Artigo técnico
Controles internos e
gestão de riscos
operacionais em
instituições financeiras
brasileiras:
classificação,
definições e exemplos
Antonio Marcos Duarte Júnior, Manoel Rodrigues Jordão,
Luiz Carlos Galhardo, Rodrigo Ferreira Kannebley, Daniel Scaion,
Milena Schidlow, Márcia Akemi Miyazaki Conilio
O gerenciamento de riscos em instituições financeiras requer um
processo de formação e solidificação de cultura corporativa. Para
iniciar o aculturamento, a adoção de uma linguagem uniforme é
essencial. Por outro lado, as exposições aos diversos riscos corridos
pelas instituições são mantidas em níveis adequados mediante a
implementação de um sistema eficiente de controles internos. Da
mesma maneira já apresentada para uma uniformização da
nomenclatura dos riscos, este artigo traz uma série de definições e
exemplos dos controles encontrados nas rotinas das instituições
financeiras, buscando estender a uniformização da linguagem utilizada
no gerenciamento de riscos, tão necessária ao aculturamento.
1. Introdução
Nos últimos anos, surgiu uma
nova concepção na gestão de riscos,
visando conhecer os fatores que
podem ameaçar uma instituição
financeira, sejam eles decorrentes
de riscos de mercado, riscos de
crédito, riscos operacionais ou riscos
legais1.
1
40
Risco, nesse contexto, pode ser
entendido como conseqüência incerta
e indesejada de alguma situação a
que a instituição financeira esteja
exposta, por menor que seja a
possibilidade de sua ocorrência.
As instituições financeiras diferem
basicamente de outros tipos de
empresas que visam lucro, por
Para uma definição formal desses riscos, sugere-se a leitura de Duarte, Pinheiro, Jordão
e Bastos, “Gerenciamento de Riscos Corporativos: Classificação, Definições e Exemplos”,
in Resenha BM&F, 134, 45-52, 1999.
Resenha BM&F – nº 143
Artigo técnico
utilizarem recursos de terceiros, em
geral captações junto ao público,
tornando seu grau de alavancagem
comparativamente elevado. Trata-se
também de setor bastante distinto no
que se refere à disponibilidade de
recursos e à eficiência de seu modus
operandi.
Por esse motivo, clientes e órgãos
reguladores, além de acionistas e
funcionários, preocupam-se com a
possibilidade de ocorrência de
eventos indesejáveis nas instituições
financeiras, como: perdas inesperadas
e não suportáveis em operações de
crédito ou em súbitas mudanças da
conjuntura econômica, danos à
reputação, interrupção/redução de
receitas etc.
Devido a esses fatores, à crescente
demanda e à sofisticação das
operações financeiras, bem como aos
problemas dos bancos Bankhaus
Herstatt, na Alemanha, e Franklin
National Bank, em Nova Iorque, foi
criado, em 1975, o Comitê para
Supervisão Bancária da Basiléia, pelos
presidentes dos bancos centrais dos
seguintes países: Bélgica, Canadá,
França, Alemanha, Itália, Japão,
Luxemburgo, Holanda, Suécia, Suíça,
Inglaterra e Estados Unidos. Os
principais objetivos da constituição
desse comitê foram:
• prover um fórum de discussões a
respeito da condução de problemas
específicos de supervisão;
• coordenar as responsabilidades de
supervisão entre as autoridades dos
países onde operam bancos de
atuação internacional;
• aperfeiçoar os padrões de supervisão
bancária, especialmente com
relação à solvência das instituições.
O resultado desse primeiro esforço
foi o de limitar a capacidade de
alavancagem das instituições
financeiras. A partir da publicação do
Acordo Internacional para
Convergência de Capitais, as
operações ativas, ponderadas pela
qualidade creditícia, não deveriam ser
superiores a determinado múltiplo do
Resenha BM&F – nº 143
Patrimônio Líquido Ajustado (PLA). A
recomendação do BIS foi que o PLA
das instituições deveria ser superior a
8% das operações ativas ponderadas.
Pelas condições da economia
brasileira, o Banco Central do Brasil
requereu das instituições PLAs
superiores a 11% dessas operações.
Esse acordo de capitais, que
vigora até hoje, foi aperfeiçoado ao
longo desses anos e está sendo
objeto de amplo debate para
reformulação, incentivado pelo
próprio BIS, dadas as profundas
alterações no ambiente e na maneira
de as instituições financeiras
operarem. O novo acordo deverá ser
anunciado pelo BIS durante 2001,
uma vez que já foram colhidas
impressões do mercado sobre um
documento para consultas, divulgado
pelo BIS em 1999.
Mesmo com as limitações de
alavancagem nas operações de
crédito, pesadas perdas continuaram
a ocorrer em instituições financeiras,
originadas, principalmente, de riscos
operacionais, em que vários colapsos
bancários, como os ocorridos com o
Barings e o Daiwa Bank, passaram a
exigir novos esforços por parte dos
supervisores.
Para fazer frente a riscos
operacionais, e também à
globalização do sistema financeiro, o
Comitê para Supervisão Bancária da
Basiléia sugeriu a uniformização
internacional de controles internos
em 1996. Divulgou 25 princípios para
a supervisão bancária eficaz,
orientando os bancos centrais para
garantirem, na medida do possível, a
higidez dos sistemas financeiros, com
responsabilidades e objetivos bem
definidos, a fim de assegurar que as
instituições:
• estabeleçam e cumpram políticas,
práticas e procedimentos
adequados;
• possuam sistemas de informações
gerenciais que permitam identificar
eventual concentração de risco em
suas carteiras;
• implementem políticas e
procedimentos adequados para
identificar, monitorar e controlar
riscos.
Deve-se ressaltar que, em 1998,
surgiram os 13 princípios que
compõem os alicerces dos controles
internos em organizações bancárias,
contidos em documento divulgado
pelo Comitê para Supervisão Bancária
da Basiléia.
O Conselho Monetário Nacional,
em sintonia com as novas normas e
recomendações emanadas de órgãos
e entidades internacionais, deliberou
sobre a implantação e implementação
de sistemas de controles internos
efetivos e consistentes nas instituições
financeiras autorizadas a funcionar
pelo Banco Central, surgindo então a
Resolução 2554, de 24 de setembro
de 1998. Essa resolução apontou
para a necessidade do gerenciamento
de riscos, em especial dos
operacionais, nas instituições
financeiras brasileiras.
Uma das primeiras preocupações
da gestão de riscos é a formação de
cultura, direcionando a atenção de
gestores e funcionários para focos
potenciais de riscos e necessidade de
controles. O início desse processo de
aculturamento passa pela
uniformização dos conceitos e,
portanto, pela unificação da
linguagem utilizada nas questões de
risco e controle. Essa preocupação
será tanto maior quanto maior o
porte da instituição, a diversificação
de produtos e atividades, a
heterogeneidade do corpo
funcional e, especialmente em
época de consolidações bancárias,
da diversidade de culturas
interagindo.
O restante deste artigo apresenta
um conjunto de definições de
controles internos que permite tal
uniformização e sugere como
estruturar um sistema efetivo para
fazer frente a riscos operacionais em
particular. Essa uniformização deve
ser complementada por um conjunto
41
Artigo técnico
de definições de risco. Sugere
também que uma área de gestão de
riscos corporativos, independente das
demais funções, deve deter a
responsabilidade de definir/normatizar
como o processo irá ser conduzido
internamente em uma instituição
financeira, de maneira a tornar o
sistema de controles internos uma
ferramenta poderosa e preventiva
para que os riscos existentes em uma
instituição estejam dentro dos níveis
considerados “satisfatórios”.
2.Definições e importância
dos controles internos
Um controle interno pode ser
definido como um instrumento de
medida, de avaliação ou de
regulamentação dos desempenhos
operacionais adotados pelas
instituições financeiras em todas as
suas áreas de atuação, com especial
atenção àquelas funções que possam
expor a instituição a maiores riscos e,
em conseqüência, gerar maiores
perdas.
Um sistema de controles internos
é um processo que deve ser
coordenado pela alta administração e
operado continuamente por todos os
níveis hierárquicos. A alta hierarquia e
a diretoria para gestão de riscos
corporativos são as principais
responsáveis pela manutenção de
uma cultura de gestão de riscos
adequada, que facilite o
entendimento do papel de cada
funcionário no processo, contando
com os seguintes objetivos:
– eficiência e eficácia das operações;
– conformidade com leis aplicáveis e
regulamentações;
– segurança e integridade dos ativos
e dos sistemas de informação.
Com o propósito de que haja
eficiente acompanhamento dos
controles no tocante à adequação e à
aderência, fundamentado na
experiência das pessoas que
vivenciam os riscos e a dinâmica de
cada área, é interessante adotar um
processo de auto-avaliação, a ser
42
aplicado periodicamente na
instituição financeira. Nesse processo,
os gestores das áreas são solicitados a
identificar riscos em suas atividades e
avaliar se os controles internos
praticados estão devidamente
adequados, formalizados e postos em
prática, para manter seus riscos
potenciais dentro de níveis
“aceitáveis”. Para facilitar a
realização, uniformizando a
linguagem na instituição, é
conveniente utilizar uma lista que
contenha definições e exemplos dos
controles internos. O conjunto dessas
informações levará a uma visão
consolidada do nível de adequação da
relação entre riscos e controles
internos.
O sistema de controles internos
tem papel-chave na gestão dos riscos
operacionais, pois ajuda as
instituições a conhecer melhor seus
pontos vulneráveis, contribuindo na
prevenção e na detecção de eventos
indesejáveis, que possam levar a
perdas operacionais inesperadas.
documento de ordem de crédito
(DOC) e outros;
c) limites de risco de mercado (value
at risk, stress testing etc.) impostos
à tesouraria;
d) limites de risco de crédito
(margens de garantia para
derivativos, scoring/rating mínimo
requerido, limites de cheques
especial etc.) impostos às áreas
comerciais.
3.2. Autorizações
Buscam permitir o
encaminhamento de uma
operação/transação após conferência,
evidenciada por log no sistema ou
assinatura/visto em documentação de
suporte.
Exemplos:
a) liberação de documentos para
cadastro de conta corrente;
b) autorização para que um novo
produto seja vendido na rede de
agências;
c) assinaturas de gestores em
autorizações para movimentação
interna de pessoas.
3. Lista de controles internos
A seguir, definem-se e
exemplificam-se os principais itens
que um sistema de controles internos
deve abranger para a gestão de riscos
corporativos no Brasil (incluindo riscos
de mercado, riscos de crédito, riscos
operacionais e riscos legais).
3.1. Alçadas e limites
Envolvem a delimitação do âmbito
de atuação ou influência de um gestor,
via sistema aplicativo ou de forma
manual, quanto a sua condição de vir
a aprovar valores ou assumir posições
em nome da instituição, conferida
pela hierarquia ou por comitês.
Exemplos:
a) estabelecimento de alçadas para
que um operador de mercado
assuma posições para cada
horizonte de investimento;
b) estabelecimento de limites para
liberação de transações via SWIFT,
sistema para emissão de
3.3. Conciliação
Consiste no confronto de
informações de origens distintas, com
o objetivo de detectar inconsistências.
Exemplos:
a) conferência de informações de
relatórios gerenciais, emitidos por
sistema aplicativo, com os registros
de controle da unidade;
b) conciliação de posicionamento ao
final de um dia por front office e
back office;
c) comparação dos preços de
ativos/passivos nos diferentes livros
das posições proprietárias, de
forma a melhor gerenciar riscos de
mercado e crédito.
3.4. Acesso físico
Consiste no controle da
entrada/saída de funcionários, clientes
e/ou equipamentos em determinadas
áreas de uma instituição.
Exemplos:
Resenha BM&F – nº 143
Artigo técnico
a) permissão de acesso via cartão
magnético ou prévia identificação a
áreas do banco consideradas de
especial sensibilidade (área de
numerário, tesouraria etc.);
b) redefinição periódica do acesso
físico de funcionários a unidades,
em face de movimentação interna
para outras áreas;
c) permissão para movimentação de
computadores entre diferentes
áreas da instituição.
3.5. Acesso lógico
Busca o controle de acesso/alcance
de funcionários e/ou clientes a
arquivos eletrônicos e sistemas
computacionais, bem como a
disponibilização de instruções e
treinamento para esses sistemas aos
usuários autorizados.
Exemplos:
a) estabelecimento de senhas, de
modo a impedir o acesso
generalizado de funcionários a
sistemas computacionais;
b) restrição do acesso de terceiros
(concorrentes, clientes etc.) a
relatórios, sistemas e informações
confidenciais.
3.6. Delimitação de
responsabilidades
Determina uma definição clara e
formal das responsabilidades e da
autoridade sobre os procedimentos
criados para certas atividades,
focando a limitação de ação acerca
dos mesmos, sem envolver valores
(cuja delimitação é tratada no
controle interno de alçadas).
Exemplos:
a) pagamento de cheques é ação
exclusiva da função “caixa”,
independentemente de eventual
necessidade de alçada (em função
do valor) ou de autorização
(evidenciada por intermédio de um
visto);
b) assinatura de contratos ou cheques
que necessitam de procuração ou
delegação de diretores executivos.
Resenha BM&F – nº 143
3.7. Disponibilização e
padronização de
informações
Visam ao estabelecimento de
sistemas de comunicação efetivos
entre áreas, de maneira a assegurar
que as informações cheguem a seu
destino, contemplando, inclusive,
aspectos como integridade,
confiabilidade e disponibilidade.
Exemplos:
a) definição de política de acesso a
informações, visando preservar a
confidencialidade necessária;
b) confecção e divulgação interna, em
base regular, de relatórios com
dados relativos a perdas de
unidades de negócio;
c) divulgação de atas de comitês,
fluxos de processos, definição de
responsabilidades, status dos
planos de ação definidos pelos
controles internos e relatórios de
auditoria;
d) descrição de fluxos operacionais,
funções e procedimentos.
3.8. Execução de plano
de contingência
Busca formalizar e testar ações
que permitam dar continuidade às
operações de unidades que não
possam ser interrompidas,
independentemente da adversidade
da situação.
Exemplos:
a) definição de procedimentos em
casos de greve, queda de energia,
falhas no sistema telefônico e
outros;
b) procedimentos de contingência
durante paradas programadas de
sistemas computacionais
corporativos.
formação de banco de dados com
histórico das áreas, projetos,
documentação de suporte;
b) organização do arquivo e back-up
dos sistemas;
c) registro de sugestões/reclamações
realizados pelos clientes em
agência, central de atendimento e
outros;
d) arquivo de dados exigido por órgão
regulamentador (microfilmes de
cheques, comprovante de despesas
para fisco, relatórios de auditoria);
e) evidência de atividades de controle,
exercidas por meio de
vistos/assinaturas em documentos,
log em sistemas etc.
3.10. Monitoração
Acompanhamento de uma
atividade ou processo, para avaliação
de sua adequação e/ou desempenho,
em relação às metas, aos objetivos
traçados e aos benchmarks, assim
como acompanhamento contínuo do
mercado financeiro, de forma a
antecipar mudanças que possam
impactar negativamente a
instituição.
Exemplos:
a) monitoração do comportamento
de usuários de cartões de crédito
(lugares inusitados, produtos
diferentes etc.);
b) monitoração e questionamento de
flutuações abruptas nos resultados
de agências, produtos, carteiras
próprias e de terceiros;
c) monitoração de valores realizados e
orçados em unidades, com o
objetivo de identificar
dificuldades/problemas;
d) acompanhamento da concorrência,
visando o lançamento de novos
produtos.
3.9. Manutenção de registros
Consiste em fazer a manutenção
atualizada, segura e organizada de
registros.
Exemplos:
a) guarda de dados de operações
e/ou transações, permitindo
3.11. Normatização interna
Compreende o estabelecimento
formal de normas internas, para a
execução das atividades inerentes à
unidade.
Exemplos:
43
Artigo técnico
a) definição de normas/regras para
efetiva implantação dos controles
internos necessários ao
gerenciamento de riscos
identificados;
b) definição de procedimentos para
contemplar análise de risco no
desenvolvimento de novos
produtos;
c) existência de normas certificadoras
(como ISO 9000).
3.12. Segregação de funções
Envolve a separação das
responsabilidades sobre atividades
conflitantes, por meio de
organograma ou estabelecimento de
regras, a fim de prevenir ou detectar
problemas nas tarefas executadas.
Exemplos:
a) lançamento, conferência e
validação de dados realizados por
funcionários ou áreas independentes;
b) independência das áreas de
vendas, concessão de limites de
crédito e cobrança;
c) separação da administração de
recursos próprios e de terceiros;
d) separação de atividades de
tesouraria e controladoria;
e) separação entre atividades de
normatização (gerenciamento de
riscos) e de fiscalização (auditoria).
3.13. Treinamento
Engloba exercícios para apurar
habilidades ou transmitir
conhecimentos, ampliando
competências e capacitações.
Exemplos:
a) programas institucionais de
aprimoramento (idiomas,
graduação, pós-graduação, MBA
etc.);
b) programas de treinamento para
lançamento de novos produtos,
utilização de novos modelos,
tecnologias;
c) programas de auto-avaliação, em
sintonia com as metas da unidade.
3.14. Validação
Consiste em examinar
minuciosamente procedimentos
relacionados a uma atividade, com o
intuito de validar informações
(internas e externas), obtidas por
funcionários ou de clientes, na
documentação de operações
financeiras ou em eventual
modificação desses procedimentos.
Exemplos:
a) conferência de documentação
entregue por clientes nas áreas de
crédito, auditoria interna, contratos
e outros;
b) checagem de informações
armazenadas em bancos de dados;
c) conferência para liberação de
operações financeiras;
d) validação de normas e
procedimentos internos das áreas;
e) validação de novos produtos em
comitês.
4. Conclusão
Este artigo apresentou os
conceitos básicos necessários à
criação de uma estrutura efetiva de
controles internos em uma instituição
financeira, mediante definição de
uma lista que visa facilitar o processo
de identificação e auxiliar o
gerenciamento de planos de ação
para eventuais fragilidades em
controles internos – pontos
absolutamente essenciais para que
uma instituição financeira atinja a
excelência no gerenciamento de
riscos operacionais.
Obviamente, uma vez que os
riscos operacionais estejam
apropriadamente gerenciados, os
demais riscos (mercado, crédito e
legal) passarão a ser mais bem
analisados internamente na
instituição.
Tomar ações que minimizem
impactos, criando com isso barreiras
para atos não autorizados ou
situações inesperadas, são as
principais diferenças entre aquelas
instituições financeiras efetivamente
comprometidas com seus parceiros e
clientes e outras preocupadas com
uma visão imediatista de resultados
positivos em suas posições financeiras
de curto prazo. Essas últimas,
conseqüentemente, requerem
acompanhamento mais amiúde por
parte dos órgãos reguladores.
5. Bibliografia
DUARTE JR., A.M., PINHEIRO, F.;
JORDÃO, M.R. e BASTOS, N.T.
“Gerenciamento de Riscos
Corporativos: Classificação,
Definições e Exemplos”, in
Resenha BM&F, 134, pp.25-32,
setembro de 1999.
BASLE COMMITTEE ON BANKING
SUPERVISION. Operational Risk
Management. September 1998.
___________________. Framework
for Internal Control Systems in
Banking Organizations. September
1998.
___________________. Core
Principles for Effective Banking
Supervision. September 1997.
BOARD OF GOVERNORS OF THE
FEDERAL RESERVE SYSTEM.
Framework for Risk Focused
Supervision of Large Complex
Institutions. 1997.
A n t o n i o M a r c o s D u a r t e J ú n i o r é diretor de Gerenciamento de Riscos Corporativos do Unibanco S/A; e-mail:
dão é superintendente de Gerenciamento de Riscos Operacionais
[email protected]; Manoel Rodrigues Jor
Jordão
do é gerente de Riscos Operacionais do Unibanco
do Unibanco S/A; e-mail: [email protected]; Luiz Carlos Galhar
Galhardo
eira Kannebley
S/A; e-mail: [email protected]; Rodrigo Ferr
Ferreira
Kannebley, Daniel Scaion
Scaion, Milena Schidlow (e-mail:
cia Akemi Miyazaki Conilio (e-mail:[email protected]) são analistas de
[email protected]) e Már
Márcia
Riscos Operacionais do Unibanco S/A.
44
Resenha BM&F – nº 143