Risco Operacional

Autor:
Instituição: FAAP
Tema: Risco Operacional

Risco Operacional


APRESENTAÇÃO

Este trabalho trata de uma análise crítica da visão do risco e, em especial, do risco operacional, mostrando as diferenças apresentadas pelas teorias econômica e mercadológica, daquilo que é hoje utilizado no mercado financeiro como um todo.

No primeiro capítulo serão abordados os diversos tipos de risco aos quais as empresas estão expostas – riscos de mercado, crédito, legal e operacional. Será também apresentada uma visão geral destes tipos de riscos citados e, em seguida, serão vistos detalhadamente, com seus conceitos e sub-tipos.

Este capítulo se dedica mais a aprofundar-se nos conceitos de risco, de maneira que o assunto discutido se torne claro para os leitores.

O segundo capítulo será baseado na tese de Mestrado de Adminstração de Romana Picanço, orientada por Antônio Marcos Duarte Jr., diretor de gerenciamento de riscos corporativos do Unibanco S/A e Ph.D. em Matemática Aplicada, Universidade de Princeton.

Neste capítulo, trataremos do gerenciamento de risco de uma maneira geral, com maior ênfase no tema de Gestão do Risco Operacional. A idéia é mostrar como as instituições financeiras devem lidar com este tipo de risco, de forma a analisá-lo e gerenciá-lo da melhor maneira possível, segundo as definições do próprio mercado. Serão apresentados fatores que propiciam os riscos e maneiras de evitá-los e de lidar com aqueles já existentes.

O gerenciamento do risco abordado neste capítulo será guiado pelos preceitos do mercado e por teorias desenvolvidas no meio administrativo. Serão mostrados os meios de identificação e avaliação do risco, além de prevenção, controle e mitigação utilizados por instituições do mercado financeiro.

No terceiro capítulo faremos um estudo de caso, para evidenciar a incidência do risco operacional nas empresas. O estudo apresentará o caso de fraude contábil da Enron Corp., que levou a empresa à falência. Neste ponto, estaremos tratando especificamente do Risco de Fraude, um sub-tipo do Risco Operacional. A escolha desse tema foi baseada em diversos fatores, entre eles: a facilidade de coleta de dados e informações, o impacto do caso na economia mundial, além de despertar maior interesse pela atualidade do caso.

O estudo será introduzido por uma sucinta narração histórica, onde serão mostrados os fatos que antecederam a derrocada da Enron, em fins do ano passado. Virá seguido por uma descrição detalhada e minuciosa, que mostrará os fatos e apontará as razões que levaram a empresa à falência. Tratará especificamente da fraude cometida nos balanços, a queda nos valores das ações com a divulgação das informações e, finalmente, o pedido de concordata em 2 de dezembro de 2001.

Por fim, o quarto e último capítulo vai mostrar as diferentes abordagens de risco e variáveis que podem afetá-lo. Além disso, o papel do mercado de ações e dos executivos das empresas, segundo a visão econômica e a mercadológica, aplicada no mercado. Esse capítulo é fundamental para a compreensão das diversidades nos conceitos.

Nesta seção, serão revistos os conceitos ligados a risco e seu tratamento da abordagem econômica. Estes conceitos serão comparados aos praticados no mercado, como maneira de analisar criticamente as diferenças entre estes sem, no entanto, fazer um juízo de valores. Não é a pretensão deste trabalho fazer um julgamento das definições abordadas, de modo a qualificá-las como melhor ou pior e ainda como mais aplicável ou menos aplicável aos cenários que envolvem risco.

A idéia é que fique evidente que, para um mesmo tema, existem duas vertentes com definições e conceitos diferentes: uma econômica e outra administrativa.

O trabalho fornece aos leitores um estudo comparativo dos conceitos econômicos e administrativos, devendo cada um ser responsável pelo seu próprio julgamento.

 

INTRODUÇÃO

Todas as empresas estão sujeitas a erros originados por fatores internos, tais como falhas humanas e tecnológicas ou por fatores externos, como intempéries e manifestações populares. Isto, apenas para citar alguns dos possíveis fatores que podem acarretar problemas de ordem operacional no ambiente de uma organização. Estes fatores são chamados de Riscos Operacionais.

O Comitê da Basiléia de Supervisão Bancária definiu o termo risco operacional como sendo os riscos diretos e indiretos de perda a partir de uma falha interna do processo de produção ou de pessoas e sistemas ou, ainda, de fatores exógenos. Toda e qualquer empresa está exposta a este tipo de risco. A empresa ideal é aquela que é proativa e gerencia o risco operacional de sua produção, monitorando e acompanhando periodicamente todas as suas áreas, a fim de que se possa criar e desenvolver estratégias que visem a minimização ou prevenção de problemas futuros.

O Comitê da Basiléia de Supervisão Bancária é o comitê de regulação, fiscalização e supervisão bancária, criado pelos diretores dos bancos centrais do chamado G-10, em 1974. Tem como seus membros representantes de órgão de regulação bancária e bancos centrais da Bélgica, Canadá, França, Alemanha, Itália, Japão, Luxemburgo, Holanda, Suécia, Suiça, Reino Unido e Estados

Unidos. Geralmente se reúne no Banco de Liquidações Internacionais, localizado em Basiléia – Suiça, onde está sediado seu secretariado permanente.

As diretrizes de gestão de risco do Comitê da Basiléia são regras de mercado que a maioria dos países aplicam em seus mercados financeiros, apesar de serem obrigatórias apenas para os países membros e para bancos com atividades internacionais. No Brasil, o Banco Central (BACEN) é a autoridade supervisora dos mercados financeiros, e tem regulamentado a prática das recomendações da Basiléia.

Além de exigência regulamentar, como instrumento de redução de riscos para o sistema financeiro, a gestão de risco é também necessidade do mercado para a melhora do desempenho da instituição, dado o crescente nível de concorrência.

Os analistas financeiros têm tratado a questão do risco nos negócios em dois níveis: risco do negócio e risco da empresa. O primeiro diz respeito ao risco inerente ao ramo de negócios em que a empresa atua, e que normalmente é diferente entre os diversos ramos, podendo variar ao longo do tempo. O setor de alta tecnologia tem um risco diferente do setor financeiro e mais diferente ainda do setor industrial de capital intensivo. Por sua vez, o risco da empresa é entendido como o somatório do seu risco operacional, determinado pela estrutura dos seus ativos, com o seu risco financeiro determinado pela estrutura do seu passivo.

O risco operacional existe em qualquer empresa que opera em qualquer setor do mercado: inadimplência do cliente, má gestão financeiro-administrativa, atrasos de entrega do fornecedor. Os mais importantes tipos de riscos operacionais envolvem falhas em controles internos. Tais falhas podem levar a perdas financeiras através de erros, fraudes ou falta de desempenho adequado em tempo hábil ou podem, ainda, ser causadas por interesses compromissados do banco com agentes financeiros e outros membros que excedam sua autoridade: condução anti-ética, arriscada e imprudente. Outros aspectos de riscos operacionais incluem falhas em sistemas de tecnologia de informação e eventos como incêndios e até mesmo desastres naturais.

O interesse pelo estudo dos riscos operacionais iniciou-se devido à exigência de aprimoramento dos controles internos nas instituições financeiras, tratados pelo Comitê da Basiléia através do Framework for internal Control Systems in Banking Organizations e, no Brasil, pela Resolução 2554/98 do Banco Central, visando melhores práticas da gestão do risco operacional.

Os riscos da condução e operacionalização dos negócios e/ou serviços, os chamados riscos operacionais, em determinadas situações podem até provocar o fechamento de uma instituição, como por exemplo, o caso do banco britânico Barings Bank e, no Brasil, o caso do Banco Nacional.

Risco operacional é qualquer possibilidade de perda originada por falhas na estrutura organizacional da instituição financeira, seja em nível de sistemas, procedimentos, recursos humanos e recursos de tecnologia ou, então, pela perda dos valores éticos e corporativos que unem os diferentes elementos dessa estrutura.

Até hoje não foi criada uma definição universal do tema abordado. Muitos bancos definem risco operacional como sendo qualquer tipo de risco que não esteja ligado a crédito ou mercado e alguns outros bancos definem como o risco de haver falha humana ou técnica na produção.


2. FUNDAMENTAÇÃO TEÓRICA

A palavra risco é definida no dicionário Aurélio como: "perigo ou possibilidade de perigo". Porém, segundo Bernstein (1997) a palavra risco é derivada do italiano antigo risicare que siginifica "ousar". Neste sentido, risco é uma escolha e não um casualidade. Desta maneira, é possível medí-lo, analisá-lo e gerenciá-lo.

Podemos considerar três conceitos importantes do mercado financeiro: retorno, incerteza e risco. O retorno é a apreciação de capital ao final do período do investimento, e incerteza é um conceito associado ao retorno efetivo ao final do investimento. O risco é a medida quantitativa desta incerteza.

O conceito de risco não é novo e já foi largamente estudado na área financeira. Segundo Duarte, em seu artigo Risco: Definições, Tipos, Medição e Recomendações para se Gerenciamento, risco é um conceito "multidimensional" que cobre quatro grandes grupos: risco de mercado, risco operacional, risco de crédito e risco legal. Desta maneira, a idéia de risco pode ser atrelada aos conceitos de retorno e risco, que são a base da Teoria das Carteiras de Markowitz. Embora os diferentes tipos de risco devam ser considerados em conjunto, a seguir serão apresentados separadamente os quatro tipos citados, de modo a simplificar a análise.

2.1 PRINCIPAIS TIPOS DE RISCOS

A classificação dos riscos não segue nenhuma norma, pois é baseada no processo de gerenciamento de risco de cada instituição financeira. No entanto, fala-se em risco de crédito, de mercado, e mais recentemente, risco operacional. O risco legal ainda não é um conceito bem definido, mas mesmo assim será incluído na divisão dos grupos:

  • Risco de Mercado;
  • Risco de Crédito;
  • Risco Legal;
  • Risco Operacional.

O documento Core Principles for Effective Banking Supervision (1997), criado pelo Comitê da Basiléia de Supervisão Bancária, expõe os tipos de risco a que as instituições financeiras estão sujeitas: risco de crédito, risco país e transferência, risco de mercado, risco de taxa de juros, risco de liquidez, risco operacional, risco legal e risco de reputação. Estes riscos acima citados estão contidos nos quatro grandes grupos da ilustração.

2.1.1 Risco de Mercado

Duarte et al. (1999) dizem: o risco de mercado pode ser definido como uma medida numérica da incerteza relacionada aos retornos esperados de um investimento, em decorrência de variações em fatores como taxa de juros, taxas de câmbio, preços de ações e commodities.

O risco de mercado depende do comportamento dos preços dos ativos diante da conjuntura do mercado. E também é influenciado pela sofisticação e complexidade dos ativos oferecidos no mercado financeiro. Para entender e medir as possíveis perdas devido às flutuações do mercado, é importante identificar e quantificar o mais corretamente possível as volatilidades e correlações dos fatores que impactam na formação do preço do ativo.

Esse tipo de risco se divide de várias maneiras como: risco de taxa de juros, risco de taxa de câmbio, risco de liquidez, risco de derivativos e risco de ações.

Risco de Taxa de Juros: é o risco de perda financeira decorrente de variações nas taxas de juros – a flutuação destas taxas sobre aplicações, carteiras de investimento, em função das políticas econômicas do governo e / ou instabilidades no mercado financeiro.

Risco de Taxa de Câmbio: é a possibilidade de perdas financeiras geradas por variações cambiais, como para as carteiras indexadas a alguma moeda estrangeira.

Risco de Liquidez: é o risco de perdas devido à incapacidade de se desfazer rapidamente de ativos, por condições de mercado. É a ocorrência de diferenças entre os pagamentos e recebimentos que possam afetar a capacidade de pagamento de uma instituição, como um banco, por exemplo.

Risco de Derivativos: são as possíveis perdas por uso de derivativos, tanto para especulação quanto para hedge – variações no valor dos contratos de swaps.

Risco de Ações: é o risco de perdas em função de mudanças no valor de mercado da carteira de ações.

2.1.2 Risco de Crédito

O risco de crédito é a mais antiga forma de risco no mercado financeiro e pode ser definido como a incerteza relacionada a uma transação financeira contratada por um tomador de empréstimo a um doador de empréstimo, de crédito. Simplificando, o risco de crédito está relacionado a possíveis perdas quando uma das partes não honra seus compromissos.

A concessão de crédito é a função básica dos bancos e os principais tipos de operações de crédito são: empréstimos, financiamentos e descontos de títulos, dentre outras.

Nessas operações, o risco de crédito é dividido em algumas sub-áreas, apresentadas a seguir:

Risco de Inadimplência: é o risco da falta de pagamento, relacionado a possíveis perdas quando uma das partes em um contrato não pode mais honrar os compromissos assumidos.

Risco de Degradação das Garantias: é o risco de perdas pela degradação das condições das garantias oferecidas por um tomador de empréstimo – as garantias oferecidas pelo tomador de crédito no cumprimento de seu compromisso deixam de cobrir o valor devido do empréstimo.

Risco de Degradação do Crédito: é a perda acarretada pela queda da qualidade creditícia do tomador de empréstimo, contraparte de uma transação financeira ou um emissor de título, ocasionando uma diminuição no valor de suas obrigações.

Risco de Concentração de Crédito: é a possibilidade de perdas geradas pela concentração de empréstimos e financiamentos em poucos setores da economia, não diversificação dos investimentos.

Risco Soberano: é o risco de perdas em transações financeiras internacionais. Ocorre nos casos em que o tomador de empréstimo ou o emissor de um título não são capazes de honrar a sua dívida por restrições do país sede.

2.1.3 Risco Legal

O risco legal foi definido por Duarte et al. (1999) como uma medida numérica da incerteza dos retornos de uma instituição, caso seus contratos não possam ser legalmente amparados por falta de representatividade por parte de um negociador, por documentação insuficiente, insolvência ou ilegalidade.

Este conceito e sua abrangência ainda não está uniformizado. Porém, este tipo de risco ao qual todas as instituições financeiras estão expostas pode ser dividido em: risco de legislação, risco tributário e risco de contrato.

Risco de Legislação: perdas decorrentes de sanções aplicadas por órgãos reguladores e / ou indenizações por danos a terceiros por violação da lei vigente.

Risco Tributário: é o risco de perdas pela criação de novos impostos ou pela interpretação equivocada da incidência de tributos.

Risco de Contrato: são as perdas causadas por julgamentos desfavoráveis em contratos falhos e mal redigidos ou sem o devido amparo legal.

2.1.4 Risco Operacional

Os estudos sobre risco operacional ainda estão em estágio inicial. A literatura não apresenta um conceito único e nem as instituições têm clareza sobre a abrangência deste tipo de risco. O Consultative Document Operational Risk (2001), documento de consulta das instituições bancárias, comenta a diversificação dos conceitos e apresenta a seguinte definição: "O risco de perdas diretas e indiretas resultantes de falhas ou inadequação dos processos internos, pessoas e sistemas ou de eventos externos".

A abordagem do risco operacional como uma categoria de riscos separada, com gerenciamento próprio, é recente na maioria das instituições. Em 1998 o Comitê da Basiléia realizou uma pesquisa com trinta grandes bancos dos países membros do Comitê para identificar como estava sendo tratada a questão dos riscos operacionais, e concluiu que muitos não sabiam ao certo do que se tratava. Entendiam este como sendo qualquer risco não caracterizado como risco de crédito ou de mercado.

O risco operacional está associado à deficiência nos controles internos de uma instituição e é oriundo, principalmente, de três fatores: pessoas, tecnologia e processos. Esses fatores são os causadores das principais falhas, tais como: erros humanos, fraudes praticadas por empregados, falhas nos sistemas de informática e procedimentos inadequados.

O risco operacional não é uma novidade para as instituições financeiras. É um fator inerente à operacionalização diária dos processos e negócios de uma empresa. No entanto, por um bom tempo este não representava um problema, visto que somente eram percebidos os eventos de grandes perdas e que aconteciam esporadicamente, sendo absorvidos pela empresa como prejuízos aos acionistas. A gestão de riscos operacionais com metodologia própria, da forma como acontece com o risco de mercado e de crédito é bem recente e ainda pouco praticada.

Esta nova realidade obrigou as instituições a aprimorarem os seus processos de gestão de recursos, vindo à tona perdas freqüentes, que provocavam uma enorme perda de capital. Ao mesmo tempo, outras duas situações levaram o assunto de risco operacional a fazer parte das preocupações das instituições:

Exigência de maior transparência por parte da sociedade: o investidor passou a fiscalizar mais seus investimentos e passou a querer saber o destino de seus recursos;

Exigência de estrutura de gestão mais sensível ao risco por órgaos reguladores: o Comitê da Basiléia está trabalhando na tentativa de aprimorar os processos de gestão de risco das instituições e tratando da questão dos riscos operacionais com o mesmo rigor dado aos riscos de mercado e crédito.

Não existe uma uniformização das categorias e sub-categorias do risco operacional, portanto, tal divisão deve ser coerente com a prática de gerenciamento de cada instituição.

A divisão aqui apresentada considera as três principais fontes de riscos operacionais, anteriormente citadas: pessoas, processos e tecnologia, respectivamente.

2.1.4.1 Risco humano ou risco de pessoas:

São as possíveis perdas que podem ocorrer a partir de falhas humanas por situações diversas, como por exemplo:

Risco de Erro Não Intencional: são as perdas decorrentes de equívoco, omissão, distração ou negligência de funcionários.

Risco de Qualificação: é o risco de perdas em função do desempenho de tarefas por empregados sem a devida qualificação, incluindo capacidade, habilidade, perfil.

Risco de Fraude: é o risco de perdas em decorrência de comportamentos fraudulentos, como adulteração de controles, descumprimento intencional de normas da empresa, desvio de valores, divulgação de informações erradas etc.

2.1.4.2 Risco do processo:

São os riscos causados pela ocorrência de fragilidades nos processos internos da empresa – falta de regulamentação interna, deficiência nos processos, falta de controle – fatores que podem se materializar por riscos do tipo:

Risco de Modelagem: riscos de perdas pelo desenvolvimento, utilização ou interpretação incorreta dos resultados fornecidos por modelos, incluindo o uso de dados incorretos. A presença deste tipo de risco é mais comum em serviços de cálculo de risco, análise de projetos de investimentos, apuração da rentabilidade e outros. É necessário que os modelos utilizados nos cálculos de riscos e de outras variáveis de tomada de decisão sejam coerentes com o cenário econômico.

Risco de Controle: risco de perdas por fragilidade no controle do processo, por deficiência de segurança ou volume das operações.

Risco de Transação: Trata-se do risco de perdas em função de erros em uma transação, onde há troca ou transferência de valores, pela complexidade da operação ou do produto.

Risco de Conformidade: possibilidade de sanções de órgãos reguladores, em decorrência da inobservância das leis e regulamentos exigidos, bem como de normas operacionais e limites definidos pelo BACEN.

2.1.4.3 Risco tecnológico:

É o risco advindo de situações como: a) incapacidade dos sistemas de proverem informações aos tomadores de decisão, em tempo real e com alto nível de confiança; b) possibilidade de descontinuidade de atividades que utilizam recursos tecnológicos, por sobrecarga de sistemas de processamento de dados, entre outros. O risco tecnológico se divide em quatro tipos:

Risco de Software: são os erros de programação, de utilização inadequada de software, sistemas inadequados ou não padronizados para a instituição, impossibilidade de integração entre os diversos sistemas, fragilidade no acesso, obsolência.

Risco de Presteza e Confiabilidade: é o risco de perdas ocorridas pelo fato das informações não poderem ser recebidas, processadas, armazenadas e transmitidas em tempo hábil e de forma confiável.

Risco de Equipamento: perdas por falhas nos equipamentos elétricos, de processamento e transmissão de dados, comunicação e segurança, como falhas nas redes de computadores e servidores, danos em discos rígidos causados por vírus, entre outros.

Risco de Falhas nos Sistemas: perdas ocasionadas por paralisação ou falhas nos sistemas de processamento ou comunicação, impossibilitando o processamento, a transmissão, a liquidação ou o controle das operações.

O objetivo desta categorização é facilitar a identificação dos riscos, quer seja por produtos, processos, serviços ou por negócios.

 

3. GESTÃO DO RISCO OPERACIONAL

Este capítulo foi escrito com base na tese de Mestrado de Romana Picanço de Figueredo (2001), apresentada como parte dos requisitos para obtenção do título de Mestre em Administração, na Universidade da Amazônia – UNAMA.

As instabilidades do mercado financeiro, como a alta volatilidade das taxas de juros e câmbio, aliadas ao aumento de transações de derivativos, à ousadia de alguns investidores e especuladores e às fragilidades nos controles internos de algumas instituições financeiras, aumentam a exposição ao risco, o que pode provocar perdas para os acionistas. Num caso mais extremo, o governo e os clientes também poderiam sofrer perdas, o primeiro no caso de uma intervenção e, o segundo, quando os seus ativos perdem valor.

Para controlar as adversidades da economia, dar maior segurança aos investidores, governo e clientes e assegurar mais estabilidade ao mercado, os representantes dos bancos centrais do Grupo dos Dez se reuniram na cidade suiça de Basiléia, em 1975, e criaram um comitê para regulamentar as práticas dos bancos dos países participantes. Este comitê conta, atualmente, com a participação de mais de trinta países, incluindo o Brasil.

Desde o seu início, em meados da década de 70, o Comitê da Basiléia criou uma série de documentos que visavam à redução dos riscos no mercado. Desde então muitas mudanças ocorreram, especialmente no que diz respeito ao gerenciamento de risco e mercado financeiro. No entanto, como este comitê não

possui autoridade de supervisão, trabalha junto às autoridades supervisoras dos países, para garantir a prática das propostas.

No Brasil, como já foi dito anteriormente, a autoridade que regulamenta o cumprimento das propostas do Comitê da Basiléia é o BACEN, que com base nas necessidades do mercado promove maior interação do mesmo, com particular atenção ao que diz respeito ao gerenciamento de risco. Para garantir de forma mais eficiente o controle do risco, a autoridade monetária do país, o BACEN, fez algumas adaptações às recomendações do Comitê da Basiléia.

O tema risco operacional somente foi visto como uma categoria de risco separada na proposta do Novo Acordo de Capital.

O principal fator de risco operacional é o risco de pessoas e tecnologias, e em particular, o risco humano. Por esta razão, não se deve descuidar do gerenciamento deste tipo de risco. Promover um ambiente de trabalho que permita o desenvolvimento de políticas que tornem o empregado um gerenciador de riscos e não um potencializador, como vem sendo visto, é indispensável para manter a instituição afastada de riscos operacionais.

Depois do risco humano, o risco tecnológico certamente seria o maior fator de risco operacional. É inegável a contribuição que o avanço tecnológico trouxe para o mercado financeiro, no que diz respeito aos serviços e transações bancárias. Porém, todo esse avanço carrega consigo a transformação dos riscos nas instituições: aumento da complexidade das transações – que acarreta um aumento dos riscos operacionais nas instituições. De igual maneira, o surgimento da tecnologia da informação proporcionou ao mercado maior velocidade nas transações, promovendo maiores e melhores oportunidades de negócios com o advento do comércio eletrônico. Em contra partida, inaugurou uma série de novos riscos operacionais, tais como: clonagem de cartões e fraudes.

A introdução de novas tecnologias nas instituições do mercado financeiro deixa-as mais vulneráveis a riscos, visto que ficam à mercê dos sistemas de suportes dos seus serviços e das pessoas detentoras da tecnologia, o que aumenta a exposição das instituições ao risco operacional.

O crescimento das instituições e o gerenciamento dos fatores de risco é o grande desafio do processo de gerenciamento e administração de riscos operacionais.

A gestão do risco operacional pode ser entendida como o conjunto de atividades que passa por todos os níveis da instituição e envolve definição de estratégias e políticas, além de procedimentos. Ainda, de forma mais restrita, é o processo de identificação, avaliação, mensuração, monitoramento e reporte de todas as situações que possam representar riscos para uma instituição financeira.

A mensuração deste tipo de risco requer tanto o cálculo da probabilidade de um evento de perda operacional, quanto o tamanho da perda potencial, mas é difícil fazer uma análise quantitativa dos fatores de risco e a probabilidade e tamanho da perda, visto que as perdas podem ser causadas por falhas humanas, tecnológicas ou até pelo tipo de gestão adotado.

O documento Operational Risk Approach (2000), emitido pelo International Swaps and Derivates Association, discorre sobre os princípios fundamentais do gerenciamento de risco, que devem ser aplicados por todos os tipos de instituições. São esses:

Exposição a risco e estabelecimento de controles: a alta administração de uma instituição é a responsável por decidir o nível de risco que se deve aceitar e o meio de gerenciamento;

Estrutura do gerenciamento de risco: a alta direção deve assegurar a existência de uma estrutura de gerenciamento de risco, incluindo estrutura organizacional, que vise ao acompanhamento do risco, dando meios apropriados para identificação, avaliação e controle dos diversos tipos de risco;

Qualificação do administrador/gestor: a alta direção deve conhecer e entender todas as categorias de risco às quais as instituições que gerenciam estão expostas, para garantir um gerenciamento eficiente;

Políticas de gerenciamento de riscos: a instituição deve ter uma política de risco operacional que defina o método de gerenciamento de todos os aspectos desse risco;

Abrangência do processo: o gerenciamento de risco deve contemplar todos os negócios e processos da instituição, garantindo o efetivo controle dos riscos;

Responsabilidade pela gestão de riscos: os gerentes são os responsáveis diretos pelo gerenciamento de risco nas suas unidades de negócios devendo, assim ser capazes de identificar os riscos aos quais estão expostos e estabelecer medidas de controle para minimizá-los.

A estruturação de um processo de gerenciamento de risco traz diversas vantagens às instituições, tais como:

  • redução das perdas reais;
  • aumento do lucro dos acionistas a partir das reduções das perdas;
  • aumento da competitividade;
  • geração de informações para avaliação qualitativa e quantitativa do risco operacional;
  • integração do risco operacional com os riscos de crédito e mercado;
  • garantia de transparência exigida pelos órgãos reguladores.

3.1 ESTRUTURA DO GERENCIAMENTO DE RISCOS OPERACIONAIS

A estrutura para gerenciamento de riscos operacionais inclui os seguintes elementos: estratégias e políticas de gestão de risco operacional e uma estrutura organizacional para suporte.

3.1.1 Estratégias e Políticas

As estratégias e políticas para gerenciamento de risco operacional da instituição, devem estar alinhadas com a estratégia e a política de gerenciamento de risco da instituição como um todo. Para tal, é indispensável a análise do ambiente externo – clientes e parceiros – e interno – capacidade operacional e entendimento dos negócios – para que se alcancem todos os negócios e processos da instituição. Assim, alguns fatores são necessários:

  • instrumento que estimule a cultura de controles;
  • definição de responsabilidades;
  • direcionamento do processo de gerenciamento do risco;
  • os objetivos estratégicos, perfil de negócios e níveis de risco da instituição devem estar alinhados;
  • as estratégias e políticas devem ser aprovadas pela alta administração;
  • as estratégias e políticas devem ser comunicadas e totalmente compreendidas por todos da empresa.

3.1.2 Processo de Gerenciamento de Riscos Operacionais

É composto por diversas fases que se inter-relacionam:

3.1.2.1 Identificação do Risco

A identificação do risco operacional deve ser feita vinculada a uma determinada linha de negócio ou a um processo de apoio, por exemplo: cartões de crédito, derivativos e contabilidade. Deste modo, é possível identificar os riscos atuais e potenciais que podem impedir o alcance dos objetivos destes negócios.

Neste processo são vistos os fatores ou situações que possam ser potencializadores do risco:

  • capacidade dos funcionários, incluindo qualificação, perfil e postura ética e profissional;
  • ferramentas, sistemas de gerenciamento e controle (fragilidades, exposição a fraudes, capacidade operacional;
  • exigências legais a que as empresas estão sujeitas (legislação trabalhista, tributária, contábil, normas de órgão supervisor etc.);
  • procedimentos de controle – avaliação da existência, adequação e efetividade dos procedimentos de controles;
  • interfaces e inter-relações com outras unidades, processos e sistemas.

A identificação e avaliação dos riscos operacionais são mais eficazes quando realizadas pelas pessoas responsáveis pelo desempenho das atividades.

3.1.2.2 Avaliação e Mensuração do Risco

A avaliação e mensuração do risco norteiam toda a ação de controlá-lo e, por isto, é necessário uma análise minuciosa do risco identificado.

A análise do risco é feita tanto na esfera quantitativa, que ainda está em desenvolvimento, como na qualitativa, objeto deste estudo.

Na abordagem qualitativa, o nível do risco pode ser avaliado a partir de duas variáveis: a possibilidade de um determinado evento ocorrer e o impacto que ele causa. A análise dos impactos deve ir além dos efeitos financeiros, considerando também a reputação da instituição no mercado.

Na mensuração do risco devem ser levados em conta os fatores ou as situações que potencializam o risco (descritas anteriormente) e se estes estão sob alguma forma de controle, pois a exposição ao risco significa que este não foi eliminado pelo sistema de controle.

O processo de avaliação e mensuração do risco operacional pode ser complementado pelas seguintes informações:

  • relatórios de auditoria interna e externa;
  • relatórios de órgãos supervisores;
  • relatórios de gerentes;
  • planos de negócios;
  • histórico de perdas.

A avaliação e mensuração dos riscos pode ser viabilizada com o uso da matriz de risco e controle. Para melhor compreensão, serão apresentadas as matrizes de risco e controle, nesta ordem.

QUADRO 1:

Matriz de Risco

Fonte: KPMG

O resultado da matriz é obtido no cruzamento das colunas e linhas, conforme indicado pelas setas. No ponto em que elas se cruzam nas variáveis probabilidade e conseqüência, encontra-se o nível do risco. Cada um destes níveis de possibilidade e conseqüência pode ser compreendido como:

Probabilidade:

  • Quase Certa – o evento ocorrerá na maioria dos casos.
  • Provável – o evento ocorrerá com freqüência.
  • Moderada – o evento deverá ocorrer em algum momento.
  • Improvável – o evento poderá ocorrer em algum momento.
  • Rara – o evento poderá ocorrer em circunstâncias excepcionais.

Conseqüência:

  • Extrema – se ocorrer, inviabiliza o alcance dos objetivos da linha de negócio ou processo avaliado.
  • Alta – se ocorrer, impacta profundamente o alcance dos objetivos da linha de negócio ou processo avaliado.
  • Média – se ocorrer, dificulta o alcance dos objetivos da linha de negócio ou processo avaliado.
  • Baixa – se ocorrer, tem leve efeito sobre o alcance dos objetivos da linha de negócio ou processo avaliado.
  • Irrelevante – se ocorrer, não afeta os objetivos da linha de negócio ou processo avaliado.

QUADRO 2:

Matriz de Controle

Fonte: Banco da Amazônia

A matriz de controle avalia a qualidade do controle do risco potencial ou existente. A qualidade do controle parte de duas variáveis: supervisão, neste caso de pessoas e ferramenta de controle, a tecnologia utilizada. Como na matriz de risco, o resultado da qualidade de controle pode ser obtido a partir do cruzamento das variáveis, indicado pelas setas.

A avaliação e mensuração dos riscos operacionais conduzem à identificação das exposições a riscos inaceitáveis, e à elaboração de planos de ação para otimizar seu controle e mitigá-lo.

3.1.2.3 Controle e Mitigação do Risco

Depois dos riscos mensurados, devem ser tomadas ações para reduzí-los a um nível administrável. Estas ações desenvolvidas pelas unidades de negócio devem priorizar o combate às causas identificadas na matriz de controle, como as grandes potencializadoras do risco.

Embora todas as áreas de uma instituição financeira estejam expostas ao risco operacional, algumas merecem atenção especial, em função da sua maior exposição:

Contabilidade: os registros contábeis devem retratar a realidade da empresa;

Novos Clientes e Parceiros: sua introdução na cadeia da empresa representa uma possibilidade de risco;

Serviços Terceirizados: a dependência de terceiros na realização de serviços nas instituições pode representar um aumento do risco operacional;

Gerenciamento de Serviços de Tecnologia e Informação: os riscos operacionais surgem com o uso intensivo de tecnologia nas instituições, e podem ser causados, por exemplo, pela falta de energia elétrica, defeito ou interrupção das linhas de comunicação, sistema fora do ar;

Qualidade do Recursos Humanos: o principal fator de risco, como já foi falado, é a falha humana. Assim, o RH da empresa deve ser capaz de identificar os profissionais com o perfil adequado para exercer uma determinada função.

O controle e a mitigação do risco visa à redução da probabilidade do evento acontecer e da perda que este evento possa vir a causar, visto que estas são as variáveis que potencializam o aumento do risco.

3.1.2.4 Monitoramento e Informação do Risco

No processo de gerenciamento do risco é necessário que haja um detalhado e permanente monitoramento do risco, a fim de reduzir o seu impacto em uma instituição. Em conjunto com esta ação, deve haver um processo de auditoria interna que realize revisões periódicas que avaliem o controle e a eficácia dos instrumentos utilizados no gerenciamento do risco, para assegurar coerência com as políticas de gestão de risco da instituição.

Estes relatórios produzidos tanto pelo monitoramento da instituição quanto pela auditoria interna em seus relatórios, servem de amparo para a tomada de decisões por parte da direção, responsável pela condução dos controles do risco. Estes relatórios devem informar a eficácia dos planos para minimização dos riscos, bem como seu estágio de execução e das áreas de riscos iminentes.

Estas informações são as molas-mestras da gestão do risco operacional dando suporte, no que diz respeito ao direcionamento de estratégia e políticas, ao aprimoramento do processo de gerenciamento e otimização da estrutura organizacional de suporte.

3.1.3 Estrutura Organizacional

A estrutura organizacional da empresa deve ser definida com base em dois pontos básicos:

entendimento dos funcionários da instituição de seu papel individual e sua responsabilidade no processo de gerenciamento de risco;

ambiente que permita gestão do risco, com apoio às questões que digam respeito ao risco operacional.

De acordo com a estrutura organizacional básica de uma empresa, as responsabilidades da gestão do risco ficam a cargo dos diretores, gerentes em geral, de todas as áreas da empresa e, mais especificamente, do gerente de risco operacional. Vejamos as competências de cada uma das partes responsáveis pelo gerenciamento:

Diretores: é o primeiro degrau no gerenciamento do risco. Os diretores devem ser grandes entendedores da empresa e dos riscos associados a esta. Compete aos diretores:

a implantação de estratégias de controle do risco operacional e a criação de processos que mitiguem os riscos;

análise de relatórios de controle do risco operacional.

Gerentes: são os responsáveis pelo acompanhamento diário do controle do risco, pois são os que mais conhecem suas atividades e os riscos a que estão expostos. Comprometê-los com a gestão de risco é extremamente eficaz. Suas responsabilidades específicas são:

  • analisar sistematicamente os processos que lhes competem, para identificar os riscos existentes e/ou potenciais;
  • informar aos diretores o nível do risco a que estão expostos e as medidas de controle adotadas;
  • quantificar as perdas operacionais e alimentar o banco de dados com o histórico de perdas operacionais;

Gerente de Risco Operacional: é necessária a existência deste cargo com responsabilidades bem definidas, uma vez que esta será parte integrante da estrutura de gerenciamento de riscos da instituição. Suas responsabilidades específicas são:

  • estabelecer procedimentos para o gerenciamento do risco;
  • estruturar o processo de gerenciamento de risco, disponibilizar metodologias, modelos e ferramentas que proporcionem a identificação, avaliação, monitoramento e mitigação do risco operacional;
  • avaliar, monitorar e informar sobre riscos operacionais à instituição como um todo;
  • avaliar se o gerenciamento está sendo conduzido em conformidade com as políticas e estratégias estabelecidas.


4. ESTUDO DE CASO: O ESCÂNDALO DA ENRON CORPORATE

"Nos próximos anos, o escândalo da Enron, e não o 11 de setembro, será visto como o grande divisor de águas na história da sociedade dos Estados Unidos", escreveu o economista Paul Krugman no jornal The New York Times.

Será apresentado um estudo de caso, neste capítulo, da falência da empresa americana de energia, Enron Corporate – por fraude contábil – a fim de mostrar na prática os efeitos do risco operacional numa firma.

Como toda e qualquer instituição, a Enron estava exposta aos diversos tipos de risco operacional e, dentre eles, o risco de fraude. No entanto talvez não houvesse se precavido de maneira eficiente, identificando e gerenciando os vários riscos aos quais estava exposta. Como já foi dito anteriormente, a gestão de riscos operacionais ainda está em fase inicial, na maioria das instituições financeiras.

Foi obrigada, então, a pedir condordata depois de ter vindo à tona a informação de fraudes no balanço da empresa, que contabilizou como lucro bilhões de dólares que eram, na verdade, perdas da empresa, ocultando um enorme prejuízo. A empresa admitiu que os lucros entre 1997 e 2001 haviam sido de aproximadamente US$ 600 milhões, menores do que aqueles divulgados inicialmente. O mercado, que já vinh

Comentários