Compliance Bancário Essencial

1

GOVERNANÇA CORPORATIVA, RISCOS E COMPLIANCE

De maneira bastante objetiva, podemos dizer que as empresas de todos os setores, dos menos aos mais regulados, devem se preocupar e investir recursos e treinamento em três pilares fundamentais e que se comunicam: a Governança Corporativa (Governance), o Gerenciamento de Riscos (Risk Management) e o Compliance.¹

1.1 Governança Corporativa – BREVES CONSIDERAÇÕES

Embora o presente livro não tenha como objeto o estudo da Governança Corporativa e suas implicações no cotidiano empresarial, ainda assim, algumas breves considerações são pertinentes para a melhor compreensão dos fundamentos de GRC.

Em relação à Governança Corporativa, nos dizeres de LIMA,² ela implica, (i) a equidade no tratamento de todos os interessados na instituição, (ii) a transparência no trato das informações relativas à atividade da empresa, (iii) a prestação de contas dos negócios – accountability – e (iv) a responsabilidade corporativa na condução dos seus atos.

Para o mesmo autor, o esperado comportamento ético e de obediência às leis pelas empresas não poderia depender apenas da boa vontade ou de indicações de pessoas despreparadas para cargos de alta administração, nem tampouco depender do pensamento particular de cada administrador individualmente considerado.

Diz respeito, pois, com a ideia de uma gestão menos personificada nos administradores e menos dependente apenas de suas convicções pessoais. Nessas premissas é que se alicerça o conceito de Governança Corporativa.

No Brasil, dentro dessa tendência, foi lançado em 2016 o Código Brasileiro de Governança Corporativa – Companhias Abertas, fruto do trabalho conjunto de entidades do mercado de capitais, tendo sido inclusive incorporado à regulação da Comissão de Valores Mobiliários, por meio da Instrução CVM 80/2022.

Para o IBGC – Instituto Brasileiro Governança Corporativa –, a

Governança corporativa é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas. As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum.³

Vale destacar que, nos termos da Circular 3.978 do BACEN, em vigor desde 01/10/2020, a qual será tratada adiante em detalhes, as instituições financeiras devem dispor de estrutura de governança visando a assegurar o cumprimento da política de combate à lavagem de dinheiro e ao financiamento do terrorismo.

No que se refere ao setor público federal, o Decreto 9.203/2017 veio dispor sobre a política de governança da Administração Pública Federal direta, autárquica e fundacional.⁴

Na Europa, a ideia de Governança Corporativa já se encontra em estágio bem avançado (Código Alemão de Governança Corporativa, por exemplo)⁵.

1.2 AVALIAÇÃO E GERENCIAMENTO DE riscos – Risk ASSESSMENT/risk Management

Toda atividade empresarial envolve algum tipo de risco, que aqui podemos definir como sendo a exposição à possibilidade da ocorrência de um evento que, se tornado realidade, gerará uma perda, prejuízo ou um passivo para a empresa.

Com a atividade bancária não poderia ser diferente.

Compliance está diretamente ligado à identificação e à avaliação desses riscos (risk assessment),⁶ bem como ao necessário gerenciamento deles (risk management).

Identificação e avaliação de riscos são essenciais para estabelecer as corretas estratégias e alocação de recursos financeiros e humanos para evitar que perdas – financeiras, materiais, reputacionais e/ou humanas – venham a ocorrer. A criteriosa identificação e avaliação são vitais para o correto gerenciamento dos riscos.

A depender da estrutura e do organograma de cada instituição, pode haver uma diretoria exclusivamente dedicada à análise e ao gerenciamento de riscos. Na ausência de uma diretoria específica, em relação aos riscos operacionais do negócio, essa tarefa deve ser atribuição da diretoria ou da área dedicada ao compliance. E quando houver tal diretoria específica, ela deverá agir sempre em sintonia e em harmonia com a diretoria de compliance. Recomenda-se, contudo, que a gestão dos riscos operacionais⁷ esteja sob a estrutura do compliance.

No setor bancário, objeto deste trabalho, a simples abertura diária de uma agência para um dia normal de trabalho já a expõe a pelo menos três tipos principais de riscos.

São eles (i) o risco de crédito, (ii) o risco de mercado e (iii) o risco operacional, conforme a classificação do Comitê da Basileia. Vamos a eles:

O risco de crédito é aquele que diz respeito à chance de o banco vir a não receber de volta aquela quantia emprestada ao cliente. É o risco, dentre os três, mais controlável.

Isto porque o banco, antes de emprestar, tem como analisar a saúde financeira do cliente (sua solvabilidade). Além disso, toma garantias (em especial hipoteca), e pode limitar o valor do empréstimo. Ou seja, tem boa parcela de controle sobre o referido risco.

A atividade bancária – diga-se – está baseada exatamente na remuneração advinda da assunção, por parte da instituição, desse tipo de risco. Por aceitar o risco de crédito, ela é remunerada por meio de taxas e comissões.

Já o risco de mercado e o risco operacional não dependem dela.

O risco de mercado relaciona-se com atividades no mercado sobre as quais a instituição não tem ingerência, como a volatilidade da Bolsa de Valores, por exemplo.

Finalmente, o risco operacional diz respeito a todos os demais eventos que podem vir a ocorrer e causar prejuízos à instituição financeira, que não sejam advindos de operações de crédito ou do mercado, devidos a fatores externos ou internos, por falhas humanas ou não.

Relaciona-se, pois, com as falhas que decorrem das operações diárias necessárias ao bom funcionamento da instituição, sem as quais ela não poderia desenvolver seu objeto social, excetuados os riscos de crédito e de mercado.

O Conselho Monetário Nacional assim conceitua o risco operacional em sua Resolução CMN 4.557/2017, com as suas alterações posteriores:

Art. 32. Para fins desta Resolução, define-se o risco operacional como a possibilidade da ocorrência de perdas resultantes de eventos externos ou de falha, deficiência ou inadequação de processos internos, pessoas ou sistemas.

§ 1º A definição de que trata o caput inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, às sanções em razão de descumprimento de dispositivos legais e às indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

§ 2º Entre os eventos de risco operacional, incluem-se: I – fraudes internas; II – fraudes externas; III – demandas trabalhistas e segurança deficiente do local de trabalho; IV – práticas inadequadas relativas a usuários finais, clientes, produtos e serviços; V – danos a ativos físicos próprios ou em uso pela instituição; VI – situações que acarretem a interrupção das atividades da instituição ou a descontinuidade dos serviços prestados, incluindo o de pagamentos; VII – falhas em sistemas, processos ou infraestrutura de tecnologia da informação (TI); VIII – falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades da instituição, incluindo aquelas relacionadas aos arranjos de pagamento. § 3º Para as atividades de pagamento, as falhas mencionadas no § 2º incluem: I – falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento; II – falhas na identificação e autenticação do usuário final em transação de pagamento; III – falhas na autorização das transações de pagamento; e IV – falhas na iniciação de transação de