Resumos

Avaliação e gerenciamento do risco operacional no Brasil: análise de caso de uma instituição financeira de grande porte^* * Artigo elaborado com base na Dissertação de Mestrado defendida pela autora em 29.06.04 na FEA/USP. ¹ 1 A instituição financeira pesquisada autorizou a divulgação das informações constantes neste estudo de caso.

Adriana Cristina Garcia Trapp^I; Luiz J. Corrar^II

^IMestre em Controladoria e Contabilidade pela FEA/USP - SP E-mail: adrianatrapp@uol.com.br

^IIProfessor Doutor do Depto. de Contabilidade e Atuária da FEA-USP - SP E-mail: ljcorrar@usp.br

RESUMO

A gestão de riscos é um dos principais fatores para a sobrevivência de qualquer empresa. Tradicionalmente, os Bancos divulgam dados acerca das exposições ao risco de crédito e de mercado, a fim de auxiliar a compreensão do seu perfil de risco. Entretanto, também estão expostos a outros tipos de riscos, tais como o risco operacional, o qual pode prejudicar, significativamente, o desempenho futuro, podendo levá-los até à falência. Logo, verifica-se a importância da divulgação dessas informações para a disciplina de mercado. Buscando proteger o sistema financeiro dos resultados negativos advindos dos riscos inerentes às suas atividades, o Comitê da Basiléia publicou o Novo Acordo de Capital, previsto para entrar em vigor no final de 2006, sendo, que nessa data, as instituições financeiras deverão obedecer a certos padrões mínimos no gerenciamento de seus riscos, entre eles o operacional. Este artigo tem por objetivo analisar a avaliação e o gerenciamento do risco operacional em uma instituição financeira nacional de grande porte, detectando instrumento de medida e análise e o estágio de desenvolvimento quanto ao gerenciamento do risco operacional. Para tanto, utilizou-se a metodologia de Estudo de Caso e as evidências foram obtidas por documentação, registros em arquivos, entrevistas e observação direta. Os resultados sugerem que o Banco pesquisado se encontra em estágio intermediário na administração dos riscos operacionais, contudo, está desenvolvendo técnicas e processos tanto para se adequar às exigências dos órgãos supervisores, quanto para a melhoria de seus resultados.

Palavras-chaves: Risco Operacional; Instituição Financeira; Gerenciamento de Riscos; Novo Acordo de Capital da Basiléia.

ABSTRACT

Risk management is a preponderant factor for the survival of any business. Traditionally, banks provide credit and market risk exposure data to support the understanding of their risk profile. However, they are also exposed to other kinds of risks, such as the operational risk, which can significantly impair future performance and even lead them to bankruptcy. This reveals the importance of disclosing this information with a view to market discipline. In an attempt to protect the financial system from negative results of risks inherent to its activities, the Basel Committee published the New Capital Accord, set to go into effect at the end of 2006, when financial institutions will have to obey some minimum standards of risk management, which includes the operational risk. This article aims to analyze operational risk assessment and management in a large financial institution, detecting measuring and analysis instrument and the stage of development regarding operational risk management. Therefore, the Case Study methodology was used and evidence was obtained through documentation, file records, interviews and direct observation. The results suggest that the examined bank has reached an intermediary stage in operational risk administration, although it is developing techniques and processes to adapt to the supervisory bodies' demands as well as to improve its results.

Keywords: Operational Risk; Financial Institution; Risk Management; New Basel Capital Accord.

1 INTRODUÇÃO

A instabilidade do mercado financeiro, representada pela volatilidade das taxas de juros e câmbio e pela expansão das atividades financeiras a outros países reforçaram a necessidade de desenvolvimento de mecanismos que pudessem proporcionar maior estabilidade ao mercado financeiro e, conseqüentemente, aos seus investidores, clientes e governos.

Em 1988, o Comitê da Basiléia sobre Fiscalização Bancária (localizado no BIS - Bank for International Settlements) publicou o "Primeiro Acordo de Capital da Basiléia" com o objetivo de fortalecer a saúde e estabilidade do sistema bancário internacional. Referido documento definiu o capital mínimo para suportar os riscos de crédito existentes nas operações, sendo que, posteriormente, o comitê incorporou o risco de mercado nos requisitos para a definição do capital mínimo.

Contudo, a atividade de intermediação financeira, própria das operações bancárias, possui extensa lista de riscos associados, tais como: riscos de variação de taxa de juros, risco de mercado, risco de crédito, risco de operações fora do balanço, risco de câmbio, risco soberano, risco de liquidez, entre outros. Além disso, está sujeita aos riscos provenientes de procedimentos internos inadequados, ou seja, ao risco tecnológico, ao risco humano, ao risco de documentação, ao risco de fraudes etc. Por conseguinte, poder-se-ia dividir os riscos da atividade bancária em dois grandes grupos: riscos de intermediação financeira e riscos operacionais.

Nesse sentido, na década de 90, o sistema financeiro internacional se deparou com uma onda de desastres financeiros, colocando em foco outro risco além dos já mencionados pelo Primeiro Acordo de Capital da Basiléia: o risco operacional. O resultado disso foi a publicação do "Novo Acordo de Capital da Basiléia" em 2001, cujas diretrizes deverão estar implementadas ao final de 2006. Dentre as mudanças destaca-se a necessidade de alocação de capital para perdas esperadas e inesperadas decorrentes de eventos associados a risco operacional.

Dessa forma, a tendência mundial é promover o desenvolvimento de mecanismos para a gestão dos riscos operacionais, tanto para a sobrevivência da empresa, uma vez que uma única operação pode transformar um Banco rentável em insolvente, como para atender órgãos supervisores nacionais e internacionais.

Dada a relevância do tema, ou seja, a importância do gerenciamento do risco operacional para uma instituição financeira, bem como para toda uma sociedade, o presente artigo tem como objetivo avaliar o estágio de gerenciamento do risco operacional, detectando instrumento de medida e análise em instituição financeira nacional, de grande porte, e, principalmente, possuidora de clientes tanto no mercado interno quanto externo.

Assume-se como premissa que se os riscos operacionais forem quantificados e controlados, melhores serão os resultados futuros a serem alcançados pelos seus respectivos gestores.

A metodologia utilizada na pesquisa será o Estudo de Caso, sendo que as evidências, ou técnicas de coleta de dados, empregadas serão de quatro fontes distintas:

Este estudo está dividido em 6 seções. Após a introdução, é apresentada uma breve cronologia das normas e fatos que culminaram na gestão do risco operacional, versando sobre o primeiro acordo de capital da Basiléia, a regulamentação brasileira e o novo acordo de capital. Na seção seguinte, são fornecidas definições de riscos, inclusive o operacional, e, em seguida, são apresentadas as possíveis categorias de risco operacional. Na quarta seção, são descritos os estágios na gestão do risco operacional. As seções cinco e seis apresentam o objetivo central do artigo, ou seja, o estudo de caso e os resultados obtidos e as considerações finais.

2 NORMAS E FATOS PARA A GESTÃO DO RISCO OPERACIONAL

Em dezembro de 1974, com o intuito de controlar as situações adversas decorrentes das atividades financeiras, bem como possibilitar a supervisão dos Bancos, os dirigentes dos Bancos Centrais do G-10 (Alemanha, Bélgica, Canadá, Estados Unidos, França, Itália, Japão, Países Baixos, Reino Unido, Suécia e Suíça) criaram o Comitê de Supervisão Bancária da Basiléia (Basel Committee on Banking Supervision).

A sede do Comitê da Basiléia está localizada no BIS (Bank for International Settlements) que é uma organização internacional que visa promover a cooperação entre os Bancos Centrais e as instituições financeiras internacionais. O BIS pode ser considerado um Banco, entretanto suas operações como tal apenas são realizadas com Bancos Centrais e instituições financeiras internacionais.

O Comitê da Basiléia, mesmo não tendo autoridade de supervisão supranacional formal, trabalha juntamente às autorizadas supervisoras locais de diversos países objetivando defender e difundir suas propostas de redução de riscos do sistema financeiro e a estabilidade da atividade bancária internacional.

A primeira reunião do comitê ocorreu em fevereiro de 1975, sendo que, nesse mesmo ano, tendo como objetivo estabelecer quais os trabalhos seriam desenvolvidos, o Comitê elaborou o Basle Concordat. Apenas em julho de 1988, foi publicado o primeiro Acordo da Basiléia intitulado International Convergence of Capital Measurement and Capital Standards que buscava a padronização internacional da supervisão bancária.

O Acordo da Basiléia de 1988, também chamado de Primeiro Acordo da Basiléia, possuía como objetivo fortalecer a saúde e estabilidade do sistema bancário internacional, levando em consideração suas aplicações em Bancos de diferentes países, visando diminuir a desigualdade competitiva entre os Bancos Internacionais.

O Acordo definiu os componentes do capital, uma estrutura para ponderação dos riscos dos ativos e o capital mínimo para suportar os riscos de crédito existentes nas operações bancárias. Em 1996, o Comitê da Basiléia incorporou o risco de mercado nos requisitos para a definição do capital mínimo a partir do adendo intitulado Amendment to the Capital Accord to Incorporate Market Risks.

The Basel Capital Accord, a princípio, era voltado para a exposição ao risco de crédito e não considerava os chamados off-balance-sheet, ou elementos fora do balanço. Parte dessa deficiência foi reparada pelo Aditivo de Risco de Mercado de 1996, contemplando os elementos fora do balanço e adicionando uma necessidade de capital mínimo para o risco de mercado, dentre outras disposições.

Entretanto, na década de 90, o sistema financeiro internacional se deparou com uma onda de desastres financeiros, entre os quais pode-se destacar o caso do Daiwa Bank (1995) e Barings Bank (1995) que acumularam perdas maiores de US$ 1 bilhão decorrentes de posições não autorizadas exercidas por um único operador.

Emergiu-se, então, a necessidade de controle do grau de exposição ao risco operacional, a qual foi amparada pelo The New Basel Capital Accord, ou "Novo Acordo da Basiléia", que propõe um capital suporte para fazer face, também, a esse tipo de possibilidade de perda.

O Novo Acordo da Basiléia está em discussão desde junho de 1999, iniciando-se com os documentos da primeira consulta pública. Desde então, foram realizadas outras duas consultas públicas, em janeiro de 2001 e abril de 2003 respectivamente.

A implementação definitiva está prevista para o final de 2006, momento em que será exigido das instituições financeiras o atendimento a certos requisitos mínimos de controle e gerenciamento dos riscos, tais como o desenvolvimento de modelos qualitativos capazes de identificar, mensurar e avaliá-los, além de técnicas de quantificação adequadas para calcular o capital a ser alocado.

Embora o foco da nova estrutura seja, principalmente, os Bancos internacionalmente ativos, os seus princípios básicos pretendem adequar-se à aplicação em Bancos com níveis variados de complexidade e sofisticação, promovendo a segurança e solidez do sistema financeiro.

Contudo, os objetivos de segurança e solidez do sistema financeiro não podem ser conseguidos somente pelo estabelecimento de necessidades mínimas de capital. A nova estrutura proposta pelo Comitê pretende fornecer incentivos às instituições para que aumentem suas capacidades de mensuração e administração dos riscos.

O sistema financeiro nacional, apesar de possuir algumas particularidades, não estaria imune aos riscos objetos de preocupação de vários países. A partir dos conceitos e recomendações advindos do Comitê da Basiléia, tornou-se impossível ao Conselho Monetário Nacional (CMN) e, conseqüentemente, ao Banco Central do Brasil (BACEN) ficarem alheios às exigências do mercado internacional.

Em 17.08.94, o Conselho Monetário Nacional, por meio do Banco Central do Brasil, divulgou a Resolução CMN nº 2.099, iniciando-se, assim, o desenvolvimento e a implantação das recomendações da Basiléia no mercado interno.

Em setembro de 1998, a Resolução CMN nº 2.554 determinou às instituições financeiras e demais instituições autorizadas pelo Banco Central a funcionar, a implantação e implementação de controles internos voltados para as atividades por elas desenvolvidas, seus sistemas de informações financeiras, operacionais e gerenciais e o cumprimento das normas legais e regulamentares a elas aplicáveis, demonstrando preocupação com o desenvolvimento de controles internos mais eficientes e com o alinhamento ao documento Framework for International Control Systems in Banking Organizations do Comitê da Basiléia.

Vários outros documentos foram emitidos pelo Conselho Monetário Nacional a partir dos conceitos e recomendações do Comitê da Basiléia, sempre buscando o gerenciamento do risco nas instituições financeiras. Quanto ao segundo acordo da Basiléia, o Departamento de Supervisão Direta (Desup) tem trabalhado na sua revisão para futura implantação nas normas brasileiras.

3 CONCEITUANDO RISCO OPERACIONAL

De acordo com Gitman (1997, p.202) risco é "a possibilidade de prejuízo financeiro [...] ou, mais formalmente, o termo risco é usado alternativamente com incerteza, ao referir-se à variabilidade de retornos associada a um dado ativo". Esclarece, também, que "[...] os ativos que possuem grandes possibilidades de prejuízo são vistos como mais arriscados que aqueles com menos possibilidades de prejuízo."

Na definição acima, o risco está intrínseco ao conceito de retorno, o que é habitual em administração financeira. Corroborando a afirmação, Ross et al. (1995, p.232) elucidam que o verdadeiro risco de qualquer investimento é representado pela parcela inesperada do retorno, resultante de surpresas.

Em uma concepção primária, risco significa "perigo ou possibilidade de perigo" (FERREIRA, 1999, p.1772), ou, ainda, "risco é a chance de ocorrer um evento desfavorável" (BRIGHAM, 1999, p.158). Em ambas as definições, a idéia de risco está associada a certo grau de incerteza, ou seja, corre-se risco quando existe um desconhecimento de resultados futuros de algum evento, ou seja, de algum acontecimento ou ocorrência.

Utilizando-se das definições acima, o risco das empresas pode ser definido como um evento, esperado ou não, que pode causar impacto no capital ou nos ganhos de uma instituição.

Quanto ao risco operacional, a definição dos eventos que se enquadram sob o seu âmbito ainda não é uniforme, em virtude, sobretudo, da amplitude da sua conceituação. Jorion (1997, p.16) considera que os riscos operacionais "referem-se às perdas potenciais resultantes de sistemas inadequados, má administração, controles defeituosos ou falha humana [...] também inclui fraude [...] e risco tecnológico."

O Comitê da Basiléia (The new Basel capital accord, 2001, p.94), similarmente ao conceito de Jorion, definiu risco operacional como "o risco de perda direta ou indireta, resultante de inadequações ou falhas de processos internos, pessoas e sistemas, ou de eventos externos."

O próprio Comitê da Basiléia, em seu documento Pillar 2: supervisory review process (2001, p.5-6), ao mencionar os riscos que devem ser apresentados pelas instituições financeiras, quer sejam os riscos de crédito, mercado, taxa de juros, liquidez e operacional, deixa esse último na categoria de outros riscos, contemplando, indiretamente, os riscos estratégicos e de reputação como riscos operacionais.

Segundo Deloach (2001, p.226), o risco operacional é "o risco de que as operações sejam ineficientes e ineficazes para executar o modelo de negócios da empresa, satisfazer seus clientes e atender os objetivos da empresa em termos de qualidade, custo e desempenho temporal."

Na definição de Deloach, não são mencionados quais seriam os fatores que motivariam a execução de operações ineficientes e ineficazes, tornando o conceito de risco operacional mais amplo, pois qualquer problema que atendesse às condições estabelecidas seria considerado proveniente de risco operacional, independentemente se gerado por falhas em processo, tecnologia, pessoas etc.

Outros autores, como Lima e Lopes (1999, p.104), ao definirem risco operacional o relacionam a problemas ou deficiências tecnológicas. Referidos autores afirmam que:

Corroborando a afirmação acima, Saunders (2000, p.104-105) relata que "o risco operacional [...] pode surgir sempre que a tecnologia existente deixa de funcionar adequadamente, ou os sistemas de apoio falham."

Outra definição, freqüentemente, utilizada para o risco operacional, limitava-o às perdas que aconteciam nas operações ou nos centros dos processos. Contudo, esse tipo de risco operacional, melhor chamado de risco de operações, não contempla, de modo algum, todos os riscos operacionais enfrentados pelas instituições financeiras. É preciso perceber que algumas perdas operacionais significativas acontecem fora das operações propriamente ditas, ou seja, antes, durante e depois das transações.

Os riscos operacionais podem ser classificados em subcategorias, o que possibilita melhor entendimento de suas causas e, conseqüentemente, permite identificar e monitorar os riscos de forma mais adequada.

Crouhy et al. (2001, p.475), utilizando-se da definição do Comitê da Basiléia, segregaram o risco operacional em duas categorias: as de natureza interna e as de natureza externa à organização. A primeira está associada à deficiência nos controles internos, principalmente decorrentes de falhas em pessoas, tecnologia e processos. A segunda está associada a eventos não controláveis, mas gerenciáveis, como, por exemplo, o risco de escolher uma determinada estratégia não condizente com os fatores ambientais.

No entanto, não existe uma catalogação única para os riscos operacionais, pois as instituições financeiras divergem entre si em suas operações, processos, volumes de transações, tamanho, complexidade, recursos tecnológicos etc. Logo, é importante que cada organização desenvolva um dicionário de riscos que contemple todas as suas atividades e riscos envolvidos.

4 OS ESTÁGIOS NA GESTÃO DO RISCO OPERACIONAL

De acordo com o estudo da Risk Management Association (2000, p.1-10), embora as instituições financeiras sejam diferentes, é possível escalonar a estrutura de gestão do risco operacional em cinco estágios, a saber:

A segregação da gestão do risco operacional nessas cinco fases permite orientar as instituições em seu processo de desenvolvimento da gestão do risco operacional, conforme preconiza o Comitê da Basiléia.

5 ESTUDO DE CASO

Conforme descrito anteriormente, foi utilizado um Estudo de Caso para o desenvolvimento deste artigo, sendo que as evidências documentais foram obtidas por meio de memorandos, agendas, atas de reuniões, relatórios, planilhas, tabelas, lista de cargos e funções e sistemas de informática. Ademais, também foram realizadas entrevistas com alguns dos funcionários envolvidos na gestão do risco operacional, entre esses, diretor, gerentes e analistas. Fez-se uso, igualmente, da técnica de observação direta, na qual, segundo Brandão (1985. p.11), " [...] pesquisadores-e-pesquisados são sujeitos de um mesmo trabalho comum, ainda que com situações e tarefas diferentes."

5.1 A Instituição Pesquisada

Na instituição, foram localizados livros e sites internos (intranet) sobre a história da organização desde sua fundação, passando pela cultura e valores sociais desenvolvidos, pelos direitos e deveres dos funcionários, chegando às perspectivas atuais e futuras.

O Banco pesquisado foi fundado em 1945, tendo sua origem no Banco Central de Crédito, depois Banco Federal de Crédito. As décadas de 60 e 70 foram marcadas por fusões com os Bancos Sul Americano, da América, Aliança, Português do Brasil e União Comercial.

No final da década de 70, iniciou sua atuação internacional, com a abertura de agências em Nova Iorque e Buenos Aires, tornando-se Banco Múltiplo no final dos anos 80. Atualmente, tem como principais características:

5.2 Estrutura Organizacional

A estrutura organizacional é divulgada por meio de circular interna que é um dos documentos utilizados pelo Banco para a disseminação de normas e procedimentos. Referida circular, além de ser distribuída em papel a todos os órgãos, também está disponível para consulta no site interno (intranet). Todavia, para apuração da forma como a instituição está organizada não foi utilizado apenas o documento citado, mas também foi realizada observação direta para identificação real das áreas e seus relacionamentos.

Na estrutura organizacional da instituição financeira estudada, existem 18 (dezoito) Áreas Executivas ligadas à Presidência, que, por sua vez, se reporta ao Conselho de Administração. Entretanto, entre a Presidência Executiva e o Conselho de Administração há o Comitê de Controles Internos Holding.

Encontra-se, em cada uma das 18 (dezoito) Áreas Executivas, um órgão responsável pelos controles internos e compliance das respectivas áreas, representados por "Oficiais de Controles Internos e Compliance". Ao final do ano de 2003, a função passou a ser denominada de controles internos e riscos, alterando, assim, o cargo dos oficiais para "Oficiais de Controles Internos e Riscos".

A função de oficial de controles internos e riscos é exercida por funcionário de nível gerencial, que responde tanto ao principal executivo de sua área quanto ao Corporate Compliance, órgão que será detalhado posteriormente.

Trabalham, também, na estrutura dos oficiais, os sub-oficiais e agentes de controles internos e riscos, cujas funções podem ser exercidas por funcionários da própria área de negócios, nesse caso em regime de dedicação parcial, ou por funcionário pertencente ao quadro de pessoal do oficial de controles internos e riscos, dessa forma com dedicação exclusiva.

As principais atribuições dos oficiais, sub-oficiais e agentes de controles internos e riscos são:

A criação da função de "Oficial de Controles Internos e Riscos" tem ajudado na divulgação da importância do gerenciamento e controle dos riscos, o que pode ser comprovado com os relatórios de auditorias antes e após a criação do sistema de controles internos e riscos da organização. Porém, os funcionários acreditam que esses oficiais são responsáveis pela verificação da aderência às normas internas e externas, sendo que o ofício deveria ser entendido como algo muito mais abrangente, ou seja, responsável pela identificação, monitoração e divulgação dos riscos inerentes às atividades.

Ligados, ainda, à Presidência Executiva há o Comitê de Ética, a Comissão de Auditoria e Acompanhamento de Riscos Operacionais e o Comitê de Controles Internos e Compliance.

O Comitê de Ética é responsável pela divulgação e disseminação de padrões éticos na organização. Além disso, realiza julgamentos de casos de violação do Código de Ética Corporativo.

A Comissão de Auditoria e Acompanhamento de Riscos Operacionais, além de definir a forma de atuação da Auditoria Interna, também estabelece as diretrizes para gestão dos riscos operacionais e a avaliação dos resultados decorrentes do funcionamento dos Controles Internos e Compliance.

A entidade máxima de supervisão e definição de políticas gerais de controles internos é representada pelo Comitê de Controles Internos e Compliance, composta por membros do Conselho de Administração, sem função operacional ou executiva, com a missão principal de avaliar se os objetivos dos controles estão sendo alcançados.

Esquematicamente, a estrutura organizacional poderia ser definida conforme a ilustração a seguir:

Ilustração 1

O gerenciamento do risco operacional tornou-se preocupação crescente no final da década de 90, quando o sistema de controles internos foi oficialmente implantado pela Presidência Executiva, sendo que a divulgação aconteceu por meio de palestras, vídeos e correspondências recebidos por todos os funcionários. Todavia, o termo controle de risco ainda não era utilizado.

Em 2003, o Banco criou diretoria específica para o gerenciamento dos riscos, entre eles, o risco operacional. Contudo, a centralização ainda encontra-se em fase de aprimoramento, com definições de políticas, responsabilidades e sistemas de apoio.

A diretoria responsável pelo gerenciamento dos riscos corporativos encontra-se na área executiva responsável pela Controladoria da instituição, constituída pelas atividades de gestão contábil financeira e gerencial, gestão fiscal e societária, gestão de riscos, controle de mesas financeiras, gestão de supervisão externa e apoio às aquisições. Saliente-se que, conforme descrito anteriormente, ainda existe o órgão comum a todas as Vice-Presidências responsáveis pela gestão de controles internos e riscos.

Referida diretoria consolida os riscos corporativos, sendo responsável por definição de regras, metas e modelos para gerenciamento dos riscos de mercado, de crédito e operacional.

Quanto ao risco operacional, a diretoria em questão subdivide-se em duas Superintendências:

O diretor de gestão de riscos também é membro do Comitê de Riscos Operacionais, cuja criação é recente, sendo que sua primeira reunião foi realizada no ano de 2002. Participam desse Comitê membros da Controladoria e da Auditoria Interna. Além disso, conforme a ocorrência de algum evento de risco operacional que afete ou que seja de responsabilidade de determinada área, seus respectivos responsáveis são convocados para participarem do Comitê.

Entretanto, cada unidade de negócio é responsável pela administração do risco operacional inerente às suas atividades. Ressalte-se a existência de Comitês Setoriais de Controles Internos, nos quais os riscos operacionais fazem parte da pauta para discussão.

Importante destacar que na estrutura organizacional existem ainda órgãos responsáveis pela prevenção à lavagem de dinheiro e fraude, o que possibilita mitigar os riscos operacionais.

Relevantes, também, são os planos de contingências que todas as áreas devem desenvolver, em conjunto com seus Oficiais de Controles Internos e Riscos, para atenderem aos fatores críticos, como queda de energia, indisponibilidade de servidores de rede, greves etc.

Contudo, a criação de uma única diretoria para o gerenciamento dos riscos ainda não parece estar adequada, haja vista que sob a responsabilidade do Diretor de Riscos está o back office da área financeira e, sendo esse um serviço de dimensões operacionais, não pertence a sua alçada de gestão de riscos.

5.3 Cultura Organizacional

Em dezembro de 2000, a instituição publicou seu primeiro Código de Ética corporativo buscando uniformizar os padrões éticos e culturais da organização. Conforme citada anteriormente, a responsabilidade pela gestão do código de ética cabe ao Comitê de Ética.

Para a divulgação do referido documento, foram distribuídos vídeos aos gerentes contendo a reunião de lançamento, na qual foi discutida a importância dos valores para a organização e a sociedade como um todo. Além disso, todos os funcionários receberam um exemplar impresso do Código de Ética.

Afora o Código de Ética, existem outras padronizações representadas por cartilhas, manuais de procedimentos e circulares internas. Parte desse material fica disponível aos funcionários por meio de rede interna, além de serem distribuídos a todos os órgãos da instituição.

Regularmente a administração central procura verificar a aderência dos funcionários aos padrões éticos definidos na corporação e, para tal, realiza pesquisa entre todos os funcionários. Importante destacar que referida pesquisa também tem o propósito de verificar a aderência às normas, aos controles internos, à gestão de pessoal entre outros fatores consideráveis para o desenvolvimento da organização.

A primeira pesquisa sobre "Cultura de Controle e Ética" aconteceu no ano de 1999, com a distribuição de questionários aos funcionários, que retornavam suas respostas de forma anônima. Em média, o número obtido na organização foi 3,6, numa escala de 0 a 5. Em 2003, foi realizada nova pesquisa adotando-se a mesma sistemática, sendo que a média alcançada chegou a 3,8.

Pelas pesquisas citadas, é possível visualizar que o desenvolvimento e a implantação do Código de Ética Corporativo, no ano de 2000, foi um passo importante para desenvolver a conscientização da organização na busca pelos controles internos.

5.4 Sistemas de Informação

Para a administração dos riscos operacionais e dos demais riscos existentes nas organizações bancárias, os sistemas de informação utilizados são:

Sumariando, o sistema de quantificação de perdas captura dados do sistema contábil por meio da identificação de contas que representem prejuízos para a instituição, tais como: processos trabalhistas, cíveis, tributários, fraudes, ressarcimentos, multas, entre outras.

Destaque-se que, ainda, não foram identificadas todas as perdas operacionais da organização utilizando-se das contas contábeis existentes, trabalho que está em desenvolvimento. Ademais, das perdas identificadas o Banco estima que em média 70% ainda não podem ser atribuídas à respectiva área de negócio. Dessa forma, efetua a distribuição tendo como base os critérios de rateio de custos adotados pela instituição.

A ilustração 2 indica de forma sintética o modelo de gerenciamento de riscos e controles internos adotado pela instituição.

Os sistemas de produtos, tais como leasing, crédito imobiliário, empréstimo pessoal etc., enviam as informações contábeis provenientes de suas transações ao sistema contábil, que, por sua vez, repassa ao "Sistema de Quantificação de Perdas - SQP" o valor monetário das operações que geraram eventos de prejuízos.

Por outro lado, o SQP, também, recebe informações do "Sistema de Cadastro de Ocorrências - SCO", todavia por serem essas predominantemente qualitativas, representadas, por exemplo, por risco de imagem, que é de difícil mensuração, a captura dos dados ainda encontra-se em desenvolvimento no sistema.

Ressalte-se que tanto o SCO quanto os demais sistemas de controles internos, representados na ilustração 2, geram planos de ação voltados para a melhoria de processos que, conseqüentemente, podem diminuir a probabilidade de ocorrência de um evento de perda de risco operacional.

Por fim, as perdas capturadas no SQP são armazenadas numa base histórica (DW) para análises estatísticas e determinação do capital a ser alocado para suportar os riscos operacionais.

5.5 Identificação e Análise dos Riscos Operacionais

A instituição mostra-se preocupada em administrar seus riscos operacionais não apenas para ajustar-se ao Acordo de Capital de Basiléia, ou, futuramente, às exigências do Banco Central do Brasil, mas também como técnica para a conquista de melhores posições no mercado financeiro, aproveitando-se da compreensão de sua situação de risco, o que pôde ser comprovado tanto pelas ações que vêm sendo desenvolvidas quanto pelas entrevistas realizadas com os gestores responsáveis.

A Superintendência de Riscos Corporativos é o órgão responsável pela quantificação e análise das perdas operacionais, assim como pelas previsões de alocação de capital para esse risco. Os resultados obtidos, também, são discutidos e avaliados pela alta administração.

De forma genérica, o modelo de alocação de capital empregado para risco operacional pode ser visualizado na ilustração 3.

A coleta de dados é realizada tanto no sistema contábil quanto no sistema de cadastro de ocorrências, embora esse último seja utilizado em menor escala. A partir das informações existentes na base histórica, inicia-se o processo de análise dos riscos operacionais, tendo como primeiro estágio a segregação dos eventos em categorias de riscos (fraude interna, fraude externa, práticas empregatícias e relações de trabalho, clientes, produtos e práticas do negócio, danos aos ativos físicos, entrega e gestão do processo, interrupção de negócios e falhas de sistemas).

Tendo como base os valores capturados pelo sistema de quantificação de perdas operacionais, são desenvolvidas curvas de freqüência e curvas de severidade para as ocorrências, caracterizando-se, assim, o uso do método de Distribuição de Perdas.

Os dados históricos utilizados nas inferências iniciam-se no ano de 2000, com exceção das perdas trabalhistas para as quais estão sendo empregados valores a partir do ano de 1998.

Entretanto, o Banco não está utilizando, apenas, os dados históricos para cálculo do capital a ser alocado. Também tem utilizado o método de Simulação de Monte Carlo considerando como 10.000 um bom número para repetições.

Conforme demonstrado, a quantificação dos riscos operacionais está em desenvolvimento e os métodos mais avançados de alocação de capital estão sendo priorizados, o que é perfeitamente natural dado o porte da instituição. Saliente-se, contudo, que os responsáveis pela análise dos riscos operacionais corporativos são em pequeno número, perfazendo, apenas, um total de 4 pessoas para um montante aproximado de 40.000 funcionários.

5.6 Estágio de Desenvolvimento na Gestão do Risco Operacional

Conforme demonstrado anteriormente, na estrutura desenvolvida pela Risk Management Association (2000, p. 1-10) existem cinco estágios de desenvolvimento na gestão do risco operacional, sendo que as instituições avançam de fase à medida que desenvolvem e concluem algumas atividades fundamentais.

Utilizando-se da estrutura acima citada e das evidências obtidas por meio de documentos e pela técnica de observação direta, o quadro 1 sintetiza o estágio de desenvolvimento das principais atividades relacionadas ao gerenciamento do risco operacional na instituição financeira pesquisada.

É importante destacar que as atividades consideradas como concluídas (1, 2, 3, 4, 5, 6 e 8) estão em constante aprimoramento, haja vista a dinâmica do mercado e a necessidade de adaptações e aperfeiçoamentos ao longo do tempo, não sendo, portanto, um processo estático.

Por outro lado, a atividade 12 (doze) foi classificada como "em desenvolvimento" muito embora sempre existiram programas de treinamento na organização. Contudo, treinamentos voltados especificamente para riscos operacionais ainda não foram executados, estando em planejamento.

A atividade 14 (quatorze), também, requer atenção especial, uma vez que a instituição já conta com a existência de um "Comitê de Risco Operacional", mas que ainda não pode ser considerado atuante, mesmo porque decisões que envolvam interesses de áreas executivas distintas acabam não sendo da alçada desse comitê.

Em síntese, é possível inferir que a instituição financeira pesquisada está em transição do estágio II (Conscientização) para o estágio III (Monitoramento), basicamente estruturando banco de dados com histórico de eventos de perdas, criação de indicadores de eficiência e rentabilidade para cada área de negócio.

Tendo em vista que o Banco objeto de estudo está entre os 4 (quatro) maiores bancos nacionais, que, além disso, conta com participação no mercado externo, pode-se inferir, por conseguinte, que seu estágio de desenvolvimento quanto ao gerenciamento do risco operacional é aplicável às demais instituições financeira, sendo esse o nível máximo de gerenciamento atualmente encontrado no Brasil.

6 CONSIDERAÇÕES FINAIS

As instituições financeiras têm se especializado na gestão dos seus riscos, tanto porque atuam em um ambiente instável, com variáveis que apresentam grande volatilidade, ou porque, conseqüentemente, os órgãos reguladores estão impondo padrões mínimos de identificação, medição e controle.

Os riscos operacionais ainda são pouco analisados, acompanhados e controlados pelas instituições financeiras, mesmo internacionalmente, estando em seus primórdios no que tange à identificação, à avaliação, ao registro e ao controle, comparativamente aos riscos de crédito e mercado.

Dessa forma, este artigo teve como objetivo analisar a avaliação e gerenciamento do risco operacional em instituição financeira de grande porte, devido à sua relevância para o mercado financeiro mundial.

Procurou-se verificar como está sendo realizada a gestão do risco operacional, ou seja, como a instituição financeira está quantificando e analisando suas perdas, e se existe preocupação com sua administração. Além disso, foi objeto do presente estudo de caso avaliar o estágio de desenvolvimento do referido Banco quanto às normas emanadas do Novo Acordo de Capital da Basiléia (Basiléia II).

Por meio das informações levantadas durante a pesquisa é possível inferir que o desenvolvimento de técnicas e processos para gerenciamento do risco operacional iniciou-se ao final da década de 90, momento em que a instituição, entre outras iniciativas, criou órgãos voltados para a administração de controles internos e riscos, desenvolveu programas de incentivo à cultura organizacional, definiu a criação de uma diretoria para controle dos riscos (entre eles o operacional), deu início ao inventário de perdas operacionais.

Embora o modelo para quantificação das perdas operacionais ainda não tenha sido definido, tudo indica que a instituição financeira pretende utilizar seus próprios métodos para cálculo de perdas internas, o que, conseqüentemente, exigirá padrões quantitativos e qualitativos para assegurar a integridade do método de mensuração, qualidade dos dados, e a adequação do ambiente de controle interno.

A organização encontra-se estruturando seu banco de dados com histórico das perdas internas, está aprimorando seus indicadores de eficiência e rentabilidade, implementando ferramentas para identificação dos riscos, demonstrando, assim, que está preocupada não só com as exigências dos organismos reguladores nacionais e internacionais, mas também com a melhoria de seus processos.

Os resultados da pesquisa realizada sugerem que a instituição financeira encontra-se em estágio intermediário quanto ao desenvolvimento de gestão do risco operacional. Observa-se, entretanto, que esse assunto, ainda, se encontra em estágio inicial não só no Brasil, mas internacionalmente.

Vale lembrar que, apesar de tradicionalmente as organizações já gerenciarem, ao menos em parte, o risco operacional por meio dos procedimentos de controles internos, o despertar para a amplitude dos seus potenciais impactos foi acelerado pelos desastres financeiros ocorridos nos últimos anos, redirecionando a atenção das autoridades de fiscalização bancária na manutenção da segurança e solidez do sistema financeiro.

Contudo, o gerenciamento do risco operacional depara-se com inúmeras dificuldades, entre elas, a diversidade de eventos que poderiam se enquadrar numa situação de exposição a tal risco, assim como questões acerca da sua quantificação.

Por fim, cabe destacar que tal resultado pode não refletir o grau de desenvolvimento da gestão de risco operacional em grande parte das instituições financeiras brasileiras, sendo o desenvolvimento de um estudo de caso múltiplo adequado para tal investigação.

REFERÊNCIAS BIBLIOGRÁFICAS

CONSELHO MONETÁRIO NACIONAL. Resolução n. 2.099, de 26.08.1994. Disponível em <http://www.bacen.gov.br>. Acesso em: 15.05.2003.

______ . Resolução n. 2.554, de 29.09.1998. Disponível em <http://www.bacen.gov.br>. Acesso em: 15.05.2003.

BASLE COMMITTEE ON BANKING SUPERVISION. Amendment to the capital accord to incorporate market risks. Basle: Bank for International Settlement, january 1996. Disponível em <http://www.bis.org/publ/bcbs24.pdf>. Acesso em: 09.05.2003.

______ . A new capital adequacy framework. Basle: Bank for International Settlement, june 1996. Disponível em <http://www.bis.org/publ/bcbs50.pdf>. Acesso em: 09.05.2003.

______ . A new capital adequacy framework: pillar 3 - market discipline. Basle: Bank for International Settlement, january 2000. Disponível em <http://www.bis.org/publ/bcbs65.pdf>. Acesso em: 09.05.2003.

______ . International convergence of capital measurement and capital standards. Basle: Bank for International Settlement, july 1988. Disponível em <http://www.bis.org/publ/bcbs04A.pdf>. Acesso em: 09.05.2003.

______ . Overview of the amendment to the capital accord to incorporate market risks. Basle: Bank for International Settlement, january 1996. Disponível em <http://www.bis.org/publ/bcbs23.pdf>. Acesso em: 09.05.2003.

______ . Pillar 2: supervisory review process [consultive document]. Basle: Bank for International Settlement, january 2001. Disponível em <http://www.bis.org/publ/bcbsca08.pdf>. Acesso em: 09.05.2003.

______ . Press release: progress towards completion of the new Basel capital accord. Basle: Bank for International Settlement, december 2001. Disponível em <http://www.bis.org/press/p011213.htm>. Acesso em: 09.05.2003.

______ . Press release: update on the new Basel capital accord. Basle: Bank for International Settlement, june 2001. Disponível em <http://www.bis.org/press/p010625.htm>. Acesso em: 09.05.2003.

______ . The new Basel capital accord [consultive document]. Basle: Bank for International Settlement, january 2001. Disponível em <http://www.bis.org/publ/bcbsca03.pdf>. Acesso em: 09.05.2003.

BRANDÃO, Carlos Rodrigues. Pesquisa participante. 5. ed. São Paulo: Brasiliense, 1985.

BRIGHAM, Eugene F. Fundamentos da moderna administração financeira. 3. ed. Rio de Janeiro: 1999.

CROUHY, Michael et al. Risk Management. New York: McGraw-Hill, 2001.

DELOACH, Jame W. Administração corporativa de risco: estratégias para relacionar risco e oportunidade. New York: Pearson Education, 2001.

FERREIRA, Aurélio Buarque de Holanda. Novo Aurélio - século XXI - dicionário da Língua Portuguesa. 3. ed. São Paulo: Nova Fronteira, 1999.

GITMAN, Lawrence J. Princípios de administração financeira. 7. ed. São Paulo: Harbra, 1997.

JORION, Philippe. Value at risk: the new benchmark for controlling market risk. New York: McGraw-Hill, 1997.

LIMA, Iran Siqueira; LOPES, Alexsandro Broedel. Contabilidade e controle de operações com derivativos. São Paulo: Pioneira, 1999.

RISK MANAGEMENT ASSOCIATION - RMA. Operational risk: the next frontier. The Journal of Lending & Credit Risk Management, mar. 2000. Disponível em: <https://rmaweb.rmahq.org/publications/oprisk_execsum.html>. Acesso em: 17.12.2003.

ROSS, Stephen A. et al.. Administração financeira. São Paulo: Atlas, 1995.

SAUNDERS, Anthony. Administração de instituições financeiras. 2. ed. São Paulo: Atlas, 2000.

Recebido em 20.10.04

Aceito em 17.02.05

2ª versão 10.03.05

NOTA:

Endereço dos autores:

Universidade de São Paulo

Faculdade de Economia, Administração e Contabilidade - Depto. de Contabilidade e Atuária

Av. Prof. Luciano Gualberto, 908

Cidade Universitária - São Paulo - SP - 05008-900

Datas de Publicação

Histórico