

Pilar II Supervisão Bancária

Pilar III Disciplina de Mercado

Abordagens de mensuração de Risco: - Crédito - Mercado - Operacional

Avaliação de como os bancos estão adequando as necessidades de capital frente aos riscos incorridos

Divulgação de informações relevantes ao mercado

Basileia II propõe um enfoque mais flexível para exigência de capital e mais abrangente com relação ao fortalecimento da supervisão bancária e ao estímulo para maior transparência na divulgação das informações ao mercado.

11

Os 25 princípios essenciais para uma supervisão bancária eficaz podem ser consultados, via internet, no seguinte endereço: http://www.bcb.gov.br/ftp/defis/basileia.pdf.

Universidade Corporativa BB

20

Programa

certificação interna em conhecimentos

Pilar I: Exigência de capital mínimo No Pilar I, identificam-se significativas alterações em relação a Basileia I, destacando-se a inclusão da exigência de capital mínimo para cobertura do risco operacional. Além disso, possibilita-se a utilização de modelos próprios dos bancos – comumente conhecidos por modelos internos – para o cálculo do capital mínimo exigido para risco para risco de crédito, de mercado e operacional. A Figura 2 esquematiza as abordagens propostas por Basileia II para cálculo do capital mínimo exigido para os três riscos. Figura 2 Basileia II – Abordagens para cálculo do capital mínimo

Abordagem Padronizada - Padronizada - Padronizada Simplificada

Modelo Interno: - Básico - Avançado

Modificado

Risco de mercado

Risco operacional Indicador Básico

Abordagem Padrão

Modelo Interno

Mantido

Abordagem Padronizada - Padronizada - Padronizada Alternativa

Modelo Interno: - Avançado

Redução do Capital Requerido

Grau de Sofisticação

Risco de crédito

Adicionado

A exigência de capital mínimo para risco de crédito foi modificada e permite, com aprovação dos supervisores, que os bancos utilizem seus próprios sistemas de avaliação de riscos (Internal Risk Based Approaches – IRB) em dois níveis, o básico e o avançado. Para o risco de mercado, a abordagem foi mantida sem mudanças em relação à Emenda de Riscos de Mercado de 1996. Para o risco operacional, é permitida a utilização de três metodologias de apuração do capital mínimo exigido:

Universidade Corporativa BB

Controles

21

internos e compliance

■

abordagem do indicador básico; ■ abordagem padronizada12; ■ abordagem de mensuração avançada (AMA). A exigência de capital mínimo tem o objetivo de controlar a tolerância dos bancos na tomada de risco, funcionando como um colchão de proteção contra perdas. Pilar II: Processo de supervisão O processo de supervisão estabelece normas para o gerenciamento de risco, controlando e tornando transparente o acompanhamento dos riscos no sistema financeiro. O Pilar II tem o objetivo de assegurar que o nível de capitalização do banco seja coerente com seu perfil de risco. O Comitê estabeleceu quatro princípios essenciais de revisão de supervisão que evidenciam a necessidade de os bancos avaliarem a exigência de capital mínimo em relação aos riscos assumidos e de os supervisores reverem suas estratégias e tomarem atitudes pertinentes em face dessas avaliações. Tais princípios são: 1º. Princípio Os bancos devem ter um processo para estimar sua adequação de capital em relação a seu perfil de risco e possuir uma estratégia para manutenção de seus níveis adequados de capital. 2º. Princípio Os supervisores devem avaliar as estratégias, as estimativas de adequação e a habilidade dos bancos em monitorar e garantir sua conformidade com a exigência de capital mínimo. 3º. Princípio Os supervisores esperam, e podem exigir, que os bancos operem acima das exigências de capital mínimo. 4º. Princípio Os supervisores podem intervir antecipadamente e exigir ações rápidas dos bancos, se o nível de capital ficar abaixo do nível mínimo.

12

Basileia II sugere, também, uma abordagem padronizada alternativa.

Universidade Corporativa BB

22

Programa

certificação interna em conhecimentos

Pilar III: Disciplina de mercado Disciplina de mercado representa o conjunto de informações a ser divulgado para os participantes, possibilitando um acompanhamento mais preciso das operações do banco, do nível de capital, das exposições a risco, dos processos de gestão de riscos e da adequação de capital aos requerimentos regulatórios. Os agentes participantes do mercado (agências de avaliação de risco, reguladores etc.) fornecem informações quanto ao perfil de riscos e o nível de capitalização dos bancos para possibilitar que o mercado discipline as instituições financeiras. O terceiro pilar complementa as exigências de capital mínimo (Pilar I), enfatizando a transparência como critério para reconhecimento e habilitação de um banco para utilização de uma abordagem de mensuração de capital específica. Além disso, complementa o processo de revisão da supervisão (Pilar II), exigindo a divulgação de informações qualitativas e quantitativas, o que diminui os esforços de supervisão. A Figura 3 representa os principais participantes do mercado que acompanham e avaliam as informações qualitativas e quantitativas divulgadas pelos bancos. Figura 3 Agentes na análise das informações dos bancos Agências de rating

Banco Central do Brasil

Transparência Segurança Solidez

Empresas de auditoria

Associações de Analistas de Mercado

Universidade Corporativa BB

Controles

23

internos e compliance

Quanto mais elevados os níveis de informações contábeis e gerenciais disponíveis para os agentes de mercado (empresas de auditoria, agências de avaliação de risco, investidores, acionistas, associações do mercado de capitais etc.), maior a capacidade de acompanhar a solidez das instituições financeiras. 1.2.

REGULAMENTAÇÃO NO BRASIL

O reconhecimento mundial da necessidade de mensurar e controlar os riscos das atividades bancárias tem levado todos os países à convergência da regulamentação das instituições financeiras. A seguir, destacamos os principais marcos da regulação bancária em nosso País, referentes à gestão do risco operacional e aos controles internos. 1994 Adotadas as orientações do Acordo de Basileia sobre exigência de capital para cobertura do risco de crédito, instituídos os limites mínimos de capital e de patrimônio líquido para as instituições financeiras, com a edição da Resolução 2.099, do Conselho Monetário Nacional - CMN. 1997 Criada a Central de Risco de Crédito (Resolução 2.390) e, por intermédio da Resolução 2.399, estabelecida a exigência de capital para cobertura do risco de crédito em operações de swap. 1998 I. determinadas a implantação e a implementação de controles internos das atividades das instituições financeiras (Resolução 2.554); II. sancionada a Lei 9.613, que tratou dos crimes de lavagem ou ocultação de bens e da prevenção da utilização do Sistema Financeiro Nacional para atos ilícitos previstos na referida lei e criou o Conselho de Controle de Atividades Financeiras - Coaf; III. estipulado pela Circular Bacen 2.852 que operações de qualquer valor, mas principalmente as iguais ou superiores a R$ 10.000,00, devem ser comunicadas ao Banco Central do Brasil, inclusive propostas, cujas características possam indicar a existência de crime ou com ele relacionar-se; IV. divulgada pela Carta-Circular Bacen 2.826 a relação de operações e situações que podem configurar indício de ocorrência dos crimes previstos na lei. São casos relacionados com: operações em espécie ou em cheques de viagem; manutenção de contas correntes; atividades internacionais; e empregados e representantes das instituições.

Universidade Corporativa BB

24

Programa

certificação interna em conhecimentos

1999 Estabelecida a exigência de capital para cobertura do risco de câmbio e ouro (Resolução 2.606). 2000 I. estabelecida a exigência de capital para cobertura do risco de taxas prefixadas de juros (Resolução 2.692); II. criado o Sistema de Informação de Crédito, que substituiu a Central de Risco de Crédito (Resolução 2.724); III. definido o critério para controlar o risco de liquidez (Resolução 2.804). 2001 I. editada a Resolução 2.837, que definiu o patrimônio de referência como somatório do Capital Nível I e Capital Nível II; II. alterado o critério de apuração do Patrimônio Líquido Exigido – PLE (Resolução 2.891); III. instituído o Código de Defesa do Consumidor Bancário – Resolução 2.878 – que disciplinou obrigações a serem cumpridas pelas instituições financeiras na contratação de operações e na prestação de serviços aos clientes e ao público em geral. 2002 Determinada a implantação de sistema de Controles Internos para administradoras de consórcios pela Circular Bacen 3.078. 2003 Publicada a Resolução 3.081 que trata da prestação de serviços de auditoria independente e regulamenta a instituição do Comitê de Auditoria. 2004 I.I. publicado o Comunicado Bacen 12.746, que instituiu cronograma de implantação de Basileia II no Brasil; II. consolidada, por meio da Resolução 3.198, a regulamentação da prestação de serviços de auditoria independente. Essa Resolução revogou a Resolução 3.081, de 2003; III. publicada a Circular Susep 249, que determinou a implantação e implementação de sistema de controles internos nas sociedades seguradoras, nas sociedades de capitalização e nas entidades abertas de previdência complementar. Alterada pela Circular Susep 363, de 21 de maio de 2008.

Universidade Corporativa BB

Controles

25

internos e compliance

2006 I. editada a Resolução 3.380, que dispõe sobre a implementação de estrutura de gerenciamento do risco operacional; II. editada a Resolução 3.416, que altera a Resolução 3.198, de 2004, e as condições básicas para o exercício de integrante do Comitê de Auditoria. 2007 I. publicado o Comunicado 16.137, que revisa o cronograma de implementação de 2004 e divulga normas para implementação de Basileia II, a partir de 1º de Julho 2008; II. publicada a Resolução 3.444, revogando a Resolução 2.837 e aprovando as alterações nas regras de definição do PR das instituições financeiras; III. editada a Resolução 3.490, instituindo o conceito de Patrimônio de Referência Exigido (PRE); IV. publicada a Circular Bacen 3.360 que estabelece procedimentos para o cálculo da parcela do Patrimônio de Referência Exigido (PRE) referente às exposições ponderadas por fator de risco (PEPR), disciplinadas na Resolução 3.490, de 2007; V. editada a Circular Susep 344 que obriga o desenvolvimento de estudos sobre controles internos específicos para a prevenção contra fraudes, bem como a indicação de diretor responsável pelo cumprimento da circular pelas sociedades seguradoras e de capitalização e as entidades abertas de previdência complementar. 2008 I. editada a Resolução 3.383, que estabelece os procedimentos para o cálculo da parcela para Risco Operacional e a composição do Indicador de Exposição ao Risco Operacional (IE); II. detalhada a composição do Indicador de Exposição ao Risco (IE) pelo Bacen, por meio da Carta Circular 3.316.

Universidade Corporativa BB

2

Gestão do risco

operacional em instituições financeiras

Espera-se que ao final do estudo deste tema você possa: ▪ Conceituar risco operacional. ▪ Identificar as fases da gestão do risco operacional nas instituições financeiras. ▪ Justificar a importância da identificação e do sensoriamento para a gestão de riscos em um banco. ▪ Justificar a importância da mensuração do risco operacional nas instituições financeiras. ▪ Identificar as abordagens de mensuração do risco operacional nas instituições financeiras. ▪ Conceituar mitigação. ▪ Indicar ações de mitigação do risco operacional nas instituições financeiras. ▪ Identificar a função de monitoramento do risco operacional nas instituições financeiras.

28

Programa

2.1.

certificação interna em conhecimentos

RISCO OPERACIONAL

Com o advento de Basileia I, ficou clara a preocupação dos reguladores com dois riscos aos quais as instituições financeiras estavam expostas: risco de crédito e risco de mercado. Em anos recentes, as mudanças no ambiente financeiro mundial, tais como a integração entre os mercados por meio do processo de globalização, o surgimento de novas transações e produtos, o aumento da sofisticação tecnológica e as novas regulamentações tornaram as atividades e os processos financeiros e seus riscos cada vez mais complexos. Surgiu daí a preocupação de banqueiros e outros executivos de finanças com um terceiro risco: o risco operacional. Além disso, as lições originadas dos desastres financeiros, citados anteriormente, contribuíram para evidenciar a importância da gestão do risco operacional na indústria bancária. Esses fatores foram decisivos para que órgãos reguladores e instituições financeiras investissem na gestão dos riscos, pois, embora o foco da nova estrutura de Basileia II seja os bancos internacionalmente ativos, os seus princípios básicos se destinam também a bancos com níveis variados de complexidade e sofisticação. Desde o início desta apostila, vimos falando de risco. Mas, afinal, o que é risco? Etimologicamente, a palavra “risco” tem sua origem no italiano antigo, risicare, e significa ousar. Em uma concepção primária, risco significa “perigo ou possibilidade de perigo” (FERREIRA, 1999), ou ainda “a chance de ocorrer um evento desfavorável” (BRIGHAM, 1999). Em ambas as definições a idéia de risco está associada a certo grau de incerteza, ou seja, corre-se risco quando existe um desconhecimento de resultados futuros de algum evento (acontecimento ou ocorrência). Risco é, portanto, a possibilidade de ocorrência de um evento adverso para uma determinada situação esperada (JÚNIOR, 2005). Com relação ao risco operacional, o Comitê da Basileia o definiu como “o risco de perda direta ou indireta, resultante de inadequações ou falhas de processos internos, pessoas e sistemas, ou de eventos externos”.

Universidade Corporativa BB

Controles

29

internos e compliance

Em observância ao acordo Basileia II, o Banco Central passou a inserir o mercado financeiro brasileiro no contexto da preocupação crescente com a gestão de riscos e as premissas descritas naquele Acordo, notadamente no tocante ao risco operacional. Por meio da Resolução 3.380, o Bacen definiu risco operacional com o seguinte texto: Risco operacional é a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos, incluindo o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

A mencionada resolução relaciona os eventos que devem ser abrangidos pela definição de risco operacional: fraudes internas; fraudes externas; demandas trabalhistas; segurança deficiente do local de trabalho; práticas inadequadas relativas a clientes e a produtos e serviços; danos a ativos físicos próprios ou em uso pela instituição; problemas que acarretem a interrupção das atividades da instituição; falhas em sistemas de tecnologia da informação; falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição. A Resolução Bacen 3.380 definiu ainda como deve ser a estrutura de gerenciamento de risco operacional estabelecendo suas fases, conforme Figura 4. 2.2.

FASES DO GERENCIAMENTO DO RISCO OPERACIONAL

A Resolução 3.380 definiu, ainda, como deve ser a estrutura de gerenciamento do risco operacional estabelecendo suas fases, conforme Figura 4. Figura 4 Fases do gerenciamento do risco operacional Identificação

Avaliação/ Mensuração

Mitigação

Controle

Monitoramento

Essas fases são interligadas, interdependentes e dinâmicas e revelam a complexidade da gestão de riscos. Universidade Corporativa BB

30

Programa

certificação interna em conhecimentos

► Identificação e sensoriamento O processo de gestão do risco operacional inicia-se com a identificação das falhas, deficiências ou inadequações de processos internos, pessoas e sistemas da empresa. Para tanto, torna-se necessária a adoção de práticas que possibilitem o diagnóstico das ocorrências e o levantamento das causas que podem levar a organização a não atingir um ou mais de seus objetivos e a incorrer em perdas operacionais. Com essa finalidade, os bancos vêm desenvolvendo metodologias para análise de processos internos que possibilitem a detecção de suas fragilidades. Essas metodologias baseiam-se no sensoriamento do ambiente de negócios, isto é, na detecção, no andamento rotineiro do processo operacional, de ocorrências ou fragilidades capazes de potencializar os riscos inerentes às atividades e que não possuam mecanismos de controles ou cujos mecanismos de controle sejam deficientes, inadequados ou insuficientes. Uma das ferramentas utilizadas pelo mercado para identificação e sensoriamento de riscos são os Indicadores Chave de Risco (ICR). Tais indicadores consideram uma ou mais variáveis de um processo operacional e sua oscilação frente a um comportamento esperado, segundo regras pré-definidas. A intensidade da oscilação das variáveis indica maior ou menor exposição ao risco operacional. Com base na identificação das fragilidades é possível estabelecer pontos de controle e ações de mitigação que possibilitem a melhoria dos processos internos. Nessa etapa também são identificados os eventos de perda operacional a que a empresa está exposta, a frequência com que ocorrem e a severidade dos mesmos. ► Avaliação e mensuração A estrutura requerida por Basileia II estimula as instituições financeiras a aumentarem suas capacidades de avaliação e de mensuração de riscos. Após identificar as causas das fragilidades, os eventos de perda operacional a que a instituição está exposta e os processos internos considerados críticos, são avaliados os impactos que essas fragilidades, eventos e processos causam na instituição. Universidade Corporativa BB

Controles

31

internos e compliance

A mensuração do risco operacional é um importante desafio para a indústria bancária e cada instituição financeira tem buscado adaptar, implementar e desenvolver seus modelos de mensuração. Ao lado da avaliação e mensuração do risco, é necessária, também, a mensuração do capital mínimo exigido para cobertura do risco operacional. Para isso, Basileia II propõe as seguintes abordagens: indicador básico, padronizada, padronizada alternativa, padronizada alternativa simplificada e avançada (Figura 5), conforme já abordado no item 1.1, do capítulo 1. As quatro primeiras abordagens são definidas pelo regulador. A quinta consiste no desenvolvimento de modelo interno pelas instituições financeiras e depende de aprovação do regulador. Figura 5 Abordagens de mensuração

Abordagem do Indicador Básico

Abordagem Padronizada

Sintéticas

Abordagem Padronizada Alternativa Abordagem Padronizada Alternativa Simplificada

Analíticas

Abordagem Avançada

As abordagens do indicador básico, padronizada, padronizada alternativa e padronizada alternativa simplificada são caracterizadas como sintéticas, uma vez que a exigência de capital mínimo é estimada com base em dados agre-

Universidade Corporativa BB

32

Programa

certificação interna em conhecimentos

gados, sem que haja identificação dos eventos de perdas de forma individualizada, bem como de suas causas. A abordagem avançada é caracterizada como analítica, pois proporciona maior conhecimento do perfil de risco da instituição e maior adequação à qualidade dos controles. O cálculo da exigência de capital mínimo na abordagem do indicador básico é realizado pela multiplicação da média do resultado bruto13, nos últimos três anos, por um fator alfa (α), definido pelo BIS em 15%, e adotado pelo Banco Central. Por exemplo: considere um banco que tenha uma média de resultado bruto igual a $100. Segundo a abordagem do indicador básico, o capital mínimo exigido para suportar risco operacional é de $15. Alocação de capital = 100 x 15% = 15 Essa abordagem não gera custos adicionais para implementação com estrutura material, humana e de sistemas. Entretanto, pode gerar necessidade de maior capital mínimo do que as outras abordagens. A apuração pela abordagem padronizada segrega as atividades do banco em oito linhas de negócios, considera a média do resultado bruto nos últimos três anos, por linha de negócio, e aplica um fator beta (β)14 sobre essa média (Quadro 2). A exigência de capital total para suportar o risco operacional é o somatório de capitais exigidos para cada uma das oito linhas de negócios. Quadro 2 Linhas de negócios Linhas de Negócios

Componentes

Atividades

Fator β

Finanças Corporativas

Aquisições, fusões, privatizações e reestruturações Resultado de títulos e valores mobiliários, commodities, ações e derivativos

Aconselhamento e colocação de papéis Corretagem de atacado e posicionamento no mercado

18%

Negociação e Vendas

18%

Varejo

Venda de produtos e serviços bancários 12% Varejo, private banking e cartões de crédito diversos para pessoas físicas e pequenas e médias empresas

Comercial

Banco comercial

Pagamentos e Liquidações Pagamento e liquidação para terceiros

Empréstimos para médias e pequenas empresas

15%

Processamento de documentos

18%

Custódia de papéis

15%

Serviços de Agente Financeiro

Custódia, agentes de custódia e trusts

Administração de Ativos

Fundos discricionários e não discricionários Administração de recursos de terceiros 12%

Corretagem de varejo

Corretagem de ações, de títulos e valores mobiliários e de mercadorias

13 14

Corretagem de valores para o varejo

12%

Resultado da intermediação financeira acrescido das receitas de prestação de serviços. É igual a uma porcentagem fixa, estabelecida pelo Comitê. Os valores dos betas estão detalhados no Quadro 3 Simulação de Exigência Capital – Abordagem Padronizada.

Universidade Corporativa BB

Controles

33

internos e compliance

Para exemplificar o cálculo do capital mínimo exigido, de acordo com a abordagem padronizada, considere um banco que possua média do resultado bruto no valor de $100. O Quadro 3 mostra que, nesse caso, o capital mínimo exigido para suportar risco operacional é de $13,73. Quadro 3 Simulação de exigência de capital - Abordagem padronizada Linhas de Negócio

Resultado Bruto

Beta

Alocação de Capital

6

12%

0,72

35

15%

5,25

1

12%

0,12

0,5

15%

0,08

Finanças Corporativas

1

18%

0,18

Pagamentos e Liquidações

5

18%

0,90

Negociação e Vendas

5

18%

0,90

46,5

12%

5,58

Administração de Ativos Banco Comercial Corretagem Custódia

Banco de Varejo

100

13,73

Comparando os dois modelos – indicador básico e abordagem padronizada - note que há uma queda do capital mínimo exigido de $15 para $13,73. A abordagem padronizada alternativa15 é similar à abordagem padronizada, exceto para as linhas de negócios Comercial e Varejo. Como a utilização da média do resultado bruto nessas linhas, que são sensíveis às taxas de juros, pode distorcer os resultados em ambientes de instabilidade de taxas (spread consideravelmente elevado), a abordagem padronizada alternativa ajusta a exigência de capital para as linhas Comercial e Varejo, utilizando a média do saldo em empréstimos e adiantamentos (ao invés da média do resultado bruto) multiplicada por um fator “m”, igual a 0,035, e pelo respectivo fator β. Para as demais linhas de negócios são utilizados os mesmos critérios da abordagem padronizada.

15

Existe sinalização do Bacen de que esta poderá ser a abordagem para alguns bancos no Brasil.

Universidade Corporativa BB

34

Programa

certificação interna em conhecimentos

O Quadro 4 demonstra os resultados da simulação de exigência de capital com base nessa abordagem. Quadro 4 Abordagem Padronizada Alternativa

Linhas de Negócio

Resultado Bruto

Administração de Ativos

6

Beta

Média

M

12%

-

-

Alocação de Capital 0,72

Banco Comercial

-

15%

200

Corretagem

1

12%

-

-

0,12

0,5

15%

-

-

0,08

Finanças Corporativas

1

18%

-

-

0,18

Pagamentos e Liquidações

5

18%

-

-

0,90

Negociação e Vendas

5

18%

-

-

0,90

Banco de Varejo

-

12%

300

18%

-

Custódia

Não Financeiras

3.5%

3.5%

1,05

1,26

5,21

Total

Verifica-se também que a migração da abordagem padronizada para a abordagem padronizada alternativa proporciona expressiva economia de capital alocado, variando de $ 13,73 para $ 5,21. A abordagem padronizada alternativa simplificada é similar à abordagem padronizada alternativa, diferenciando-se apenas quanto à possibilidade de agrupamento das linhas de negócios Varejo e Comercial mediante aplicação de β de 15% e das demais linhas de negócios multiplicando-se por β de 18%. Cabe ressaltar que essa abordagem, por produzir exigência de maior capital, somente será utilizada pelas instituições que não alcançarem o desdobramento exigido na abordagem padronizada alternativa. O Quadro 5 demonstra os resultados da simulação de exigência de capital com base nessa abordagem. Universidade Corporativa BB

Controles

35

internos e compliance

Quadro 5 Abordagem Padronizada Alternativa Simplificada Linhas de Negócio

Demais Linhas de Negócios Banco Comercial

Resultado Bruto

Beta

18,5

18%

-

15%

Média

200

M

-

Alocação de Capital 3,33

3.5% 2,63

Banco de Varejo

-

15%

Total

300

3.5%

5,96

A abordagem avançada presume alocação de capital inferior às abordagens anteriormente citadas e sua adoção exige maiores investimentos na estrutura organizacional e nos processos internos dos bancos. Assim, as instituições que optarem pela abordagem avançada poderão desenvolver seus próprios modelos internos de mensuração do capital mínimo. No entanto, para a implementação dessa abordagem, os bancos terão de atender a exigências quantitativas e qualitativas, que assegurem a integridade e a robustez do modelo de mensuração utilizado. Em abril de 2008, o regulador – Bacen – definiu metodologia para o cálculo da parcela de risco operacional , com base na utilização de uma das seguintes abordagens: Indicador Básico, Padronizada Alternativa e Padronizada Alternativa Simplificada. O processo de autorização para uso de modelos internos (abordagem avançada) se dará até o final de 2012. ► Mitigação Uma vez avaliados e mensurados os riscos, a instituição irá decidir qual a melhor alternativa de ação, considerada a relação custo benefício. Pode optar pela absorção das consequências do risco, pelo repasse à empresa dedicada à atividade de gestão de riscos (seguradora ou comercializadora, por exemplo) ou pela mitigação de riscos. 16

Resolução CMN 3.490, de 29.08.2007, Circular Bacen 3.383 e Carta Circular Bacen 3.315, ambas de 30.04.2008. O detalhamento da composição do indicador de exposição ao risco operacional foi definido em aderência à Carta Circular Bacen 3.316, de 30.04.2008.

Universidade Corporativa BB

36

Programa

certificação interna em conhecimentos

A mitigação de riscos corresponde à redução (ou adequação) do risco a níveis aceitáveis ou admitidos pelas instituições. Quando se fala em mitigação o que se deseja evitar não é necessariamente a ocorrência do fator gerador do risco, mas as consequências do risco. Os riscos podem ser reduzidos ou adequados por meio da implementação de ações para instituição ou correção de controles. A mitigação de riscos tem custos, que podem ser o custo do desenvolvimento ou aquisição de um sistema (software), a absorção do risco pela própria instituição financeira ou ainda o repasse à empresa dedicada à atividade de gestão de riscos (seguradora ou comercializadora, por exemplo). Exemplos de ações para mitigação de riscos em processos, produtos e serviços do mercado bancário: ■

■

■

■

■

verificar se o processo, produto ou serviço pode incorrer em risco de ilícitos financeiros ou cambiais; consultar a área jurídica para a correta interpretação das leis, normas e regulamentos; divulgar competências, alçadas, limites, normas e procedimentos que orientem a execução das atividades; implementar mecanismos que visem a segregação de funções com vistas a reduzir conflitos de interesse, fraudes e falhas humanas; definir controles de acesso, de forma a preservar a segurança e o sigilo das informações.

Como não é possível eliminar completamente os riscos, as organizações buscam constantemente sua mitigação por meio das atividades de controle. ► Controle As atividades de controle ocorrem em toda a organização, em todos os níveis e em todas as funções, para detectar ou prevenir ameaças aos objetivos da empresa. Incluem diversas atividades tais como aprovações, autorizações, verificações, reconciliações, análises de desempenho operacional, segurança dos ativos e segregação de funções. O capítulo 4 desta apostila tratará dos controles internos em instituições financeiras e os capítulos 5 e 6 dos controles internos no Banco do Brasil. Universidade Corporativa BB

Controles

37

internos e compliance

► Monitoramento O monitoramento é a avaliação dos controles internos ao longo do tempo. É feito tanto por meio do acompanhamento contínuo das atividades quanto por avaliações pontuais, tais como autoavaliação, revisões eventuais, compliance e auditoria interna. A função do monitoramento é verificar se os controles internos são adequados e efetivos. Controles adequados são aqueles em que seus elementos (ambiente, avaliação de riscos, atividade de controle, informação e comunicação e monitoramento) estão presentes e funcionando conforme planejado. Controles são efetivos quando a alta administração tem uma razoável certeza: ■

do grau de atingimento dos objetivos operacionais propostos; ■ de que as informações fornecidas pelos relatórios e sistemas corporativos são confiáveis; e ■ de que leis, regulamentos e normas pertinentes estão sendo cumpridos.

Universidade Corporativa BB

3

Gestão do risco operacional no BB

Espera-se que ao final do estudo deste tema você possa: ▪ Conceituar os riscos gerenciados pelo Banco do Brasil. ▪ Identificar componentes da política e do processo de gestão do risco operacional no BB. ▪ Identificar a estrutura de gestão de riscos do BB, bem como as responsabilidades das áreas envolvidas. ▪ Descrever os fatores de risco operacional. ▪ Conceituar eventos de perda. ▪ Reconhecer a classificação dos eventos de perda utilizada pelo BB. ▪ Identificar as categorias de eventos de perda do primeiro nível da classificação adotada pelo BB.

40

Programa

3.1.

certificação interna em conhecimentos

RISCOS GERENCIADOS PELO BANCO DO BRASIL

O Banco do Brasil considera sete tipos de riscos em seu modelo de gestão de riscos: ■ risco de mercado; ■ risco de liquidez; ■ risco de crédito; ■ risco operacional; ■ risco legal; ■ risco de conjuntura; ■ risco de imagem. O Bacen definiu exigência de capital mínimo para risco de crédito, risco de mercado e risco operacional, não estabelecendo a mesma exigência para os riscos de conjuntura, imagem e liquidez. Para este último foram exigidos sistemas de controle, modelos de previsão e planos de contingência. Vejamos a definição adotada pelo Banco para cada um desses riscos. Risco de mercado É o risco decorrente da possibilidade de perdas causadas por mudanças no comportamento das taxas de juros, do câmbio, dos preços das ações e dos preços de commodities. Risco de liquidez Esse risco assume duas formas: risco de liquidez de mercado e risco de liquidez de fluxo de caixa (funding). O risco de liquidez de mercado está associado a grandes oscilações de preços, que levam uma transação a não ser efetuada aos preços de mercado devido ao tamanho da transação em relação ao volume normalmente negociado. O risco de liquidez de fluxo de caixa (ou funding) está associado à falta de recursos para honrar os compromissos assumidos, em função do descasamento entre ativos e passivos. Risco de crédito É definido como a possibilidade de perdas resultantes da incerteza quanto ao recebimento de valores pactuados com tomadores de empréstimos, contrapartes de contratos ou emissores de títulos. Universidade Corporativa BB

Controles

41

internos e compliance

Risco operacional O BB adota a conceituação dada pelo Bacen que, como vimos, define o risco operacional como a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. É preciso lembrar que essa definição inclui o risco legal. Risco legal O risco legal é a possibilidade de perdas decorrentes de multas, penalidades ou indenizações, resultantes de ações de órgãos de supervisão e controle, bem como perdas decorrentes de decisão desfavorável em processos judiciais ou administrativos. Basileia II prevê que perdas legais sejam suportadas pelo capital alocado para risco operacional. Risco de conjuntura Esse risco está associado à possibilidade de perdas potenciais decorrentes de mudanças verificadas nas condições políticas, culturais, sociais, econômicas ou financeiras, do Brasil ou de outros países. Risco de imagem O risco de imagem corresponde à possibilidade de perdas decorrentes de a instituição ter seu nome desgastado junto ao mercado ou a autoridades, em razão de publicidade negativa, verdadeira ou não. Dos sete riscos apresentados iremos nos ater ao risco operacional, cuja gestão demanda a utilização dos controles internos e compliance. 3.2. POLÍTICAS E PROCESSOS DE GESTÃO DO RISCO OPERACIONAL ► Políticas de risco operacional A Diris é a área responsável pela formulação das políticas e diretrizes de gestão do risco operacional, que devem atender as disposições do Basiléia II e aos requisitos da Resolução 3.380. Revisadas anualmente e aprovadas pelo Conselho de Administração do Ban-

Universidade Corporativa BB

42

Programa

certificação interna em conhecimentos

co do Brasil, as políticas refletem o direcionamento estratégico adotado pela Instituição e norteiam todos os processos relativos ao gerenciamento do risco operacional. O princípio geral da política definida pelo BB é o seguinte: O modelo de gestão de risco operacional aplicado pelo Banco do Brasil tem por objetivo identificar, avaliar, mensurar, mitigar, controlar e monitorar os riscos operacionais inerentes a todos os produtos, serviços, atividades, processos e sistemas do Banco, incluindo suas unidades externas e subsidiárias integrais. (LIC 470)

A política vigente compreende as seguintes orientações: são identificados e avaliados os riscos operacionais relevantes inerentes a todos os produtos, serviços, atividades, processos e sistemas, previamente ao seu lançamento; ■ a identificação e avaliação do risco operacional são focadas nas consequências financeiras – eventos de perda operacional – e nas causas – estas materializadas em quatro fatores de riscos: processos, pessoas, sistemas e eventos externos; ■ são estabelecidos procedimentos confiáveis para a gestão de riscos operacionais, respeitadas as relações de custo e benefício, inclusive quanto às atividades prestadas por terceiros; ■ são definidos, periodicamente, níveis de tolerância a riscos operacionais, para mitigá-los ou absorvê-los. ■

► Processo de gestão do risco operacional O processo de gestão de risco operacional no BB está estruturado em cinco etapas. Na etapa de identificação são determinadas as origens dos riscos e as fragilidades nos processos do Banco e dos serviços relevantes executados por terceiros. Na etapa de avaliação e mensuração são propostos os Indicadores Chave de Risco (ICR), quantificadas as perdas esperadas e não esperadas e realizado o cálculo do capital a ser alocado para risco operacional. Na etapa de mitigação são desenvolvidos mecanismos e planos de ação para mitigação dos riscos operacionais identificados e elaborados os planos de continuidade de negócios.

Universidade Corporativa BB

Controles

43

internos e compliance

No controle realiza-se o acompanhamento das ações de mitigação, a proposição, implementação e acompanhamento das ações de controle, a apuração do nível de conformidade dos processos e o backtesting17. No monitoramento, os gestores de produtos e serviços, Dicoi, Diris e Diges acompanham a eficiência do processo de gestão do risco operacional. 3.3.

ESTRUTURA DE GESTÃO E RESPONSABILIDADES DAS ÁREAS

A gestão do risco operacional é executada, no Banco do Brasil, de forma descentralizada pelas Diretorias de Gestão de Riscos, de Controles Internos e de Gestão de Segurança. ► Diretoria de Gestão de Riscos – Diris A criação da Diris, vinculada à Vice-Presidência de Crédito, Controladoria e Risco Global - Vicri, visou garantir sua independência em relação às unidades de negócios e cumprir as políticas e diretrizes estabelecidas pela Alta Administração do Banco. A Diris tem como responsabilidade principal responder pelo gerenciamento dos riscos de crédito, mercado, liquidez e operacional, seguindo as estratégias, políticas e diretrizes de negócios do Conglomerado Banco do Brasil. Essa responsabilidade engloba: ■ formulação de políticas e diretrizes; ■ proposição e controle de limites de exposição a riscos; ■ desenvolvimento e acompanhamento de metodologias de mensuração de riscos; ■ análise de cenários de estresse; ■ alocação de capital para riscos; ■ gerenciamento do risco-retorno em carteiras; ■ disseminação da cultura de gestão de riscos no Banco. Entretanto, o processo de gestão dos diversos riscos não está restrito à Diretoria de Gestão de Riscos. Envolve diversas áreas de negócios, áreas de controles e áreas estratégicas do Conglomerado Banco do Brasil.

17

Backtesting é a avaliação periódica dos diversos modelos de classificação e de mensuração de riscos existentes no Banco, com vistas a assegurar que suas premissas e/ou estimativas sejam suficientemente acuradas.

Universidade Corporativa BB

44

Programa

certificação interna em conhecimentos

► Diretoria de Controles Internos – Dicoi De acordo com as melhores práticas de governança corporativa adotadas pelo mercado e as orientações do supervisor – Bacen – a Dicoi foi estruturada com vínculo direto ao Presidente do Banco do Brasil. Dentro da estrutura de gerenciamento de risco operacional no BB, cabe à Dicoi: ■

elaboração de políticas de conformidade; ■ apuração do nível de conformidade; ■ backtesting - testes de performance dos modelos de apuração e mensuração de riscos; ■ assessoramento às Diretorias e Unidades na identificação das causas das não conformidades e na implementação de ações de mitigação do risco operacional. ► Diretoria de Segurança – Diges Também, com estrutura segregada das áreas de negócio e vínculo direto ao Presidente do Banco do Brasil, a Diges tem as seguintes atribuições dentro de sua responsabilidade institucional na estrutura de gerenciamento de risco operacional: ■

governança de segurança corporativa; ■ elaboração de políticas, metodologias, normas e planos relativos à segurança, fraudes, lavagem de dinheiro e continuidade dos negócios. A continuidade de negócios é prioridade para a indústria financeira e para as autoridades e reguladores do setor. A atual conjuntura faz com que o setor financeiro assuma postura determinante quanto à existência de planos para enfrentar situações emergenciais nas instituições financeiras e permitir a continuidade de negócios. O modelo adotado no Banco compreende as atividades de análise e determinação dos impactos que uma interrupção significativa causaria nos processos de negócios da empresa, bem como a definição, implementação e validação das medidas de mitigação das consequências de uma indisponibilidade severa dos processos estratégicos. A Diges disponibiliza regras, modelos e padrões para a gestão da continuidade de negócios e busca, junto às unidades estratégicas, identificar e classificar os processos, considerando o impacto e o risco de sua indisponibilidade para,

Universidade Corporativa BB

Controles

45

internos e compliance

a partir dos resultados obtidos, assessorá-las na proposição, implementação e testes das medidas para manter os processos operacionais. O Quadro 6.mostra a distribuição das atribuições de gestão do risco operacional entre Diris, Dicoi e Diges. Quadro 6 Gestão do risco operacional no BB Diretoria de Gestão de Riscos

Diretoria de Controles Internos

Normase ePolíticas Políticas Normas dede RiscoOperacional Operacional Risco

Diretoria de Gestão da Segurança

Compliance, falhas falhas Compliance, Compliance, falhas em processos e em processos em processos ee negócios negócios negócios Suporte para as áreas gestoras de produtos/ Suporte para as áreas Suporte serviçospara as áreas gestoras gestoras de de Backtesting produtos/serviços produtos/serviços

Estabelecimento Estabelecimento Estabelecimento e ee controle dos limites controle dos limites controle dos limites deRO RO de Estabelecimento Estabelecimento ee controlededeICR ICR controle Modelose e Modelos metodologiasdede metodologias alocação capital alocação dede capital alocação de capital para RO para paraRO RO

Governança de Governança Governança de de segurança corporativa segurança segurança corporativa corporativa Políticas, metodologias, normas Políticas, ePolíticas, planos relativos à segurança, fraudes, metodologias, normas metodologias, normas prevenção e combate ee planos planos relativos relativos àà à lavagem de dinheiro fraudes, esegurança, continuidade de segurança, fraudes, negócios prevenção prevenção ee combate combate

Políticas de Backtesting Backtesting conformidade

àà lavagem lavagem de de dinheiro dinheiro ee continuidade continuidade de de

Políticas Políticas de de conformidade conformidade

Mensuração RO Mensuraçãodede RO

negócios negócios

As Diretorias de Gestão de Riscos, de Controles Internos e de Gestão de Segurança compõem o Subcomitê de Risco Operacional, instância que integra a estrutura de Gestão de Riscos do BB. (Figura 6) Figura 6 Estrutura da Gestão de Riscos no Banco do Brasil Presidente e Vice Presidentes

Diretores

Resoluções

Comitê de Risco Global

SRML

SRC

SRO

Resoluções e Notas

Diretoria Diretoria de de Gestão Gestão de de Riscos Riscos

Diretorias Diretorias

Universidade Corporativa BB

Aréas de de Áreas Negócio Negócio

Áreas de de Aréas Controle Negócio

46

Programa

certificação interna em conhecimentos

A estrutura responsável pela gestão de todos os riscos definidos pelo Conglomerado Banco do Brasil envolve comitê e subcomitês, articulando diversas áreas da Instituição. A gestão estratégica ocorre no Comitê de Risco Global - CRG, composto pelo Conselho Diretor (Presidente e Vice-Presidentes), Diretores e Executivos de diversas áreas. Ao CRG compete decidir, no âmbito do Banco do Brasil e de suas subsidiárias integrais, sobre questões relacionadas ao gerenciamento de riscos. É responsável pela visão integrada dos riscos do Banco e pela inter-relação entre as várias categorias de risco. Além disso, é responsável por definir os limites de risco, o nível de liquidez adequado, os planos de contingência e os modelos de mensuração de risco. Ao lado do Subcomitê de Risco Operacional estão os Subcomitês de Risco de Mercado e Liquidez – SRML – e de Risco de Crédito – SRC. Os Subcomitês foram criados com visando conferir agilidade ao processo de gestão. 3.4.

DEMAIS INTERVENIENTES

► Gestores Todas as gerências responsáveis pela gestão de produtos, serviços, processos e sistemas, em cada Diretoria ou Unidade, também participam da gestão do risco operacional. Os gestores são responsáveis pela implementação de ações de identificação, mitigação, controle e monitoramento dos riscos afetos aos processos sob sua condução. A Dicoi, Diges e Diris prestam a assessoria necessária, de acordo com a atividade a ser implementada. O gerenciamento do risco operacional também deve prever a documentação e o armazenamento de informações referentes às perdas associadas ao risco operacional, conforme disposto no artigo 3º, inciso II, da Resolução 3.380. No Banco do Brasil, a Diretoria de Logística - Dilog é responsável pela normatização de fluxos e procedimentos para a guarda de documentos provenientes das atividades bancárias. Já a definição sobre a forma ou sistemática de guarda desses documentos e respectivos prazos de conservação é de competência do gestor do documento, cabendo à Dilog a análise da viabilidade técnica. O Quadro 7 relaciona os diversos intervenientes na gestão do risco operacional com as etapas do processo de gestão em que atuam. Universidade Corporativa BB

Controles

47

internos e compliance

Quadro 7 Gestão do risco operacional no BB – etapas e intervenientes Identificação

Gestores Dicoi Diris Diges

3.5.

Avaliação e Mensuração

Diris

Mitigação

Controle

Gestores Dicoi Diris Diges

Gestores Dicoi Diris Diges

Monitoramento

Gestores Dicoi Diris Diges

FATORES DE RISCO E EVENTOS DE PERDA

► Fatores de risco Como vimos anteriormente, o risco operacional é a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Assim, processos internos, pessoas, sistemas e eventos externos são denominados fatores de risco e constituem a base para identificação do risco operacional a que as instituições estão expostas. Os fatores de risco se desdobram em subfatores, conforme detalhamento nos Quadros 8, 9, 10 e 11 a seguir. Quadro 8 Fator Pessoas Subfator Qualidade de vida no trabalho

Competências

Conduta

Carga de trabalho

Abrangência Saúde e/ou doença dos funcionários Clima - estilo de gestão, motivação etc. Condições do ambiente para a realização das atividades Habilidades e conhecimentos específicos necessários à realização de tarefas Atitudes específicas para cada cargo, incluindo autoridade/ responsabilidade do gestor Capacitação Execução somente de atividades autorizadas e inerentes ao cargo Antecedentes Postura ética nas atividades e relacionamentos pessoais Atenção e zelo na realização das tarefas Imparcialidade Cumprimento das leis e normas regulamentares Confidencialidade Comprometimento Compatibilização das demandas de trabalho à capacidade operacional e à jornada de trabalho

Universidade Corporativa BB

48

Programa

certificação interna em conhecimentos

Quadro 9 Fator Processos Subfator Adequação à legislação Pontos de controle Comunicação interna Modelagem Segurança física

Abrangência Adequação à legislação ou à jurisprudência vigente no país Aplicação efetiva e execução dos mecanismos de controle e processos Comunicação de forma apropriada, clara, objetiva e de fácil acesso para consulta e, ainda, em volume de fácil absorção Desenho, redesenho e documentação de processos com seus controles e instrumentos de mitigação Segurança física de pessoas e equipamentos

Quadro 10 Fator Sistemas Subfator Rede de comunicação

Análise e programação Hardware e software Segurança lógica

Abrangência Protocolos e dispositivos de rede que permitem a comunicação e a disponibilidade dos sistemas do BB - softwares básicos, apoio e aplicativos - para clientes, funcionários, usuários externos, contratados, fornecedores e parceiros Especificação, desenvolvimento, manutenção, homologação e implantação de soluções de Tecnologia da Informação – TI Computadores, periféricos, sistemas operacionais - software básico, programas de escritório - software de apoio - e programas aplicativos de provedores externos Acesso aos sistemas de TI do BB aos clientes, funcionários, usuários externos, contratados, fornecedores e parceiros

Quadro 11 Fator Eventos externos Subfator Fornecedores e parceiros Desastres naturais e catástrofes Ambiente regulatório Ambiente social Meio ambiente Usuários

Abrangência Desempenho e qualidade de fornecedores de produtos ou serviços, energia, telecomunicações, serviços terceirizados, correspondentes bancários etc. Eventos naturais - terremotos, enchentes etc. - ou catástrofes – queda de prédio, por exemplo Mudanças em políticas, legislação e regulamentação Situação econômico-social Segurança e policiamento Atuação do crime organizado Biodiversidade e desenvolvimento sustentável Afinidade do usuário com as tecnologias de segurança do banco Auto-fraude

Universidade Corporativa BB

Controles

49

internos e compliance

► Eventos de perda operacional Eventos de perda operacional são manifestações decorrentes dos fatores e subfatores de risco operacional. Incluem as perdas de natureza legal e excluem as perdas de natureza estratégica e de imagem. Provocam efeitos mensuráveis nas despesas e nas receitas do Banco. De maneira geral, eles são explicados por um ou mais fatores de risco. O Banco utiliza a seguinte classificação dos eventos de perda: ■ eventos de perda efetiva; ■ eventos de quase-perda e ■ eventos de alerta. Os eventos de perda efetiva sensibilizam o resultado do Banco porque provocam aumento de despesas em decorrência de: ■ danos ao patrimônio físico; ■ lançamentos indevidos irrecuperáveis; ■ pagamento de multas, penalidades, juros etc; ■ pagamentos de compensação não judiciais; ■ processos judiciais; ■ perda direta de numerário; ■ redução de receitas ao resultarem em lucros cessantes18. Os eventos de quase-perda são eventos que não causam perda financeira por conta da intervenção de agente interno ou externo. Exemplo: fraude interna descoberta antes de ser efetivada. Os eventos de alerta identificam eventos relacionados a falhas em processos que não chegaram a causar perda, sem porém terem sofrido a interferência de qualquer agente interno ou externo. Exemplo: cofre de agência aberto sem subtração de numerário. A partir de ocorrências internas, o BB categorizou os eventos de perda em três níveis. Esta classificação permite: ■ agregar e organizar eventos que possuam características semelhantes; ■ permitir a captura, análise e monitoramento dos eventos via sistemas informatizados; ■ facilitar a integração com órgãos reguladores e a comparação com outros Bancos. 18

Lucros cessantes são perdas do Banco que não produzem débitos ou créditos contábeis diretos, porém reduzem a receita esperada. Exemplo: receita não auferida por falha de sistema que frustrou um negócio.

Universidade Corporativa BB

50

Programa

certificação interna em conhecimentos

O primeiro nível compreende as seguintes categorias de eventos: ■ problemas trabalhistas – perdas advindas de infração de leis e normas, referentes a funcionários; ■ fraudes e roubos externos – perdas em que elementos externos lesam intencionalmente a instituição ou seus clientes; ■ falhas nos negócios – perdas decorrentes de quebras de privacidade e de sigilo, mau uso da informação, infração de normas e de leis de mercado e erros de modelagem na formatação de novos produtos; ■ fraudes internas – perdas em que o funcionário ou o contratado pela instituição infringe intencionalmente as normas; ■ danos ao patrimônio físico – eventos associados a danos e desastres naturais, bem como danos não naturais de origem interna e externa; ■ falhas em processos – perdas na relação com órgãos reguladores, decorrentes de multas ou infrações, e na relação com contrapartes, fornecedores e em processos internos; falhas de sistemas – perdas resultantes de negócios não celebrados, em decorrência de sistemas indisponíveis, e decorrentes de erros de sistemas; ■ interrupção das atividades – perdas relacionadas com situações externas e de efeitos potencias na interrupção das atividades do Banco tais como: interrupção nos serviços públicos, nos serviços terceirizados e nos serviços do Banco. ■

O segundo nível constitui desdobramento do primeiro em 26 categorias e o terceiro nível compreende os eventos de perda propriamente ditos. Os eventos de perda geram impactos financeiros negativos que afetam o resultado do Banco, à medida que provocam o aumento de despesas, em decorrência de: danos ao patrimônio físico, lançamentos indevidos irrecuperáveis, pagamento de multas e penalidades, juros, indenizações e ressarcimentos a clientes, processos judiciais, perda direta de numerário etc. Além disso, esses eventos podem, também, provocar a redução de receitas, cujas conseqüências são os lucros cessantes. A Figura 7 apresenta a relação entre os fatores de riscos, os eventos de perda e os impactos negativos para o Banco.

Universidade Corporativa BB

Controles

51

internos e compliance

Figura 7 Eventos de Perda: fatores de risco e consequências Fatores de Risco

Eventos de Perda Fraudes FraudesInternas Internas

Pessoas Pessoas

Fraudes ee Roubos Roubos Fraudes Externos Externos

Conseq üências Danos Patrim ônio Danos ao ao Patrimônio Físico Físico

Multasee Penalidades Penalidades Multas

Problemas Trabalhistas Trabalhistas Problemas

Processos Processos

Perda Financeira Perda Financeira

Falhas nos Negócios Falhas nos Negócios Danos ao Patrimônio Danos Patrimônio Físico Físico

Sistemas Sistemas Sistemas

Falhas em em Sistemas Sistemas Fraudes Falhas em em Processos Processos

Eventos Eventos Eventos Cexternos Externos

Não recupera ção de crédito

Não recuperação de crédito

Processos Judiciais Processos Judiciais Lucros Cessantes Cessantes Lucros

Interrupção das Interrupção das Atividades Atividades

O Quadro 12 mostra exemplos com a descrição, a partir de um evento de perda, das fases seguintes de identificação da causa provável e justificativa, que é associada a um dos fatores (e subfatores) de risco. Em seguida é feita a classificação do evento de perda em determinada categoria e apurado o impacto financeiro. Quadro 12 Análise de eventos de perda– exemplos Evento de perda

Causa provável

Justificativa

Ressarcimento ao cliente de juros referentes à aplicação financeira indevida, em função de mudança de nomenclatura dos fundos

Mudança na nomenclatura dos fundos

Transação indevida com uso de cartão operacional

Utilização de Falta de controle cartão por do acesso ao funcionário não cartão autorizado pela administração

Fator de risco/ Subfator

Falta de Fator Processos comunicação ou comunicação não Subfator: Comunicação apropriada da Interna mudança

Fator 1: Pessoas Subfator: Conduta Fator 2: Processos Subfator: Ponto de controle

Universidade Corporativa BB

Categoria evento de perda

Impacto financeiro

Falhas nos negócios

Perdas na relação de negócios com Clientes

Fraudes Internas

Lançamentos indevidos irrecuperáveis

52

Programa

certificação interna em conhecimentos

3.6. MENSURAÇÃO NO BB A mensuração do risco operacional é de responsabilidade da Diris, bem como o cálculo do capital a ser alocado para risco operacional do Conglomerado. O BB optou pela implementação da abordagem padronizada alternativa em razão de: ■ possibilitar a distribuição das operações às linhas de negócios, que representam perfis distintos de exposição a risco operacional; ■ configurar um pré-requisito para a implementação de abordagens avançadas de mensuração; ■ representar o menor impacto na estrutura patrimonial. Desse modo, aplicando-se o multiplicador  ao resultado da linha de negócios temos a parcela Popr, conforme Quadro 13. Quadro 13 Percentual de capital a ser alocado por linha de negócio

ß

Linha de Negócio Varejo Comercial Finanças Corporativas Negociações e Vendas Pagamentos e Liquidações Serviços de Agente Financeiro Administração de Ativos Corretagem de Varejo

Popr 0,12

1 1,8 %

0,15

2 3,3 %

0,18 0,18

0,3 % 4 0,6 %

0,18

1 7,5 %

0,15

2,4 %

0,12

3,9 %

0,12

0,2 %

Fonte: Coger e Dirco

De acordo com a Circular Bacen 3.383, de 30.04.2008, o impacto da parcela de risco operacional (Popr) na estrutura patrimonial da instituição dar-se-á de forma gradativa, com aplicação de multiplicador (Z) de ajuste com os seguintes parâmetros: de 01.07.2008 até 31.12.2008: 0,20; de 01.01.2009 até 30.06.2009: 0,50; de 01.07.2009 até 31.12.2009: 0,80 e a partir de 01.01.2010: 1,00.

Universidade Corporativa BB

Controles

53

internos e compliance

A Figura 8 apresenta os resultados da alocação de capital levando-se em conta apenas a atualização do fator (Z), pela abordagem padronizada alternativa. Figura 8 Valor de alocação de capital – 2008 a 2010

R$ MIL 3. 000.000 2. 500.000 2. 000.000 1. 500.000 Z = 1, 0

1. 000.000

Z = 0,8 Z = 0,5

500.000 0

Z = 0,2

Z = 0,2

jun/ 08

dez/ 08

jun/09

Popr - Calculada Font e: COGER e D IR CO.

Universidade Corporativa BB

dez/09 Popr - Projetada

jun/10

4

Controles internos em

instituições financeiras19

Espera-se que ao final do estudo deste tema você possa: ▪ Conceituar controles internos. ▪ Identificar aspectos relevantes dos controles internos. ▪ Explicar a importância da governança corporativa para as organizações. ▪ Identificar os principais benefícios da Lei Sarbanes-Oxley para as companhias brasileiras. ▪ Descrever os componentes dos controles internos.

19

Este capítulo possui textos adaptados da apostila BB/Fipecafi, “Os Controles Internos no Contexto Bancário”, de Martin (2006), e do caderno do participante do curso UniBB/Uneb, “Controles internos e compliance”, (2008)

56

Programa

certificação interna em conhecimentos

4.1. CONTROLES INTERNOS EM UM BANCO E OS OBJETIVOS DA ORGANIZAÇÃO Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes em relatórios financeiros e contábeis. Essa comissão era composta por representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos. Em 1992, a Comissão publicou o trabalho Internal Control – Integrated Framework (Controles Internos – Um Modelo Integrado). Essa publicação tornou-se referência mundial para o estudo e aplicação dos controles. Posteriormente, a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO – The Committee of Sponsoring Organizations of the Treadway Commission (Comitê das Organizações Patrocinadoras). O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros por meio da ética, efetividade dos controles internos e governança corporativa. É patrocinado por cinco das principais associações de classe de profissionais ligados à área financeira nos Estados Unidos (Quadro 14). Quadro 14 Associações de classe de profissionais da área financeira nos EUA patrocinadoras do COSO

Instituto Americano de Contadores Públicos Certificados Associação Americana de Contadores Executivos Financeiros Internacionais Instituto dos Auditores Internos Instituto dos Contadores

Fonte: www.coso.org, acesso em 06/02/2009.

Universidade Corporativa BB

Controles

57

internos e compliance

O Comitê trabalha com independência em relação a suas entidades patrocinadoras. Seus integrantes são representantes da indústria, dos contadores, das empresas de investimento e da Bolsa de Valores de Nova York. O primeiro presidente foi James C. Treadway, de onde veio o nome Treadway Comission. Para auxílio na implementação e avaliação de controles internos, além das ferramentas propostas pelo COSO, existem outras desenvolvidas por organismos internacionais, dentre os quais podemos citar: • CoCo – The Committee on Control (Canadian Institute of Chartered Accountants); • The Malcolm Baldrige Award; • CRSA – Control and Risk Self-Assessment (KPMG); e • COBIT - Control Objectives for Information and related Technology. Conceito de controle interno O COSO apresenta a seguinte definição para controle interno: Controle interno é um processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa, nas seguintes categorias: ▪ eficiência e efetividade operacional (objetivos de desempenho ou estratégia) - esta categoria está relacionada com os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade dos ativos; ▪ confiança nos registros contábeis e financeiros (objetivos de informação) todas as transações devem ser registradas, todos os registros devem refletir transações reais, consignados pelos valores e enquadramentos corretos; ▪ conformidade (objetivos de conformidade) com leis e normativos aplicáveis à entidade e sua área de atuação.

O controle interno é um processo levado a efeito pela alta administração e demais níveis hierárquicos. Não é apenas um procedimento ou uma política executada de tempos em tempos, mas deve funcionar continuamente em todos os níveis dentro de um banco. A administração é responsável pelo estabelecimento de cultura que facilite o processo de controles internos e pelo monitoramento constante de sua eficácia. Entretanto, cada pessoa dentro da organização deve participar do processo.

Universidade Corporativa BB

58

Programa

certificação interna em conhecimentos

Os controles internos auxiliam a entidade na consecução de seus objetivos, mas não garantem que eles serão atingidos. Suas limitações podem ser assim resumidas: ▪ custo/benefício – todo controle tem um custo, que deve ser inferior à perda decorrente da consumação do risco controlado; ▪ conluio entre empregados – da mesma maneira que as pessoas são responsáveis pelos controles, essas pessoas podem valer-se de seus conhecimentos e competências para burlar os controles, com objetivos ilícitos; ▪ eventos externos – eventos externos estão além do controle de qualquer organização. Exemplo disso foram os atos terroristas do dia 11.09.2001, nos Estados Unidos. É importante salientar os seguintes aspectos dos controles internos: ▪ O controle interno é um processo. Num banco, ele é constituído de diversas atividades, que são executadas repetitivamente. Por outro lado, esse processo existe como um meio para atingir um fim, que são os objetivos do banco. Dessa forma, não é e não pode ser um fim em si mesmo. ▪ O controle interno é atribuição de todas as pessoas, de todos os níveis e de todos os órgãos ou unidades de um banco. No dia-a-dia de trabalho, todas as pessoas que colaboram num banco têm alguma tarefa ou atividade de controle. ▪ O controle interno é fundamental para que um banco atinja seus objetivos. Os objetivos de um banco são fixados para atender às exigências de seus stakeholders, isto é, os que contribuem para que o banco seja uma empresa rentável, de alta qualidade de serviços, de elevado nível de responsabilidade social e que, a partir desses fundamentos, venha a se desenvolver no longo prazo. Os stakeholders do banco são os seus clientes, acionistas, funcionários, fornecedores, autoridades monetárias e a comunidade em geral e o banco deve fixar objetivos para atender cada um deles. O controle interno é realizado para que todos os demais processos, atividades, operações e transações permaneçam sempre focalizados nos objetivos. Evita, dessa forma, que haja desvios em relação a esse foco, os quais quando detectados devem ser prontamente corrigidos. ▪ O controle interno reduz os riscos de perdas e procura manter os ativos de um banco num patamar apropriado de capacidade produ-

Universidade Corporativa BB

Controles

59

internos e compliance

tiva e de liquidez. A experiência histórica dos bancos indica que suas operações correm diversos riscos, tais como os riscos de crédito, os riscos de mercado, os riscos operacionais e os de liquidez. Alguns desses riscos podem ocorrer simultaneamente numa operação, o que exige do controle interno análises completas e bastante abrangentes. Assim, por exemplo, quando um banco faz uma operação de empréstimo, ele está buscando atender ao objetivo de rentabilidade através da taxa de juros aplicada ao empréstimo. Mas, se o devedor não tiver capacidade de pagamento, não pagará seus débitos, o que para o banco representa perda de ativos, de rentabilidade e de liquidez. Nesse caso, o controle interno deverá verificar se o banco está aplicando técnicas de análise dos riscos de crédito adequadas, as quais poderiam ter evitado esse tipo de perda. • O controle interno deve cuidar para que as demonstrações financeiras do banco sejam confiáveis e preparadas em conformidade com as normas contábeis geralmente aceitas. Ou seja, todas as transações bancárias devem ser registradas e todos os registros contábeis das transações devem ser reais, adequadamente valorizados e classificados, assim como corretamente consolidados e publicados. No Brasil, os bancos são organizados obrigatoriamente na forma de sociedades anônimas e os mais importantes do País são também empresas de capital aberto, isto é, empresas que têm seus títulos negociados no mercado financeiro. Como sociedades anônimas de capital aberto, as demonstrações financeiras são fundamentais para os que adquirem títulos emitidos pelos bancos, que podem ser de crédito (certificados de depósitos à vista ou a prazo, por exemplo), ou de participação (ações, por exemplo). É por intermédio das demonstrações financeiras que os investidores, em particular os acionistas minoritários, podem julgar a rentabilidade, a liquidez e o risco de seus investimentos nos bancos. • Cumprir as leis e regulamentos externos e internos é obrigação de qualquer empresa. Os bancos devem zelar, por exemplo, para que os seus executivos recolham e paguem todos os tributos que incidem sobre as operações bancárias, mesmo quando os impostos não os atinjam diretamente. Os bancos são as empresas brasileiras mais fiscalizadas pelas autoridades, entre elas as monetárias, tributárias, trabalhistas, previdenciárias etc. O cumprimento das leis e normas emitidas por tais autoridades deve ser, portanto, uma atribuição fundamental de qualquer banco. O controle interno deve verificar se os executivos encarregados desses pagamentos e recolhimentos possuem critérios e métodos

Universidade Corporativa BB

60

Programa

certificação interna em conhecimentos

seguros de agendamento e cumprimento dessas obrigações. Essa é a chamada função ou atribuição de compliance externo dos gestores de um banco. É claro que a função de compliance também tem a sua face interior, já que os executivos de todos os níveis devem acatar e cumprir as políticas, normas e regulamentos emitidos pelas autoridades internas do banco, em especial os que têm origem no conselho (o board) e em sua alta administração (o presidente e sua equipe de diretores executivos), que constituem as autoridades máximas dentro da estrutura organizacional de uma sociedade anônima brasileira. ► Os objetivos das organizações bancárias De modo geral, os objetivos das organizações podem ser agrupados em três categorias: objetivos de desempenho, de informação e de conformidade. ▪ Objetivos de desempenho Constituem os objetivos básicos da instituição. Dizem respeito à rentabilidade, segurança e qualidade dos ativos. O processo de controles internos busca assegurar que todo o quadro de pessoal da organização esteja trabalhando de forma a atingir estes objetivos com eficiência e integridade, sem custos excessivos ou inesperados ou colocando outros interesses acima dos interesses do banco. Para isso, estabelece verificações quanto ao cumprimento de: ► procedimentos para a avaliação da qualidade de ativos; ► procedimentos estabelecidos para cada área ou atividade abrangendo as normas relativas à segregação de funções, delegação de autoridade e responsabilidade, conferências, reconciliações, controles duplos, acesso a ativos e arquivos e sua utilização etc.; ► autorização adequada de transações e atividades; ► planos de contingência; ► políticas de gestão de pessoas, abrangendo código de ética, descrições de funções, avaliações de desempenho, rodízio, férias etc.; ► identificação, avaliação e controles de riscos. ▪ Objetivos de informação Referem-se à preparação de relatórios importantes para a tomada de decisões, que sejam confiáveis, precisos e tempestivos. Incluem também os relatórios contábeis, demonstrativos financeiros e outros, destinados a clientes,

Universidade Corporativa BB

Controles

61

internos e compliance

acionistas e autoridades governamentais. Pensa-se aqui, especialmente, nos controles relativos a: ► à alimentação de dados e produção de relatórios gerenciais abordando a qualidade de ativos, a gestão de riscos, acompanhamento da movimentação de clientes, desempenho financeiro, apuração de lucros e perdas, etc. ► ao registro de operações ativas e passivas, contas de resultado, contas de compensação; ► à agilidade das comunicações internas. ▪ Objetivos de conformidade Todas as atividades de um banco devem estar em conformidade com leis e regulamentos e com políticas e procedimentos da própria organização. Os controles internos devem assegurar que os procedimentos em curso na organização acham-se em conformidade com as normas regulamentares. Os objetivos são fixados para o banco como um todo e devem ser segmentados, desdobrados ou decompostos em objetivos coerentes e harmônicos para cada área de negócios, cada linha de produtos, cada departamento, cada tarefa e até mesmo para cada funcionário. Os objetivos gerais de rentabilidade de um banco, por exemplo, são desdobrados e formulados para todas as unidades do banco. Entretanto, em função de sua especialização funcional, os objetivos segmentados serão expressos de diferentes formas de acordo com a área, seja ela de empréstimos, de administração de fundos ou de suporte como a tecnologia da informação ou a contabilidade. Nos bancos, o Conselho de Administração, órgão que nas sociedades anônimas brasileiras representa os acionistas que detêm a propriedade legal da empresa, possui a necessária autoridade para definir objetivos e supervisionar o Conselho Diretor no processo de decomposição dos objetivos gerais para fixar objetivos coerentes, por exemplo, para cada departamento. O Conselho de Administração é a autoridade maior da governança corporativa, ou seja, é o órgão que tem o poder não só para fixar os objetivos do banco, como, também, para assegurar o seu cumprimento, estabelecendo sistema de controles internos aos gestores de todos os níveis, que são os responsáveis pelas diferentes unidades operacionais. Desse modo, verifica-se que numa organização bancária há três esferas totalmente distintas de atuação, Universidade Corporativa BB

62

Programa

certificação interna em conhecimentos

que, pela lógica organizacional, devem ser segregadas em três tipos de órgãos com atuação e natureza totalmente diferentes: governança corporativa, dirigentes e executivos e controles internos. ▪ Governança corporativa Para entender o conceito de governança corporativa faz-se necessário compreender que os objetivos de uma empresa não devem limitar-se aos objetivos econômicos de lucro e sobrevivência. A empresa responsável só deve aceitar a validade desses objetivos econômicos se eles incluírem compromissos que garantam responsabilidades sociais e ecológicas e o cumprimento de preceitos éticos e legais. Governança corporativa é o sistema pelo qual as empresas são geridas e monitoradas, envolvendo o relacionamento entre acionistas/cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da companhia, melhorar seu desempenho, facilitar o acesso ao capital a custos mais baixos e contribuir para sua perenidade. Por meio da boa governança, é permitida aos acionistas a efetiva monitoração da direção executiva. As empresas que adotam boas práticas de governança corporativa se orientam por quatro princípios básicos: ► equidade - tratamento igualitário a acionistas (minoritários e majoritários) e partes interessadas (empregados, colaboradores, fornecedores etc.); ► transparência na relação com o mercado investidor; ► prestação de contas e adoção de padrões internacionais nos registros contábeis; e ► responsabilidade corporativa e cumprimento das leis. Para garantir sua perpetuação, a empresa deve ter como objetivo maior a maximização do retorno aos seus acionistas. Entretanto, jamais deverá permitir que esse retorno seja obtido com prejuízo ao conjunto da sociedade e/ou ao meio ambiente ou tenha como base a violação dos princípios legais e éticos que norteiam os fundamentos do seu negócio. Tais princípios rejeitam a noção de poder e ganhos baseados: ► na sonegação de informações; ► na violação de direitos; ► na fraude e no dolo; e

Universidade Corporativa BB

Controles

63

internos e compliance

► na corrupção direta ou indireta dos agentes econômicos internos ou externos à sua cadeia produtiva. Um sistema de controles internos eficaz, aliado à ação da auditoria externa, poderá garantir que a empresa vá além do simples cumprimento de normas e do atendimento a exigências dos órgãos reguladores. Permitirá ao banco uma gestão fundamentada em princípios éticos e em uma governança corporativa consistente. Como parte desse sistema, a auditoria interna é fonte valiosa de informação para conselheiros e administradores, uma vez que dentre suas competências está a verificação do funcionamento dos controles internos. Sua atuação pode contribuir para evitar desvios e promover o relacionamento produtivo e cooperativo entre a administração e os supervisores bancários. ▪ Dirigentes e executivos Por delegação e autorização do Conselho de Administração, são os encarregados de elaborar as estratégias e efetivar, em todos os níveis, as operações e os negócios bancários que movimentam recursos. São os diretamente encarregados de fazer com que o banco atinja seus objetivos, pois comandam os órgãos de gestão e de suporte dos bancos. Entre os órgãos bancários de gestão estão, por exemplo, os diferentes órgãos que realizam operações de crédito e os que operam com títulos no mercado, para o próprio banco ou em nome de terceiros. Entre os órgãos de suporte de um banco estão, por exemplo, a informática, o departamento de recursos humanos, a tesouraria etc. ▪ Controles internos Também por delegação e autorização do Conselho de Administração, os órgãos de controle interno, são os encarregados de implantar e manter os controles necessários para que haja garantia razoável de que os executivos irão cumprir os objetivos do banco e que serão evitados ao máximo os desvios e perdas de ativos, que podem ocorrer por imprevisão, incompetência ou má-fé. Os órgãos de controle interno estão subordinados à governança corporativa, mas devem ser independentes dos executivos. São representados, por exemplo, pela Controladoria/Contabilidade, Auditoria Interna, Controle Interno de Riscos, Controle de Compliance etc. Os controles internos constituem o grande alicerce e o instrumento principal da governança corporativa, já que, sem eles, o Conselho não poderia acompanhar ou controlar o dia-a-dia da gestão dos recursos de um banco e tomar as medidas necessárias para a sua correção. Universidade Corporativa BB

64

Programa

certificação interna em conhecimentos

Regulamentação de controles internos e governança nos EUA No mesmo sentido da valorização da governança corporativa, dos controles internos e compliance, bem como da gestão de riscos e para reforçar a importância da segurança do processo de divulgação de informações ao mercado, foi promulgada nos EUA a Lei Sarbanes-Oxley, também conhecida como SOX ou Sarbox, em 30/07/2002, principalmente, como forma de reagir às fraudes que envolveram companhias de grande porte daquele mercado, como a Enron, Tyco e WorldCom. Estão sujeitas às regras da SOX as companhias brasileiras que possuem American Depositary Receipts – ADR (recibos de depósito norte-americano, representando ações de empresas estrangeiras, não negociáveis no país das empresas emissoras) negociados nas bolsas de valores norte-americanas; as empresas brasileiras subsidiárias de companhias estrangeiras listadas na Securities and Exchange Commission – SEC20; as companhias brasileiras interessadas em lançar ADR no mercado norte-americano; e as empresas brasileiras que tenham preocupação (em função do rating21, por exemplo) com a tendência do mercado brasileiro em atender e adotar regras de melhor transparência, prestação de contas e equidade na gestão financeira empresarial. A Lei Sarbanes-Oxley representa um significativo aumento de responsabilidades na definição, implementação e manutenção de efetivo sistema de controles internos. Nela podemos destacar as seguintes seções: ▪ Seção 302 – responsabilidade corporativa pelos relatórios financeiros. O diretor executivo e o diretor financeiro devem certificar, em separado, que: ► os controles e procedimentos de divulgação estão estabelecidos; ► todas as informações relevantes chegaram ao seu conhecimento; ► avaliaram a eficácia dos controles e procedimentos dentro do prazo de 90 dias da data do relatório; ► apresentaram no relatório suas conclusões sobre a eficácia dos controles e procedimentos, inclusive sobre as deficiências de controles, eventuais fraudes significantes para dos controles internos. ▪ Seção 404 – gerenciamento da avaliação dos controles internos. Estabelece: 20 21

Até fevereiro/2005 existiam 34 empresas brasileiras com ADR admitidos à negociação na SEC (EUA). Classificação de uma empresa, país, papel ou operação estruturada, segundo o risco de crédito que apresenta.

Universidade Corporativa BB

Controles

65

internos e compliance

► uma avaliação anual sobre a eficiência e eficácia dos controles e procedimentos internos para a emissão de relatórios financeiros; ► a emissão, por auditor independente, de um relatório distinto que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros; ► o uso de direcionadores na implementação de controles internos (COSO, por exemplo). ▪ Seção 906 – define as penalidades criminais para informações incompletas ou errôneas. Além das seções destacadas, os principais dispositivos da Lei Sarbanes-Oxley tratam de: ► existência de Código de Ética para os administradores; ► proibição de empréstimos para administradores; ► criação e independência do Comitê de Auditoria; ► criação do Conselho de Supervisão de Firmas de Auditoria Independente; ► separação entre os serviços de auditoria e consultoria; ► obrigatoriedade para os advogados informarem à Securities and Exchange Commission – SEC violações relevantes à legislação de mercado de capitais; ► maiores exigências de publicidade (a SEC recomenda, ainda, a constituição de um Comitê de Divulgação); e ► novas tipificações criminais por violação de conduta. Os principais dispositivos da Lei se encaixam perfeitamente no rol de boas práticas bancárias e podem ser incorporados por uma instituição, independentemente de estarem ligadas às bolsas de valores norte-americanas. Assim, de forma sintética, os principais benefícios que a Lei pode trazer para as companhias brasileiras são: ► aprimoramento da governança corporativa; ► melhoria da percepção de clientes e investidores brasileiros e estrangeiros, com impacto no valor de mercado da empresa; ► maior segurança para o acionista; ► possibilidade de ampliação do acesso ao crédito estrangeiro; ► possibilidade de obter melhor avaliação pelas agências de rating e pelos reguladores; ► aumento dos níveis de suficiência, adequação e cumprimento dos controles internos, contribuindo para a eficiência dos processos organizacionais; Universidade Corporativa BB

66

Programa

certificação interna em conhecimentos

► tratamento das causas das falhas operacionais, apesar do impacto nas demonstrações financeiras; ► garantia de controles suficientes e adequados para assegurar a confiabilidade das informações contábeis; ► aperfeiçoamento e/ou correção de desvios nos processos operacionais de maior relevância e impacto nas demonstrações financeiras; ► reavaliação de grande parte dos processos da empresa, sob a ótica de riscos e controles, além de efetuar a fluxogramação e documentação daqueles considerados principais sob a ótica da SOX; e ► disseminação e consolidação da cultura de controle, visto que o trabalho envolve toda a organização. 4.2. OS COMPONENTES DO CONTROLE INTERNO22 Segundo estudo do COSO, publicado em 1992, o processo de controle interno consiste de cinco componentes interrelacionados, conforme pode ser observado na Figura 9. Esses componentes dependem da forma como a governança deseja que a organização bancária seja controlada e como os executivos principais a administram.

id ad e

Informação & Comunicação Atividades de Controle

Área AA Área Áre a BB Área Atividade 1 1 Atividade

Monitoramento

Atividade Atividade 2 2

Co nf or m

RR FFinin ela aan tóórr ce ioioss iro s

OOpp eerra çõõ ess

Figura 9 Cubo Coso - Componentes do controle interno

Avaliação de Riscos Ambiente de Controle

22



Fonte: Coso (1992), com tradução.

Neste tópico, foram utilizados textos adaptados da apostila BB/Fipecafi, Os Controles Internos no Contexto Bancário, de Martin (2006).

Universidade Corporativa BB

Controles

67

internos e compliance

▪ Ambiente de controle O ambiente de controle é a fundação, a base, o pilar do controle interno. Sem o ambiente de controle, os outros componentes não terão sustentação e entrarão em colapso como uma casa sem alicerces. O ambiente de controle é um fator intangível, mas essencial para o funcionamento do sistema de controles internos. É o Conselho de Administração, em seu trabalho de governança corporativa e como representante dos acionistas, que estabelece as diretrizes em relação aos riscos, determinando como os controles devem ser estabelecidos, implantados, limitados e cumpridos na organização. Nos bancos, o que os controles desejam é influenciar o comportamento das pessoas, estabelecendo um ambiente interno de qualidade, segurança e motivação para que elas se sintam incentivadas a aplicar em seu trabalho todos os recursos de que dispõem (competências, valores éticos, integridade, espírito de colaboração) para que, em conjunto, façam com que o banco atinja seus objetivos. O ambiente de controle é efetivo quando a administração provê suporte às atividades de controle e e os funcionários sabem quais são suas responsabilidades, os limites de sua autoridade e têm a consciência, competência e o comprometimento de fazerem o que é correto da maneira correta. Ou seja: os funcionários sabem o que deve ser feito? Se sim, eles sabem como fazê-lo? Se sim, eles querem fazê-lo? A resposta não a quaisquer dessas perguntas é um indicativo de comprometimento do ambiente de controle. ▪ Avaliação de riscos As funções principais do controle interno, como vimos, estão relacionadas ao cumprimento dos objetivos da entidade. Uma vez estabelecidos e clarificados, deve-se identificar os riscos que ameacem o cumprimento dos objetivos e tomar as ações necessárias para o gerenciamento dos riscos identificados. O estabelecimento de um sistema de controles internos efetivo num banco requer que sejam identificados e continuamente avaliados os riscos que são relevantes e que podem impedir ou afetar negativamente o cumprimento dos objetivos da organização. Essa avaliação deve compreender todos os riscos que cercam o banco (ou o grupo financeiro ao qual eventualmente pertence), que são, por exemplo, os riscos de mercado, os riscos de liquidez, os riscos de crédito, os riscos operacionais etc.

Universidade Corporativa BB

68

Programa

certificação interna em conhecimentos

▪ Atividades de controle São aquelas atividades que, quando executadas tempestiva e adequadamente, permitem a redução ou administração dos riscos. Podem ser de duas naturezas: atividades de prevenção ou de detecção. Um sistema de controles internos efetivo deve apoiar-se numa estrutura organizacional que favoreça o estabelecimento de atividades de controle para cada processo de gestão ou operação do banco e para cada nível da hierarquia. As atividades de controle devem ser implementadas de maneira ponderada, consciente e consistente. Nada adianta implementar um procedimento de controle, se este for executado de maneira mecânica, sem foco nas condições e problemas que motivaram a sua implantação. Também é essencial que as situações adversas identificadas pelas atividades de controle sejam investigadas, adotando-se tempestivamente as ações corretivas apropriadas. A partir da estruturação de objetivos e responsabilidades efetuados pela governança e pelos executivos do banco, cabe aos órgãos de controle: ► verificar o cumprimento dos objetivos da gestão e as respectivas atividades de controle para cada processo, departamento ou divisão, bem como a aderência aos níveis de alçada para aplicação de recursos e ao sistema de aprovações ou autorizações estabelecido; ► realizar controles físicos (inventário) sobre os ativos de propriedade do banco, bem como a verificação do seu estado de conservação e liquidez (no caso dos títulos e valores); ► fazer o acompanhamento de compliance em relação às leis, regulamentos e normas, internas e externas, bem como procedimentos de verificação passo a passo dos casos de noncompliance; ► verificações e reconciliações em todo o sistema de pagamentos e/ou recebimentos, incluindo os recursos de terceiros administrados pelo banco. Para o estabelecimento de um sistema formal de controles internos é importante destacar o papel da normatização. As normas internas são importantes porque fixam de forma explícita, objetiva e documental, as políticas, procedimentos, atividades e controles que devem ser aplicados em cada processo, transação ou contratação efetuada pelo banco. ▪ Informação e comunicação A comunicação é o fluxo de informações dentro de uma organização, entendendo que este fluxo ocorre em todas as direções – dos níveis hierárquicos Universidade Corporativa BB

Controles

69

internos e compliance

superiores aos níveis hierárquicos inferiores, dos níveis inferiores aos superiores, e comunicação horizontal, entre níveis hierárquicos equivalentes. O processo de comunicação pode ser formal ou informal. O processo formal acontece por meio dos sistemas internos de comunicação – que podem variar de complexos sistemas computacionais a simples reuniões de equipes de trabalho – e são importantes para obtenção das informações necessárias ao acompanhamento dos objetivos operacionais, de informação e de conformidade. O processo informal que ocorre em conversas e encontros com clientes, fornecedores, autoridades e empregados é importante para obtenção das informações necessárias à identificação de riscos e oportunidades. Um sistema efetivo de administração e de controle interno de um banco requer a coleta, o registro e a comunicação de um vasto conjunto de dados financeiros, operacionais e de compliance, além de dados colhidos externamente, a respeito do mercado, da legislação e das condições econômicas. Tais dados são absolutamente necessários para a tomada interna de decisões e também para proceder ao controle de qualidade dessas decisões. Por outro lado, o controle interno deve verificar, também, a qualidade da comunicação interna do banco, já que, sem uma boa comunicação, se perde grande parte do valor da informação. As comunicações sempre devem ser confiáveis, tempestivas, acessíveis e consistentes, quer sejam internas, entre as pessoas e os diferentes níveis da organização, quer sejam externas. Os controles internos devem verificar especialmente a qualidade das comunicações externas para os participantes mais relevantes do banco, os acionistas, os clientes e as autoridades bancárias. ▪ Monitoramento Conforme já foi visto no capítulo 2, o monitoramento é a contínua verificação da validade e da eficiência de cada categoria do controle interno e também de todo o processo, em relação aos objetivos da organização bancária. Como as atividades de controle são diferentes, em função de cada objetivo, de cada área e de cada nível da organização em que são praticadas, o monitoramento deve partir de uma perfeita compreensão do significado de cada objetivo e das atribuições de cada área em relação a tal objetivo.

Universidade Corporativa BB

70

Programa

certificação interna em conhecimentos

Relações dos componentes dos controles internos com os objetivos e com a estrutura organizacional Como vimos, há uma relação direta entre os objetivos da organização e os componentes dos controles internos, já que os objetivos representam o que banco pretende alcançar e os controles verificam o que o banco realizou para alcançá-los e, mais importante, verificam se o banco efetivamente os alcançou. Por outro lado, os controles internos também dependem da forma, dos níveis e das atribuições conferidas aos diferentes órgãos da estrutura organizacional do banco. Essas relações entre os componentes do controle interno com os objetivos e a estrutura da organização encontram-se na Figura 10. Figura 10 Componentes do controle interno, objetivos e estrutura organizacional Objetivos do Banco Desempenho Custódia

Componentes dos Controles Internos

Organização do Banco

Ambiente de Controle

Áreas ou linhas de Negócio

Compliance Externo

Identificação e avaliação dos riscos

Compliance Interno

Atividade de Controle

Qualidade das Informações

Comunicação Monitoramento

Divisões Departamento Órgãos/Agências

Fonte: Apostila BB/Fipecafi, de Martin (2006)

Cabe destacar as diferenças básicas que existem entre as atividades de controle e as atividades de gestão. Já foi dito que as atividades de controle devem permear toda a administração de um banco, já que o controle é um dos processos básicos de gestão. Entretanto, as responsabilidades dos agentes de controle e dos executivos são muito diferentes.

Universidade Corporativa BB

Controles

71

internos e compliance

Tomando, por exemplo, uma área de gestão de recursos de um banco, como a de crédito, verifica-se que examinar os critérios de concessão de empréstimos, avaliar a sua eficácia em termos de adimplência, os procedimentos adotados em relação às contratações, a solicitação de garantias reais etc. são atribuições dos controles internos. Porém, não são atribuições do controle interno estipular quaisquer desses critérios, condições e procedimentos, pois essas são responsabilidades do executivo de crédito, que também deve gerir os riscos envolvidos em seus negócios. É claro que esse gestor possuirá seus próprios controles e irá aplicá-los para verificar, em primeira mão, a eficiência e a eficácia de seu trabalho. Mas a organização não poderá se valer, sem maiores exames, desses controles operados pelo próprio gestor, já que poderiam ser invalidados por omissões, incapacidades ou por simples má-fé. Assim, uma pré-condição para controles internos válidos é a sua independência em relação aos executivos. Se a organização vai utilizar as informações produzidas pelos executivos ou gestores de recursos, ela deve atestar antes a sua veracidade, sua integralidade e sua consistência. Uma boa parte dos grandes escândalos financeiros que marcaram o mundo empresarial, no final do século anterior, teve como pecado original a não-segregação de tarefas e a ausência de testes de validação das informações produzidas pelos administradores de recursos sobre as transações que eles próprios conduziam.

Universidade Corporativa BB

5

Controles internos no BB23

Espera-se que ao final do estudo deste tema você possa: ▪ Descrever o modelo de gestão de controles internos do Banco do Brasil. ▪ Citar exemplos de categorias e subcategorias de controles. ▪ Conceituar compliance. ▪ Descrever os elementos que compõem o programa de compliance. ▪ Listar as camadas em que estão estruturadas as atividades de compliance e as respectivas atribuições. ▪ Identificar os principais instrumentos disciplinares e punitivos adotados pela supervisão bancária no Sistema Financeiro Nacional.

23

Este capítulo possui textos adaptados do caderno do participante do curso. Controles internos e compliance. UniBB/Uneb, 2008.

74

Programa

certificação interna em conhecimentos

5.1. HISTÓRICO DE CONTROLES INTERNOS NO BANCO DO BRASIL Desde os anos 70, com a criação do Comitê da Basileia para Supervisão Bancária, procurou-se fortalecer o sistema financeiro por meio de regulamentação mais sistemática. Iniciava-se o processo de saneamento do sistema financeiro internacional. Com a abertura comercial, a partir de 1992, o Brasil buscou alinhar-se com o mercado mundial da alta competitividade. Ao mesmo tempo, os órgãos reguladores aumentaram sua preocupação em implementar novas regras de combate às operações financeiras ilícitas e à lavagem de dinheiro e em regulamentar o mercado interno de acordo com as regras internacionais. Em paralelo a esse cenário, as instituições financeiras brasileiras continuaram a enfrentar uma acirrada disputa interna por uma fatia do mercado. Essa competitividade contribuiu para a falência de algumas instituições que, dentre outros fatores, não adequaram seus controles e não praticaram princípios éticos exigidos pela sociedade. Com isso, as instituições financeiras foram compelidas a iniciar um ciclo de mudanças cada vez mais radical. Ocorreram reestruturações estratégicas, organizacionais e tecnológicas, além de reciclagens constantes. Buscou-se aperfeiçoamento do desempenho dos empregados por meio de treinamentos periódicos e de implementação de códigos de ética e de políticas de controles internos. No caso brasileiro, a avaliação de controles internos tem sido a preocupação do Bacen desde a Resolução 607, de 02.04.1980, que passou a exigir do auditor independente a emissão de relatório circunstanciado sobre deficiências ou ineficácia dos controles contábeis internos, bem como a respeito do descumprimento de normas legais e regulamentares. No Banco do Brasil, a gestão adequada dos riscos e controles sempre esteve presente nas ações estratégicas de maximização do desempenho negocial e da redução de custos. Antes mesmo da publicação da Resolução 2.554, de 1998, que estabeleceu a função controle, o Banco, em 1996, decidiu pela criação do cargo de Gerente de Controle, nas agências, visando segregar as atividades de deferimento de créditos.

Universidade Corporativa BB

Controles

75

internos e compliance

Em 1998, foi realizado um realinhamento da organização administrativa nas agências – especialização da função controle – para redefinir os cargos de Gerente de Controle e criar o cargo de Auxiliar de Controle. Em janeiro de 1999, o Conselho de Administração do Banco aprovou a criação da Unidade de Função Controles Internos – UCI, que passou a incorporar a área de apoio ao Comitê de Gerenciamento Integrado de Ativos e Passivos. A UCI, em conjunto com as Unidades Controladoria, Contadoria e Gerência de Relações com Investidores, integrava a área de gestão da Diretoria de Controles, que tinha por objetivo o desenvolvimento e aprimoramento dos instrumentos de controle e a ênfase na gestão de riscos. Nesse mesmo período, o Banco promoveu a separação da administração de recursos de terceiros da administração de recursos próprios, desmembrando a Unidade Gestão de Recursos de Terceiros em Diretoria de Mercado de Capitais - Dimec e BB Gestão de Recursos - Distribuidora de Títulos e Valores Mobiliários S.A.- BB-DTVM. Em setembro de 1999, foi definida a classificação e a conceituação de riscos incorridos pelo Banco, tendo sido normatizadas de forma a serem utilizadas por todas as áreas na avaliação de riscos dos processos, produtos e serviços da Organização. Estão destacadas, no Quadro 15, as principais ações da Diretoria de Controles Internos, iniciadas a partir de fevereiro de 2000, em continuidade ao processo de desenvolvimento e implantação da função controle e compliance e de disseminação da cultura de controle no Banco.

Universidade Corporativa BB

76

Programa

certificação interna em conhecimentos

Quadro 15 Controles Internos no BB Ano 2000

2002

2003 2004

2005 2006

2007 2008

Atividade/Evento • Revisão, em conjunto com a Diretoria Gestão de Pessoas, do Código de Ética e das Normas de Conduta, com ampla divulgação a todo corpo funcional. Seminário Internacional sobre Risco Operacional, no Rio de Janeiro. • Aprovação, pelo Comitê de Risco Global, dos indicadores que definem o rating das agências, sob o aspecto de conformidade, compondo a perspectiva de Processos Internos no Acordo de Trabalho. • Aprovação, pelo Comitê de Risco Global, dos indicadores que definem o rating das áreas da Direção Geral. • Nova reformulação do Sistema de Controles Internos e Gestão de Riscos, resultando na transferência da mensuração do risco operacional para a Unidade Gestão de Riscos e na transformação da Unidade de Controles Internos em Diretoria, com revisão de estrutura. • Criação do Comitê de Auditoria - Coaud e revisão da atuação da Diretoria de Controles Internos, com extinção do cargo de agente de conformidade nas áreas e centralização dos funcionários nos órgãos regionais da Dicoi. • Implementação do Programa de Compliance para e Rede Externa. • Aprovação pelo Conselho Diretor da estrutura de gerenciamento do risco operacional proposta pelas diretorias de Controles Internos, Gestão de Riscos e Gestão da Segurança, em atendimento à Resolução 3.380. • Implementação do Programa de Controles Internos e Compliance. • Implementação da metodologia Rating de Maturidade dos Controles-RMC. • Criação de estrutura para desenvolvimento de estudos técnicos para viabilizar a implementação das regras da Seção 404 – Certificação dos Controles Internos, para adaptação do BB às exigências da Lei Sarbanes-Oxley.

5.2. MODELO DE GESTÃO DE CONTROLES INTERNOS NO BB A necessária adaptação do Banco do Brasil ao ambiente regulatório fez surgir na empresa o sistema de controles internos, que representa o conjunto de políticas, procedimentos, ações e estruturas administrativas que visam auxiliar no atingimento dos objetivos estratégicos da organização, por meio do reconhecimento e gerenciamento adequado dos riscos inerentes às suas atividades. Assim, o sistema de controles internos permeia todas as atividades do Conglomerado e está relacionado de forma específica com a atividade fim de algumas áreas: • Auditoria Interna - Audit; • Diretoria de Controles Internos - Dicoi; • Diretoria Gestão de Riscos - Diris; • Diretoria de Controladoria - Dirco; • Contadoria Geral - Coger;

Universidade Corporativa BB

Controles

77

internos e compliance

• Diretoria de Estratégia e Organização - Direo; e • Diretoria Gestão da Segurança - Diges. A avaliação da efetividade dos controles é exercida no BB de forma segregada e independente por diferentes instâncias – Conselho de Administração, Comitê de Auditoria, Diretoria Executiva – e por uma Auditoria Independente. O modelo de atuação da Dicoi foca suas atividades em dois níveis de forma distinta e segregada, conforme pode ser observado na Figura 11. Figura 11 Modelo de atuação da Dicoi Autoavaliação Unidades Estratégicas Subsidiárias Integrais Rede Interna Rede Externa

1º Nível (Área)

Verificações de CI e Compliance Unidades Estratégicas Subsidiárias Integrais Rede Interna Rede Externa

2º Nível (Dicoi)

No primeiro nível, de acordo com as normas internas (Livro de Instruções Codificadas - LIC), está nas responsabilidades de cada área garantir o compliance e responder pela qualidade, confiabilidade, adequabilidade e integridade dos controles internos nos seus negócios, processos, produtos e serviços. Nesse nível, a Dicoi disponibiliza a ferramenta de Autoavaliação Anual de Controles Internos e Compliance para as unidades estratégicas, subsidiárias integrais e rede interna de agências, sendo que a responsabilidade pelas informações apresentadas fica atribuída ao Comitê de Administração das respectivas unidades/áreas. Para a rede externa - agências e subsidiárias integrais no exterior - a Dicoi também disponibiliza a Autoavaliação Anual de Controles Internos e Compliance. Contudo, a responsabilidade pelos resultados da aplicação da metodologia é compartilhada pelo Comitê de Administração da unidade do exterior Universidade Corporativa BB

78

Programa

certificação interna em conhecimentos

e pelo Compliance Officer (funcionário designado para coordenar e conduzir as atividades relacionadas a controles internos e compliance nas dependências do exterior). Num segundo nível, a atuação da Diretoria de Controles Internos é realizada em três vertentes: ▪ verificações de controles e conformidade – realizadas de forma segregada, tomando por base os relatórios de autoavaliação respondidos pelas diretorias e unidades; ▪ análise dos processos críticos – realizada com objetivo de identificar os riscos e os controles existentes nos processos considerados críticos e definir planos de ação para mitigação dos riscos considerados inaceitáveis e indicadores para acompanhamento; e ▪ disseminação da cultura de controles internos – a Diretoria de Controles Internos tem como princípio disseminar a cultura de controles, com objetivo de promover a aculturação dos funcionários e facilitar o processo de análise de riscos e controles. Para o desenvolvimento de atividades de controle, verificação de conformidade e assessoramento às unidades estratégicas e subsidiárias integrais, a Diretoria de Controles Internos dispõe de analistas de conformidade que ficam responsáveis por um conjunto de áreas, nas quais é o ponto de referência para assuntos de controles internos e conformidade. Na rede interna de agências e nos órgãos regionais, atua por meio dos órgãos regionais da Dicoi, que promovem testes nos controles e verificações de conformidade nos processos. Na rede externa, atua por meio do Compliance Officer. A atuação da Diretoria de Controles Internos pode ser visualizada, de forma esquemática, na Figura 12.

Universidade Corporativa BB

Controles

79

internos e compliance

DICOI

5.3.

Controles Internos

Redes

Conformidade

Sede

Abordagens

Figura 12 Formas de abordagem da Dicoi

Analista de Conformidade

Diretorias Unidades Subsidiárias

Núcleos de Apuração da Conformidade (doméstica) Compliance Officer (exterior)

Órgãos Regionais Agências Agências Externas Subsidiárias Integrais, no exterior

CATEGORIAS E SUBCATEGORIAS DE CONTROLES

O BB trabalha com os seguintes conceitos sobre controles: ▪ controles são instrumentos que permitem minimizar riscos, assegurando, com determinado grau de confiança, o alcance dos objetivos dos processos organizacionais: ▪ controles básicos são aqueles considerados fundamentais para minimizar determinado tipo de fragilidade; e ▪ controle interno é um processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa. Visando facilitar o processo de análise de riscos e controles, o Banco agrupou os diversos tipos de controle em categorias e subcategorias, cujas definições veremos a seguir. Cabe destacar que um dos controles mais utilizados é a normatização dos processos da organização, pois processos não formalizados trazem risco de descontinuidade e de falta de padronização em sua execução. As normas e procedimentos estão formalizados no LIC, em manuais de procedimentos internos das áreas ou em Procedimentos Operacionais Padrão – POP.

Universidade Corporativa BB

80

Programa

certificação interna em conhecimentos

Além da responsabilidade pelo cumprimento dos normativos internos, cada gestor deve assegurar a aderência dos procedimentos definidos por sua área às normas externas e garantir a existência de controles suficientes para atendimento à legislação. O não cumprimento das exigências externas, em sua maioria, sujeita o Banco a sanções e penalidades. Uma visão esquemática do funcionamento das categorias e subcategorias de controle adotadas pelo BB pode ser vista na Figura 13. Figura 13 Categorias e subcategorias de controle

Definição e Comunicação de Propósitos Instrumentos de Mensuração, Monitoram ento e Comunicação

Contr oles de Comprometimento

Planejamento e Avaliação de Riscos

Controles Diretos

Capacitação/ Aprendizagem Contínua

Ambiente de Controle

Universidade Corporativa BB

Ambiente de Controle

Ambiente de Controle

Ambiente de Controle

Controles

81

internos e compliance

Controles de supervisão São métodos, procedimentos ou sistemas desenvolvidos para verificar se os controles selecionados resultam em um nível aceitável de risco, que não comprometa o resultado: ■ auditorias internas; ■ auditorias externas; ■ auditorias de órgãos reguladores; ■ consultorias externas; ■ comitê de auditoria; ■ outros controles de supervisão. Mecanismos de avaliação do bem-estar dos funcionários Referem-se aos métodos e procedimentos que permitam identificar os níveis de bem-estar e motivação dos funcionários e seus reflexos - positivos ou negativos - na realização dos objetivos: ■ ■ ■ ■ ■ ■ ■ ■

pesquisa de clima organizacional; reuniões participativas; comunicação com a alta administração; processo de gerenciamento de equipes; assistência pessoal; análise de isonomia; condições ambientais; outros mecanismos de avaliação do bem-estar dos funcionários.

Definição e comunicação dos propósitos Corresponde à definição da missão, da visão e dos objetivos a serem alcançados e comunicação formal aos funcionários, para conhecimento e comprometimento na busca dos resultados: ■ visão e missão da empresa; ■ objetivos estratégicos da empresa; ■ objetivos da diretoria/unidade/dependência; ■ objetivos da equipe; ■ políticas e normas; ■ código de ética e normas de conduta da empresa.

Universidade Corporativa BB

82

Programa

certificação interna em conhecimentos

Controles de comprometimento Incorpora definição e atribuição das responsabilidades dos funcionários e implantação de mecanismos voltados para o reconhecimento do grau de compromisso do corpo funcional, traduzidos em recompensas materiais, não materiais e ações motivacionais ou punitivas. ■ estrutura organizacional - funções e subfunções; ■ mecanismos de responsabilidade – descrição de cargos, acordo de trabalho, processo orçamentário, reconhecimento de responsabilidade por escrito e outros mecanismos de responsabilidade; ■ mecanismos de motivação/recompensa/punição – sistema de avaliação de desempenho, práticas de promoção, práticas de disciplina e demissão, sistema de recompensa monetária, sistema de recompensa não monetária, revisão dos objetivos estratégicos pela alta administração e pelas diretorias/unidades e outros controles de comprometimento. Planejamento e avaliação de riscos Compreende a formulação de planejamento voltado para os objetivos da empresa, mensuração dos possíveis riscos a serem enfrentados e análise dos controles existentes ou necessários: ■ análise da conjuntura política e econômica nacional e internacional; ■ planejamentos de longo, médio e curto prazos; ■ gerenciamento de riscos em ativos e passivos; ■ metodologia de controle e avaliação de riscos de produtos e serviços (CARPS); ■ metodologias de análise de processos; ■ metodologia de avaliação de riscos e controles (matriz de riscos e controles); ■ instrumentos de autoavaliação de riscos e controles (self-assessment); ■ pareceres da assessoria jurídica; ■ planos de contingência; ■ outros métodos de planejamento e avaliação de riscos. Capacitação/aprendizagem contínua Representada pelos mecanismos que permitem identificar e aperfeiçoar as competências dos funcionários necessárias ao alcance dos objetivos:

Universidade Corporativa BB

Controles

■ ■ ■ ■ ■ ■

83

internos e compliance

gestão do desempenho; atividades de capacitação; processos de seleção; orientação de carreira; certificação de conhecimentos; outros mecanismos de identificação e aperfeiçoamento das competências.

Controles diretos São os procedimentos ou dispositivos que asseguram, de forma direta, a minimização de riscos, visando o alcance dos objetivos estabelecidos: ■ normas e procedimentos internos; ■ alçadas e limites; ■ segregação de funções; ■ decisões em colegiado; ■ conferências e autorizações; ■ rodízio de funcionários; ■ validações; ■ backtesting; ■ layout de formulários e sistemas; ■ sistema contábil - plano de contas; ■ conciliações; ■ proteção de ativos e passivos financeiros – hedge; ■ proteção do patrimônio (controles de acesso físico, manutenção de equipamentos, inventários físicos e mecanismos de segurança física); ■ controles de acesso lógico; ■ controles de serviços terceirizados; ■ testes de conformidade; ■ arquivo e preservação de registros; ■ outros procedimentos de controle direto. Instrumentos de mensuração, monitoramento e comunicação São instrumentos que permitem acompanhar e identificar se os objetivos estão sendo ou não alcançados e disponibilizar informações de forma tempestiva e padronizada: ■ sistemas/relatórios gerenciais; ■ análises estatística e financeira; ■ ferramentas de benchmarking; ■ pesquisa de satisfação de clientes;

Universidade Corporativa BB

84

Programa

■ ■ ■

■ ■

certificação interna em conhecimentos

análise da qualidade das autoavaliações de riscos e controles; mecanismos de monitoramento e de reporte; canais de comunicação (com funcionários, com clientes e de denúncias); acompanhamento e análise de normas e regulamentos externos; outros instrumentos de mensuração, monitoramento e comunicação.

5.4. COMPLIANCE A palavra compliance vem do verbo em inglês “to comply”, que significa “cumprir”, “executar”, “satisfazer”, “realizar o que lhe foi imposto”. Em português, compliance significa conformidade – o dever de cumprir, de estar em conformidade e fazer cumprir regulamentos internos e externos impostos às atividades da Instituição. Visão geral do sistema de gestão e controle de compliance Missão compliance – consiste em assegurar, em conjunto com as demais áreas, a adequação, o fortalecimento e o funcionamento do sistema de controles internos da instituição, procurando mitigar os riscos de acordo com a complexidade de seus negócios, bem como disseminar a cultura de controles para assegurar o cumprimento de leis e regulamentos existentes (Grupo de Trabalho ABBI – FEBRABAN, 2004).

A gestão de compliance, em conjunto com as outras áreas que formam os pilares da governança corporativa, tem assegurado à alta administração das instituições financeiras a existência de um sistema de controles internos que demonstre de maneira transparente que a estrutura organizacional adotada e os procedimentos internos estão em conformidade com os regulamentos externos e internos afetos às instituições. Ao garantir adequado funcionamento da gestão de compliance, a alta direção demonstra seu comprometimento com o fortalecimento de seus negócios em bases éticas e na busca constante da melhoria dos seus controles. Isso preserva, afinal, um dos seus maiores ativos que é a sua boa imagem junto ao público, investidores e órgãos reguladores e fiscalizadores, além de otimizar o capital alocado para efeito do acordo de Basileia. Prova do reconhecimento da importância da função compliance é a regulamentação do exercício dessa função publicada por alguns países a exemplo Universidade Corporativa BB

Controles

85

internos e compliance

da Bélgica, Inglaterra, França, Colômbia, entre outros. A necessidade do reconhecimento das funções inerentes à atividade de compliance é fundamental para minimizar os desafios e consolidar os conceitos trazidos com toda a evolução normativa, ocorrida a partir de 1998. A definição de risco operacional adotada por Basileia II destaca que todos os processos – desde o negócio-fim até os meios pelos quais estes são realizados – são possíveis geradores de perdas e sujeitos aos controles e acompanhamentos pertinentes. O risco operacional, tal qual o compliance, insere-se no contexto do sistema de controles internos de todas as instituições, devendo ser controlado e mitigado no âmbito geral, com o envolvimento de todos os níveis da organização. A função compliance de um banco é definida pelo Comitê de Supervisão Bancária de Basileia (DOCUMENTO FEBRABAN, 2003), da seguinte maneira: Uma função independente que identifica, avalia, recomenda, monitora e reporta o risco de compliance do banco, que consiste no risco de sanções legais ou regulatórias, perdas financeiras, ou perdas em termos de reputação a que um banco está sujeito como resultado de sua incapacidade de cumprir todas as leis, regulamentos, códigos de conduta e normas vigentes.

A função compliance busca assegurar a existência de: ■ políticas e normas; ■ pontos de controle nos processos para mitigar os riscos; ■ relatórios, ou outros meios adequados, contendo informações da base de dados do risco operacional materializado, para que os gestores possam atuar em conjunto com a área de compliance na busca da regularização e melhoria dos controles internos procurando mitigar o risco; ■ práticas saudáveis para a gestão de riscos operacionais. A estrutura da função compliance de um banco depende de diversos fatores, incluindo porte e sofisticação, natureza e cobertura geográfica de suas atividades. Porém, seja qual for a estrutura utilizada pelo banco, dois princípios básicos devem ser observados: ■ o papel e as responsabilidades da função compliance devem ser definidos de forma clara;

Universidade Corporativa BB

86

Programa

■

certificação interna em conhecimentos

a função compliance deve ser independente das atividades de negócio do banco.

Para o Banco do Brasil, a função compliance é uma função independente que identifica, avalia, apresenta recomendações, monitora e reporta o risco de compliance do Banco. Tem como objetivos: ■ assegurar que a organização tenha sistemas de controles internos que mensurem e gerenciem adequadamente os riscos a que está exposta; e ■ garantir o cumprimento de normas, leis e regulamentos internos e externos, minimizando os riscos operacional e legal. Ética e códigos de conduta O código de ética elaborado pelo Banco do Brasil tem por objetivo valorizar os preceitos éticos existentes na cultura da Organização e aqueles reconhecidos pela comunidade. É fruto da realidade da Empresa, da experiência profissional e do desejo de consolidar os princípios de cidadania nas relações com a sociedade. O código sistematiza os valores essenciais praticados pelo Conglomerado nos relacionamentos com os diversos segmentos da sociedade, propicia a disseminação e o compartilhamento desses valores, no âmbito interno e externo, e busca promover o exercício profissional responsável. Possibilita, também, o continuo aperfeiçoamento das normas de conduta profissional e um elevado padrão ético à Organização. O Banco do Brasil entende que seus funcionários devem pautar suas ações pelos valores contidos no código e pelas normas de conduta profissional da Empresa. Dentre os valores éticos que fundamentam suas relações, o Banco do Brasil e seus funcionários adotam os seguintes como prioritários e comuns a todos os relacionamentos: justiça, responsabilidade, confiança, civilidade e respeito. A implementação de código de ética e normas de conduta no Banco do Brasil reforça a preocupação da empresa com o primeiro componente dos controles internos do direcionador COSO, que, de acordo com as suas definições, refere-se ao componente basilar para os demais, pois, a partir de um ambiente de controle forte, o desenvolvimento dos demais componentes é facilitado.

Universidade Corporativa BB

Controles

87

internos e compliance

Responsabilidades da governança e dos executivos O Compliance e demais pilares da governança corporativa chegam ao momento em que várias transformações ocorrem simultaneamente, pelo que sua implementação nas instituições financeiras brasileiras tem importância e missão que vão além das exigências implícitas na Resolução 2554, de 1998 - implantação e implementação de sistema de controles internos. Essas transformações provocam mudanças nas instituições financeiras que visam alinhar seus processos, assegurar o cumprimento das normas e procedimentos e, principalmente, preservar sua imagem perante o mercado. Ao adotar boas práticas de governança corporativa, inclusive com a elaboração e divulgação do Código de Governança Corporativa, o Banco do Brasil demonstra que sua administração se compromete com a transparência, a prestação de contas, a equidade e responsabilidade socioambiental, suportadas pela utilização de ferramentas de monitoramento que alinham o comportamento dos executivos ao interesse dos acionistas e da sociedade. As disposições contidas no Código de Governança Corporativa foram extraídas de documentos e deliberações que regulam o comportamento na Empresa, que podem ser agrupados em duas categorias, conforme Quadros 16 e 17. Quadro 16 Documentos que compõem a Arquitetura de Governança Documentos Dispositivos Legais

Conceito Leis e regulamentos a que se submete a Empresa.

Estatuto

Documento exigido pelo artigo 142 da Lei 6.404.

Atas da Assembléia Geral de Acionistas

Registro das decisões da Assembléia Geral de Acionistas.

Políticas Gerais e Específicas

Resoluções do Comitê de Risco Global Normas

Políticas Gerais: Orientam o comportamento organizacional em questões que interessam a todas as áreas administrativas. Políticas Específicas: Orientam o desenvolvimento de funções ou o comportamento de determinadas áreas da administração empresarial, com ênfase nas recomendações de Órgãos Reguladores. Registro das decisões do Comitê de Risco Global que afetam a regulamentação interna quanto às questões relacionadas ao gerenciamento de riscos do Conglomerado. Instruções sobre a regulamentação das atividades do Banco, no que diz respeito a produtos e serviços, atividades internas, relacionamento com clientes e públicos diversos. Abrange procedimentos e rotinas negociais, normas comportamentais, competências e alçadas.

Universidade Corporativa BB

88

Programa

certificação interna em conhecimentos

Quadro 17 Documentos que compõem a Arquitetura Estratégica Documentos

Conceito

ECBB-OGN (5 anos)

Consolidação da direção estratégica, do plano de negócios e dos objetivos de longo prazo da Empresa.

Plano de Investimentos (5 anos)

Documento de longo prazo que consolida os projetos de investimentos prioritários da Empresa.

Plano Diretor (anual)

Consolidação anual de metas de curto prazo decorrentes dos objetivos de longo prazo da ECBB-OGN.

Orçamento Geral (anual)

Documento que traz a quantificação dos planos do Conglomerado e permite a simulação dos resultados econômicos decorrentes da atuação desejada.

Plano de Mercados (anual)

Consolidação de objetivos, indicadores e metas para cada um dos mercados atendidos (Varejo, Atacado e Governo) e dos direcionadores estratégicos no âmbito das questões relacionadas a Marketing, Tecnologia, Logística e Gestão de Pessoas.

Acordo de Trabalho (anual)

Instrumento para avaliação e consolidação do desempenho das dependências do Banco.

(Estratégia Corporativa Banco do Brasil – Orientação Geral dos Negócios)

As responsabilidades da alta direção das instituições financeiras, relativamente à governança, podem ser resumidas nas seguintes atividades: • buscar um sistema de controles internos adequado ao risco de seus negócios, a fim de proporcionar segurança operacional e maior confiabilidade aos seus investidores e clientes; • designar oficiais de compliance devendo provê-los de uma adequada estrutura administrativa de apoio, a fim de assegurar a funcionalidade da gestão de compliance. A nomeação de um oficial de compliance não exime a instituição e cada uma de suas áreas e funcionários, da obrigatoriedade de conhecer, aplicar e desenvolver controles internos adequados aos riscos de seus negócios; • estruturar a função compliance de forma independente e autônoma das demais áreas da Instituição, para evitar os conflitos de interesses e assegurar a isenta e atenta leitura dos fatos, visando a busca da conformidade por meio de ações corretivas/preventivas sendo munida com informações relevantes de forma independente e autônoma.

Universidade Corporativa BB

Controles

89

internos e compliance

O Programa de Compliance O Programa de Compliance é constituído pelas políticas e procedimentos que o Banco utiliza para designar, autorizar, orientar, treinar e desenvolver os seus executivos e funcionários para o atendimento das leis e regulamentos de qualquer natureza que se aplicam às atividades bancárias. Além do objetivo geral de atingir o estado de compliance nos negócios e processos do Banco, o Programa possui os seguintes objetivos específicos: ■ promover a cultura de controles internos e compliance; ■ permitir o acompanhamento sistemático do cumprimento das leis, normas e regulamentos externos na condução dos processos, produtos e serviços do Banco pelas dependências; ■ instrumentalizar as dependências para atingir o estado de compliance nos seus processos, produtos e serviços. O Programa de Compliance aborda, de forma estruturada, os seguintes elementos, que se complementam e se retroalimentam (Figura 14), promovendo a condução de processos e a realização de negócios em compliance. Figura 14 Elementos do Programa de Compliance Ambiente Interno

Monitoramento

Ambiente Regulatório

Treinamento

Análise de Normas Externas

Informação e Comunicação

■

Atividades de Controle

Ambiente interno – compreende os valores éticos da instituição, as competências do pessoal, a estrutura organizacional, o estilo de gestão e

Universidade Corporativa BB

90

Programa

certificação interna em conhecimentos

a atribuição de autoridade e responsabilidade. Influencia na definição de estratégias e objetivos, na estruturação de negócios e no gerenciamento de riscos. O ambiente interno impacta o desenho e o funcionamento das atividades de controle, sistemas de informação e comunicação e atividades de monitoramento. O conhecimento do ambiente interno permite mapear o ambiente regulatório de forma objetiva e aderente aos processos e negócios em curso. ■

Ambiente regulatório – composto pelos órgãos que regulam e fiscalizam os aspectos prudenciais (relacionados à indústria financeira) e socioeconômicos (tributários, trabalhistas, entre outros) de um determinado país ou jurisdição. O ambiente regulatório delimita a atuação das empresas na condução dos negócios por meio do estabelecimento de restrições – leis, normas, regulamentos e padrões. Tais restrições levam à necessidade de criação, modificação ou ajuste nos processos internos para que as organizações permaneçam aderentes às imposições vindas desse ambiente, evitando perdas decorrentes de multas e penalidades. Cabe aos gestores das unidades/áreas, monitorar a publicação de leis, normas e regulamentos relacionados a seus processos, produtos e serviços.

■

Análise de normas – as normas podem ser classificadas em externas e internas. ► Externas: regulam todos os entes que atuam na economia, em suas relações trabalhistas, previdenciárias, fisco-tributárias, comerciais, cíveis, penais etc. Podem ser subdivididas em socioeconômicas e prudenciais.  Socioeconômicas – afetam todas as empresas que atuam no mercado, como as normas referentes às relações trabalhistas, previdenciárias, fisco-tributárias, comerciais, cíveis, penais etc.  Prudenciais24 – afetam as instituições financeiras e são de interesse da supervisão bancária. Procuram garantir a saúde do sistema, os depósitos dos correntistas, o capital dos investidores e o funcionamento legal da instituição. Vide Figura 15. ► Internas – são concebidas no interior da empresa, tanto para atender às normas socioeconômicas e prudenciais, quanto para atender aos direcionamentos estratégicos.

O conceito de normas prudenciais no Banco do Brasil foi aprovado pelo Comitê de Risco Global (CRG), por meio da Resolução 141, de 21.02.2006: “Normas Prudenciais são aquelas produzidas pela autoridade monetária e órgãos reguladores, com o objetivo de garantir confiança, solvência e liquidez do Sistema Financeiro Nacional, e que influenciam, diretamente, a gestão dos negócios, processos, produtos e serviços do Banco, relacionadas a: Gestão de Riscos; Estrutura de Capital; Governança Corporativa; Gestão Financeira; e Controles Internos e Conformidade.”

24

Universidade Corporativa BB

Controles

91

internos e compliance

Figura 15 Visão esquemática dos tipos de normas

Socioeconômicas Sociedade e Economia

Prudenciais

Sistema Financeiro

Internas BB

Cabe aos gestores das unidades/áreas avaliarem o estado de compliance de seus processos a partir da análise de leis, normas e regulamentos relacionados ao seu âmbito de atuação, promovendo os ajustes necessários em seus procedimentos e normativos internos. Atividades de controle – procedimentos que permitem afirmar com razoável segurança, que os negócios, processos, produtos e serviços sejam conduzidos de acordo com as exigências legais, visando atingir o estado de compliance. ■ Informação e comunicação – compreende os procedimentos adotados para disseminar informações a respeito de leis, normas e regulamentos aplicáveis ao ambiente interno das áreas, bem como reportar à alta administração os resultados das verificações de compliance e o estágio de implementação de ações de mitigação das fragilidades encontradas. Tais procedimentos visam, também, agilizar e sistematizar o processo de comunicação da dependência e permitir às áreas a discussão sobre novas normas e a atualização dos manuais de procedimentos internos, em consonância com o Programa de Compliance. Cabe a cada área utilizar, entre os veículos de comunicação de abrangência corporativa, aqueles que possibilitem a divulgação dos aspectos das normas externas a serem cumpridos em seu âmbito de atuação. ■ Treinamento – compreende as ações voltadas à promoção da capacitação, especialização e atualização dos funcionários das áreas – inclusive administradores – em temas relacionados a controles internos e compliance. ■ Monitoramento – avaliação periódica das medidas adotadas pela área para garantir o cumprimento das leis, normas e regulamentos. ■

Universidade Corporativa BB

92

Programa

certificação interna em conhecimentos

Estruturação das atividades de compliance O modelo de gestão dos controles internos, adotado pelo Banco do Brasil, estabelece que as atividades de compliance estão distribuídas em quatro camadas ou linhas de defesa da Instituição. Essas camadas atuam de forma integrada, assegurando o monitoramento do sistema de controles internos do Banco e das subsidiárias integrais. ■

Primeira camada

A responsabilidade pelo monitoramento dos controles está a cargo dos gestores das unidades/áreas, que devem garantir que seus processos, produtos e serviços sejam conduzidos de acordo com as leis e regulamentos aplicáveis, as exigências da supervisão bancária, as políticas e procedimentos internos e as expectativas legítimas da sociedade. As instruções internas (LIC) que tratam das funções, subfunções e responsabilidades das unidades reforçam que cada área deve verificar a existência e validade dos controles instituídos sobre seus negócios, produtos e serviços, bem como garantir que estejam em conformidade com os normativos externos e internos aplicáveis. ■

Segunda camada

Representada pelas áreas que compõem o sistema de controles internos, sendo responsabilidade da Diretoria de Controles Internos verificar, de forma segregada, se os processos, produtos e serviços das áreas estão em compliance com leis, normas e regulamentos internos aplicáveis, bem como identificar os riscos e analisar, testar e sugerir controles. ■

Terceira camada

O monitoramento nesta camada é exercido pela Auditoria Interna, que realiza auditorias com foco em riscos, verificando a adequabilidade dos controles internos a partir da avaliação de sua qualidade, suficiência e cumprimento. ■

Quarta camada

As atividades desta camada são exercidas pelo Comitê de Auditoria – Coaud, que tem a responsabilidade de avaliar a efetividade do sistema de controles internos da Instituição e das auditorias interna e independente; revisar, previamente à publicação, as demonstrações contábeis semestrais e exercer suas responsabilidades junto às sociedades controladas pelo Banco do Brasil que aderiram ao Comitê de Auditoria único.

Universidade Corporativa BB

Controles

93

internos e compliance

Responsabilização A atuação da supervisão bancária no Brasil visa coibir práticas irregulares, implementar medidas de natureza educativa e enfrentar situações que coloquem em risco a estabilidade do Sistema Financeiro Nacional - SFN. Os instrumentos disciplinares e punitivos de que dispõe o regulador são os seguintes: processo administrativo punitivo – quando constatada infração à norma, legal ou regulamentar, por parte de instituições supervisionadas, empresas de auditoria ou auditores independentes, no que se refere à auditoria das instituições supervisionadas, e também pessoas físicas e jurídicas não-financeiras, nos casos de irregularidades cometidas na contratação de operações de câmbio e exercício de atividades privativas de instituição financeira ou de administradora de consórcio. O processo administrativo punitivo prevê a aplicação das seguintes penalidades: ■

► advertência; ► multa; ► suspensão do exercício de cargos; ► inabilitação para o exercício de cargos de direção na administração ou na gerência de instituições supervisionadas; ► cassação da autorização de funcionamento; ► proibição para atuar, no caso de administradoras de consórcio; ► proibição temporária de praticar atividade de auditoria em instituições supervisionadas. ■

medidas cautelares – limitações à atuação dos indiciados durante a apuração das responsabilidades. A sanção a ser aplicada leva em consideração a gravidade da falta, podendo ser: ► determinar o afastamento dos indiciados da administração dos negócios da instituição, enquanto perdurar a apuração de suas responsabilidades; ► impedir que os indiciados assumam quaisquer cargos de direção ou administração de instituições supervisionadas ou atuem como mandatários ou prepostos de diretores ou administradores; ► impor restrições às atividades da instituição supervisionada; ou ► determinar à instituição supervisionada a substituição da empresa de auditoria contábil ou do auditor contábil independente.

Universidade Corporativa BB

94

Programa

certificação interna em conhecimentos

■

termo de comparecimento – convocação dos representantes legais da instituição supervisionada e, caso necessário, dos seus controladores, para informarem acerca das medidas que adotarão com vistas à regularização das seguintes situações: ► descumprimento dos padrões mínimos de capital, bem como inobservância de limites operacionais; ► crise de liquidez que, pela sua gravidade, possa colocar em risco a continuidade da instituição supervisionada; ► grave situação dos controles internos, que comprometa ou venha a comprometer as condições indispensáveis para o funcionamento da instituição; ► graves deficiências ou procedimentos cuja continuidade comprometa ou venha a comprometer o regular funcionamento da instituição supervisionada, em face dos riscos legal, operacional, de reputação ou de imagem.

■

impedimento de administradoras de consórcio para constituir novos grupos. Sanção aplicada nos seguintes casos: ► irregularidade imputada à administradora de consórcio ou a seus administradores, caracterizada pelo descumprimento da legislação e regulamentação em vigor; ► inobservância aos padrões mínimos de capital, bem como ao limite de alavancagem; ► existência de pendência de remessa das demonstrações financeiras e dos dados relativos a suas operações, previstos na regulamentação em vigor; ou ► pendência com os órgãos de defesa do consumidor.

■

classificação de instituições supervisionadas na situação “em evidência” – classificação atribuída às instituições supervisionadas que apresentam necessidade de acompanhamento específico por parte da supervisão, decorrente de situações que comprometem ou venham a comprometer as condições indispensáveis para o funcionamento regulamentar, tais como descumprimento dos padrões mínimos de capital, grave situação dos controles internos, crise de liquidez ou outras deficiências de natureza grave. Tal condição pode submeter as instituições a restrições no âmbito do Banco Central do Brasil.

■

aplicação de penalidades, por irregularidades na prestação de informações e por inobservância de procedimentos relativos a operações de câmbio – a aplicação decorre, entre outros motivos, do não-fornecimento da informação e da prestação da informação ou sua substituição fora do prazo.

Universidade Corporativa BB

6

Conformidade em processos

Espera-se que ao final do estudo deste tema você possa: ▪ Identificar os objetivos da verificação de conformidade. ▪ Justificar a importância da regularização da não-conformidade. ▪ Distinguir características das verificações obrigatórias e por amostragem. ▪ Conceituar as principais ferramentas de controle utilizadas pelo Banco. ▪ Identificar os componentes do sistema de informações gerenciais relacionadas à conformidade. ▪ Conceituar rating de agências. ▪ Indicar a finalidade e a composição do rating de agências. ▪ Justificar a importância de um adequado acompanhamento da conformidade.

96

Programa

certificação interna em conhecimentos

6.1. VERIFICAÇÃO DE CONFORMIDADE Corresponde à apuração do nível de conformidade operacional dos processos conduzidos pelas dependências, por meio da aplicação de fichas de verificação compostas de quesitos (agrupamento de questões afins) e subquesitos (questões com pesos). Quando efetuada pela própria dependência é denominada autoverificação e quando aplicada pelos órgãos regionais da Dicoi, denomina-se verificação segregada. A verificação de conformidade tem por objetivo identificar as causas de nãoconformidade e disseminar a cultura de controles internos e conformidade. O não-atendimento ou falta de cumprimento tempestivo das disposições legais e normativas resulta em “não-conformidade” ► Tipos de verificação de conformidade Verificação obrigatória Abrange integralmente a população de eventos25 do período estabelecido e pode ser:  Proativa – realizada antes da liberação dos recursos, quando direcionada ao processo de crédito, ou da data prevista para contabilização do evento;  Reativa – realizada após a formalização do processo ou após a data prevista para contabilização do evento. Como exemplo de verificações obrigatórias podemos citar as operações de crédito contratadas a partir de valor definido nos normativos, verba de relacionamento negocial, posse e desligamento de gerente geral de Unidade de Negócio. ■

■

25

Verificação por amostragem Abrange apenas parte da população de eventos. A amostra é aleatória e definida com utilização de critério estatístico. Pode ser periódica ou eventual:  Amostragem Periódica – tem como base os eventos de um determinado período. Exemplo: abertura de contas correntes realizada no 1º trimestre de 2008.

Um evento pode ser uma verificação de cadastro, de operação de crédito, de abertura de conta corrente, de procedimentos administrativos, de pagamento de Pasep etc.

Universidade Corporativa BB

Controles

97

internos e compliance



Amostragem Eventual – verificação focada em um produto ou serviço. São exemplos de processos verificados por amostragem: cadastro e limite de crédito, depósitos – abertura e encerramento de conta corrente, gestão contábil etc.

Verificação Especial É focada em um produto ou serviço e pode ser efetuada por amostragem ou abranger a população dos eventos. Os critérios para sua aplicação são estabelecidos pela Dicoi quando da aprovação de sua realização. ■

► Regularização de não-conformidades Além de diminuir a exposição ao risco operacional, o ato de regularizar as não-conformidades deve ser encarado como oportunidade de aprendizagem e reflexão sobre as falhas nos procedimentos operacionais em todos os processos verificados. Há subquesitos regularizáveis e não-regularizáveis. Os subquesitos regularizáveis são aqueles para os quais existe alguma ação a ser realizada para ajustá-los aos normativos dos gestores, mitigando a exposição aos riscos, quando em situação de não-conformidade. Os subquesitos não-regularizáveis são aqueles para os quais não existe qualquer ação a ser realizada a fim de ajustá-los aos normativos dos gestores. Os procedimentos das dependências relativos à regularização das não-conformidades são verificados por amostragem, semestralmente, selecionadas conforme o processo verificado. As verificações de regularizações impactam o rating26 nos processos originais que receberam as não-conformidades. Os processos sujeitos a essas verificações são: ■ Crédito; ■ Cadastro e Limite de Crédito; ■ Depósitos - Abertura e Encerramento de Conta Corrente; ■ Movimentações Financeiras - Prevenção e Combate à Lavagem de Dinheiro; ■ Operacional Demais e ■ Verificações Especiais. 26

Sobre rating de agências, veja o item 6.5 logo adiante.

Universidade Corporativa BB

98

Programa

certificação interna em conhecimentos

O tema “Rating” será tratado mais adiante neste capítulo. ► Solicitação de reconsideração de não-conformidade Ao receber de volta os documentos e/ou saber da verificação dos processos pelo órgão regional da Dicoi, a agência deve verificar se foram apontadas não-conformidades. Quando não concordar com o apontamento de uma nãoconformidade, pode apresentar justificativas que amparem sua discordância e solicitar a reconsideração da não-conformidade, com objetivo de eliminar seu impacto no rating e no Acordo de Trabalho. Cabe à Superintendência analisar a solicitação e manifestar-se acerca das justificativas apresentadas. Se considerar procedente, a Super solicita a revisão do apontamento. Caso contrário, informa que a não-conformidade será mantida, orientando a dependência sobre a regularização. Os casos em que o órgão regional da Dicoi considerar a solicitação improcedente e não houver consenso com a Super são redirecionados ao gestor de rede. 6.2. CONSEQUÊNCIAS DA INOBSERVÂNCIA DOS PONTOS DE CONTROLE Conforme foi visto anteriormente, estar em compliance é uma obrigação individual de cada colaborador dentro da instituição. Cada funcionário é pessoalmente responsável pelo cumprimento das normas aplicáveis aos processos sob sua responsabilidade. Assim, o desconhecimento da norma não é desculpa para a infração. O custo de não estar em compliance pode gerar aos empregados, aos gestores e à organização: ■ processo administrativo; ■ processo criminal (penal); ■ bloqueio de bens e valores (determinados pela justiça); ■ multa; ■ prisão; ■ danos à reputação e à marca; ■ ações do regulador.

Universidade Corporativa BB

Controles

99

internos e compliance

Veja no Quadro 18 exemplos de possíveis consequências decorrentes da inobservância de pontos de controle nos processos. Quadro 18 Inobservância de pontos de controle – exemplos de consequências Processo

Falha

Consequência

Operações Crédito

Ausência da assinatura do cônjuge no aval ou fiança

Dificuldade no retorno dos capitais - perdas operacionais (falhas de processos e pessoas)

Operações Crédito

Documentação exigida incompleta

Desclassificação da operação - spread negativo e perda financeira

Operações Crédito

Ausência de registro hipotecário

Em caso de inadimplência, dificuldade e/ou impossibilidade na execução da hipoteca para retorno dos capitais.

Cadastro

Cliente com informações inconpletas de acordo com tipo de cadastro

Erro na adequação dos produtos e serviços Análise da falha sob aspecto disciplinar - Risco de Imagem

Cadastro e Limite Crédito

Falta de comprovação e atualização do faturamento bruto anual

Concessão de crédito acima da capacidade de pagamento

Abertura de Conta Corrente

Comando de entrega / desbloqueio do cartão efetuado sem a assinatura do cliente no termo de recebimento

Informações gerenciais distorcidas - Possibilidade de fraude interna com uso indevido do cartão

Demais processos - Tesouraria

Falta de conferência do numerário na tesouraria

Possibilidade de fraude interna

Demais Processos - Recursos Humanos e Contabilidade

Ausência e/ou incorreção em documentos fiscais, previdenciários e trabalhistas

Multas legais pelos órgãos fiscalizadores

Contábil - Balancete

Balancete aberto além do prazo regulamentar

Multas pelo Bacen - recolhimento incorreto do compulsório

Contábil - Contas Transitórias

Inobservância nos prazos, regularização, contabilização e utilização de contas transitórias

Possibilidade de fraude interna

6.3. FERRAMENTAS DE CONTROLE São ferramentas que apóiam o sensoriamento do risco operacional. Este sensoriamento consiste nas atividades de prospecção, análise, comunicação e tratamento de ocorrências do processo operacional que ensejam riscos ao Banco e cujos mecanismos de controle sejam inexistentes, insuficientes ou haja descumprimento de pontos de controle estabelecidos. Trataremos neste tópico de verificação de conformidade, autoavaliações, Relatórios de Avaliação dos Controles Internos - RAC e Recomendações Técnicas de Controle - RTC. Universidade Corporativa BB

100

Programa

certificação interna em conhecimentos

Ficha de Verificação de Conformidade – FVC É um instrumento de controle composto por questões padronizadas e diferenciadas para os produtos e serviços do Banco. As questões referem-se ao cumprimento/atendimento das etapas do processo verificado, com foco na conformidade operacional e controles internos. Às questões são atribuídos pesos conforme o nível de criticidade e o risco incorrido. O instrumento é disponibilizado e preenchido via aplicativo Painel. Cada FVC alimenta os aplicativos Painel e Acordo de Trabalho - ATB e subsidia a classificação do rating de agências, a fim de oferecer dados estatísticos e gerenciais das verificações às agências e gestores de rede, produto, serviço ou sistema. Autoavaliação – Self Assessment Trata-se de um questionário elaborado pela Dicoi, por meio do qual a agência efetua análise crítica sobre a condução dos processos, produtos e serviços, com foco na efetividade, transferência e compliance. Inclui resultados obtidos e metas atingidas e identifica os riscos e seus impactos para atingimento dessas metas e as causas dos desvios. Relatório de Avaliação dos Controles Internos – RAC É utilizado para avaliação e identificação de possíveis causas de não-conformidade, elaboração de plano de ação, identificação de fragilidades e levantamento de informações para os níveis tático e estratégico, com vistas à mitigação de riscos. Aplicado prioritariamente nas agências com rating 4 ou 5 ou com Nível Específico de Controle - NEC abaixo de 3,75 em dado processo. Recomendação Técnica de Controle – RTC É documento de enfoque técnico, emitido pela Diretoria de Controles Internos quando da identificação de fragilidades nos processos operacionais conduzidos no âmbito do Banco e de suas subsidiárias integrais. Recomenda a adoção de medidas corretivas para eliminação das fragilidades e minimização dos riscos identificados em avaliações de controle, conformidade e sensoriamento de riscos. 6.4. INFORMAÇÕES GERENCIAIS A comunicação é essencial para o bom funcionamento dos controles. Informações sobre planos, ambiente de controle, riscos, atividades de controle e

Universidade Corporativa BB

Controles

101

internos e compliance

desempenho formam um sistema integrado de apoio à tomada de decisões, ferramenta essencial para implementar a modernização da Instituição. O sistema de informações gerenciais integra e consolida dados de outros sistemas corporativos, alimentando o processo de tomada de decisões com informações gerenciais e estratégicas. Gera um conjunto de relatórios e gráficos de gestão, não apenas para a Dicoi, mas também para as unidades estratégicas, táticas e operacionais. Painel de Controle O Painel de Controle é o principal aplicativo utilizado pela Dicoi para registro das verificações de conformidade e obtenção de informações gerenciais. Todas as Fichas de Verificação de Conformidade – FVC, após aprovadas e publicadas no LIC, passam a integrar o aplicativo Painel. Lá podem ser utilizadas por funcionários de todos os órgãos regionais da Dicoi. As unidades de negócios também utilizam o aplicativo Painel para autoverificações de conformidade, conferência, acompanhamento dos registros feitos pelos órgãos regionais da Dicoi e registro de regularização de não-conformidades. Com base nos registros do aplicativo Painel, são calculados os Níveis Específicos de Controle - NEC dos indicadores que compõem o rating do risco operacional das dependências. O painel fornece ainda a informação dos níveis de conformidade relativos aos procedimentos de prevenção e combate à lavagem de dinheiro. Todas as informações disponibilizadas na Intranet pela Dicoi – níveis de conformidade por produto, modalidade, gestor, superintendência, estado, agência, – têm o aplicativo Painel como fonte. Sala de Controle A Sala de Controle auxilia na gestão da conformidade nas dependências do Banco e pode ser consultada por todos os funcionários no seguinte endereço: http://intranet2.bb.com.br/controles/sala. Apresenta relatórios e informações gerenciais relacionados com: ■ nível de conformidade no processo contábil – metodologia de cálculo e informações por agência, Super ou por órgão regional da Dicoi;

Universidade Corporativa BB

102

Programa

certificação interna em conhecimentos

nível de conformidade no processo de prevenção à lavagem de dinheiro – metodologia de cálculo, busca e informações por agência, Super, órgão regional da Dicoi ou país; ■ rating do risco operacional – cartilha detalhando a metodologia de cálculo do rating e seus indicadores e informações por agência, Super, órgão regional da Dicoi ou país; ■ detalhes das verificações realizadas – agrupadas por agência, gestor ou processo, este último exibido por pilar, órgão regional da Dicoi, superintendência ou país chegando ao nível de subquesito com não-conformidade. ■

Relatórios Os relatórios de reporte são utilizados com a finalidade de prover os diversos segmentos hierárquicos da Instituição com informações relacionadas à conformidade operacional no Banco, perdas operacionais no país e no exterior, Indicadores Chave de Riscos, desempenho das dependências na gestão da qualidade dos processos e todas as informações necessárias para suporte à decisão e prestação de contas a órgãos reguladores. Veja no Quadro 19 exemplos de relatórios de reporte utilizados no BB.

Universidade Corporativa BB

Controles

103

internos e compliance

Quadro 19 Relatórios de reporte utilizados no BB Relatório

Objetivos/conteúdo

Destino

Relatório de atividades da Diretoria de Controles Internos – Resolução 2554

Reportar ao regulador as ações realizadas pelo Banco na implantação e aprimoramento de seus controles internos.

Relatório de avaliação do sistema de controles internos

Reportar manifestação do Conselho Diretor, com avaliação sobre o conjunto de políticas, procedimentos, ações e estruturas administrativas que visam auxiliar a Organização a atingir seus objetivos estratégicos.

Comitê de Auditoria – Coaud

Relatório de gestão do risco operacional – Resolução 3380

Reportar identificação e correção tempestiva das deficiências de controle na gestão do risco operacional.

■ Conselho de Administração ■ Bacen

Sumários Executivos aos gestores de processos, produtos ou serviços

Reportar aos gestores a situação de conformidade e as principais falhas ocorridas em seus processos, produtos ou serviços.

Gestores de processos, produtos ou serviços

Sumários Executivos aos órgãos de governança

Reportar aos gestores a situação da gestão do risco operacional na Organização.

Comitê de Risco Global e Subcomitê de Risco Operacional

Relatório Anual

Reportar ao mercado os dados financeiros e o funcionamento da estrutura de gerenciamento de riscos na Empresa.

Órgãos reguladores – exigência legal

Relatório do Rating

Reportar à direção da Empresa o nível de conformidade na operacionalização dos processos em diversos níveis para apoio à decisão.

Presidente e Conselho Diretor

Banco Central do Brasil – Bacen

6.5. MONITORAMENTO DA CONFORMIDADE - RATING DE AGÊNCIAS Conceito O rating é uma classificação atribuída às agências do país em função do nível de controle e conformidade observado na condução de seus processos internos. Com base no rating é possível identificar as agências com menor ou maior nível de exposição a risco operacional em um conjunto de indicadores. Os indicadores abrangidos pela metodologia são reflexos dos processos considerados como de maior criticidade ou risco para o Banco. Além disso, estão presentes na rotina da maior parte das agências do país. A evolução na metodologia de apuração do rating é requisito fundamental para a manutenção da ferramenta como instrumento efetivo de avaliação da exposição a riscos operacionais.

Universidade Corporativa BB

104

Programa

certificação interna em conhecimentos

Finalidade Como parte do modelo de gestão do risco operacional do BB, a metodologia do rating de agências introduz duas perspectivas: o rating como mensuração da exposição a riscos e o rating como ferramenta de gestão. Como medida de exposição a riscos, o rating reflete a relevância dos riscos operacionais e dá visibilidade para toda a organização da efetividade do monitoramento, da evolução do risco incorrido e da eficácia das medidas de mitigação adotadas. Como ferramenta de gestão, o rating possibilita a melhoria contínua dos processos operacionais das agências, por meio da definição de limites máximos aceitáveis para o nível de falhas, além de permitir a priorização de ações corretivas e a alocação dos recursos da organização de maneira mais eficiente. Cartilha O rating retrata a posição de determinada agência em relação ao atendimento individual de metas de controle (limites de exposição) e em relação às demais agências de seu grupo (varejo níveis I e II, varejo níveis III a V e atacado e governo) e do país. A apuração se baseia na mensuração de desempenho em níveis de controle para oito indicadores. As mensurações do grau de conformidade em cada indicador conduzem ao resultado geral para todos os indicadores considerados na avaliação da agência. Esse resultado geral determinará o rating da agência, de acordo com metodologia detalhada na Cartilha Rating de Agências (2008). As agências são classificadas em cinco níveis de controle e conformidade dos processos: ■ Rating 1 - Nível Forte ■ Rating 2 - Nível Satisfatório ■ Rating 3 - Nível Aceitável ■ Rating 4 - Nível Insatisfatório ■ Rating 5 - Nível Crítico O cálculo do rating considera os seguintes indicadores que avaliam a condução dos processos, do ponto de vista da conformidade:

Universidade Corporativa BB

Controles

■ ■ ■ ■ ■ ■

■ ■

105

internos e compliance

Indicador 1 – Operações de Crédito Contratadas Indicador 2 – Cadastro e Limite de Crédito Indicador 3 – Conta Corrente Indicador 4 – Adiantamento a Depositantes Indicador 5 – Contábil Indicador 6 – Processo Operacional – Demais (Tesouraria, Serasa, CCF, Exames Periódicos, BB Leilão, Cobrança, Segurança Lógica, Segurança Física, Arquivos e Documentação, Folha Individual de Presença, Conservação Predial, Contratação de Serviços e Outros) Indicador 7 – Contas Transitórias Indicador 8 – Gerenciamento do Fluxo de Numerário

Para garantir que as diversas agências sejam comparáveis entre si, devem ser observadas algumas premissas: ■

■

■

■

■

■

os indicadores têm por base registros de existência ou falta de conformidade nos processos das agências; quanto menor o resultado do indicador, melhor é a posição da agência no rating; a melhoria de performance no indicador dependerá apenas da atuação da agência, sem outros intervenientes; de maneira geral, todas as agências são candidatas a serem avaliadas em todos os indicadores; somente participam do rating as agências em atividade há pelo menos seis meses; não há rating para Postos Avançados de Atendimento (PAA). Os resultados dos mesmos são contados para a respectiva agência subordinante. Os indicadores são ponderados de acordo com o risco refletido em cada um.

São os seguintes os pesos dos indicadores, aprovados em 30.06.2004, pelo Comitê de Risco Global do Banco: ■ Indicador 1 = Peso 2,00  25,806% ■ Indicador 2 = Peso 1,50  19,355% ■ Indicador 3 = Peso 1,00  12,903% ■ Indicador 4 = Peso 0,50  6,452% ■ Indicador 5 = Peso 0,50  6,452% ■ Indicador 6 = Peso 1,00  12,903% ■ Indicador 7 = Peso 1,00  12,903% ■ Indicador 8 = Peso 0,25  3,226% Total = Peso 7,75 = 100% Universidade Corporativa BB

106

Programa

certificação interna em conhecimentos

A ausência de mensuração em quaisquer indicadores modificará a estrutura de pesos indicada, de modo que a influência percentual será repartida proporcionalmente entre os indicadores que obtiveram medição. 6.6. ACOMPANHAMENTO DA CONFORMIDADE Identificação de causas Um dos principais objetivos da atuação da Diretoria de Controles Internos é o assessoramento e a orientação na identificação das causas de não-conformidades e na implementação de ações para minimizar riscos. A identificação das causas de ocorrência de não-conformidades é o primeiro passo na busca da solução do problema e da melhoria contínua dos processos. Os órgãos regionais da Dicoi realizam visitas às agências com o objetivo de avaliar o sistema de controle interno da dependência, identificar possíveis causas de não-conformidades, sensoriar riscos e contribuir para implementação de medidas corretivas. Plano de ação Sempre que os resultados da conformidade da dependência estiverem fora do nível aceitável é recomendada a elaboração de plano de ação para buscar a eliminação das causas do aparecimento das não-conformidades. A dependência pode contar com assessoramento da área de controles na elaboração desse plano que deve conter as ações necessárias para reversão da situação indesejada e os componentes padrão de qualquer plano de ação: detalhamento da ação, data para conclusão, responsável e recursos necessários para implementação. É fundamental que haja acompanhamento do administrador da dependência e do órgão regional da Dicoi sobre o cumprimento do plano de ação com o objetivo de garantir que as ações sejam efetivamente implementadas, as causas eliminadas ou minimizadas e os problemas resolvidos, permitindo à dependência a melhoria efetiva de seus resultados de conformidade.

Universidade Corporativa BB

Controles

107

internos e compliance

Reflexos da qualidade dos processos no Acordo de Trabalho O Acordo de Trabalho – ATB é um instrumento utilizado para avaliar o desempenho da gestão de cada dependência (unidades estratégicas, unidades táticas e unidades operacionais). O objetivo do Acordo de Trabalho é promover e mensurar a eficiência e eficácia das atividades do Banco, em relação às metas e objetivos estabelecidos nos documentos estratégicos, com efeitos práticos na forma de retribuição, orientação e ação corretiva. O Acordo de Trabalho é composto pelas perspectivas do Plano Diretor, dentre elas a perspectiva Processos Internos, onde são refletidos quase todos os resultados das verificações de conformidade realizados nas dependências. Não-conformidades detectadas ao longo do período avaliativo impactam o ATB na perspectiva Processos Internos em um ou mais indicadores e podem gerar reflexos na remuneração variável dos funcionários. Atualmente, a participação percentual da perspectiva Processos Internos no ATB é de dez por cento, o que não significa que deva ser tratada como de menor importância. Ao contrário, deve ser considerada como pontuação conquistada em função do cuidado com os processos e da observância da norma e que pode vir a somar na busca da dependência por resultados e na prevenção e controle dos riscos envolvidos na administração dos ativos.

Universidade Corporativa BB

R

Referências

ASSOCIAÇÃO BRASILEIRA DE BANCOS INTERNACIONAIS. Documento Consultivo Função de Compliance. Grupo de Trabalho ABBI-Febraban. Versão 2004. Dis-

ponível em <www.abbi.com.br/trabalhos.php>. Acesso em 10/02/2009. BANCO CENTRAL DO BRASIL. Resolução 3.380. Disponível em . Acesso em 13/02/2009. BANCO DO BRASIL. Cartilha Rating de Agências. Disponível em . Acesso em 10/02/2009. Brigham, Eugene F. Fundamentos da moderna administração financeira. 3. ed. Rio de Janeiro. 1999. C.O.S.O. – Committee on Sponsoring Organizations of the Treadway Commission. Relatório preparado pela comissão Treadway sobre o novo enfoque para o controle interno. 1992 FEBRABAN. The Compliance Function in Banks – Consultative Document. October 2003, page 3 – livre tradução. Recomendações do BIS Bank for International Settlements. 2003 Ferreira, Aurélio Buarque de Holanda, Novo Aurélio – século XXI – Dicionário da Língua Portuguesa. 3. ed. São Paulo: Nova Fronteira, 1999. JÚNIOR, Sebastião Bergamini. Controles Internos como Instrumento de Governança Corporativa. Revista BNDES, 2005 MARTIN, Nilton Cano. Os Controles Internos no Contexto Bancário. Apostila BB/ Fipecafi. 2006 UNIVERSIDADE CORPORATIVA BANCO DO BRASIL. Curso Introdução à Gestão de Riscos. Brasília, 2006. UNIVERSIDADE CORPORATIVA BANCO DO BRASIL e UNIVERSIDADE ESTADUAL DA BAHIA-UNEB. Curso Controles Internos e Compliance. Dicoi-Nucop/Nordeste I – Caderno do Participante. Salvador, 2008.