Eduardo Grell (*)
O monitoramento de terceiros prestadores de serviço é bom senso. É bom senso também que os reguladores exijam tal monitoramento, posto que parte importante das rotinas de instituições financeiras e de pagamento são mais e mais executadas fora de casa. O suporte de tecnologia da informação, de RH, de assistência jurídica e de auditoria são cada vez mais terceirizadas por startups que querem concentrar seu foco no essencial.
Tais atividades são, no entanto, bastante importantes em definir a cultura da empresa, especialmente depois que esta começa a amadurecer e a penetração obstinada no mercado passa a concorrer com outras motivações. Indo além, não só a infraestrutura tecnológica depende crescentemente de terceiros para sua sustentação ou para a proteção contra agressões cibernéticas, mas também muitos processos centrais de processamento de operações ocorrem em empresas especializadas, dentro do conceito de “As a Service”.
Em suma, a terceirização está mais e mais importante. O que o Banco Central (BC) permite? Quais são as regras? Como saber o que é suficiente? – O BC é mais explícito nas questões tecnológicas, mas, nos outros temas, dá mais liberdade para cada instituição definir como fazer o monitoramento das terceirizações. Diz o regulador em seus normativos de gestão de risco — tanto para instituições financeiras, quanto de pagamentos — e de controles internos, que deve haver critérios de decisão e procedimentos para a seleção de prestadores de serviços.
Diz também que eles devem estar alinhados aos procedimentos de prevenção à lavagem de dinheiro. No entanto, não impõe nenhum modelo específico. A menção genérica nesses normativos não implica complacência do regulador, muito pelo contrário. Indica a responsabilização total da instituição regulada. Os processos podem ser executados por terceiros, mas a responsabilidade final perante os clientes e o mercado recai sempre sobre a instituição contratante.
Em outras palavras, as atividades podem algumas vezes ser terceirizadas, a responsabilidade, jamais! Evidentemente, se o regulador perceber que o tema não vem sendo tratado com a profundidade e a amplitude que ele entende necessárias, novas regras virão. Como, porém, ter certeza de que as instituições estão devidamente protegidas? A terceirização pode reduzir o risco, dado que as atividades passam a ser conduzidas por empresas altamente especializadas.
Podem também aumentá-lo, se o foco primeiro for na simples redução de custos. Tudo isto precisa ser bem conhecido e levado em conta na tomada de decisão de prosseguir com a terceirização e na definição do prestador do serviço. Na sequência, os processos devem ser controlados e monitorados, mas, não importando se os riscos percebidos aumentam ou diminuem, a transparência fica reduzida. Não se pode mais fazer a averiguação direta de falhas ou deterioração nos processos de controle de terceiros. Nem sempre consegue-se manter o conforto de uma supervisão interna próxima e com pouco esforço.
Como ter segurança de que os serviços são prestados a contento e que surpresas não estão somente esperando para aparecer? – Algum tipo de arcabouço é necessário e útil para dar essa tranquilidade; para dar confiança de que todas as questões importantes estejam tratadas. A literatura fornece alguns exemplos, mas a forma mais prática é debruçar-se sobre o que outros reguladores estão prescrevendo. Pode ser que alguns sejam mais específicos e assim, tragam alguma inspiração. Felizmente, neste caso, a Autoridade Bancária Europeia (EBA) editou em 2019 um conjunto de diretrizes sobre o assunto, que pode ser utilizado exatamente com este fim.
Trata de questões de proporcionalidade, de tarefas terceirizadas para outras empresas do mesmo grupo, de avaliação de arranjos de terceirização, de governança e das etapas do procedimento de terceirização propriamente dito, como due-diligence, elaboração de contratos, segurança de dados e sistemas, acesso à informação e outros elementos importantes. Vale a consulta. É uma boa forma de evitar sustos e atender os clientes dentro dos padrões que eles merecem e que as instituições financeiras ou de pagamento se esforçam em manter.
(*) – Especialista no sistema financeiro, com experiência na gestão de risco de crédito, operacional, mercado, liquidez e socioambiental, é Líder do segmento de Gestão de Riscos e Governança da Riskfence (www.riskfence.com).