A Europa obriga os bancos a proteger-se face a riscos externos
Nos últimos anos observou-se um aumento da externalização de serviços por parte dos bancos, com o objetivo de reduzir custos e melhorar a sua eficácia e flexibilidade. O outsourcing permite aproveitar as economias de escala e supõe uma forma de fácil acesso a novas tecnologias e a ferramentas e serviços não disponíveis na própria entidade.
Contudo, implica uma série de inconvenientes porque a externalização dos serviços não só não reduz os riscos fundamentais associados à atividade como também faz com que surjam ameaças adicionais: perda de controlo sobre a própria atividade e sobre informação essencial para a gestão do banco, dependência do fornecedor, perda de know-how, entre muitos outros.
Tanto assim é que o BCE estabeleceu em 2016 o aumento dos riscos derivados do outsourcing como uma das suas prioridades de supervisão para o ano de 2017. Dois anos depois, com o objetivo de estabelecer um quadro de ação conjunto, em junho de 2018 a Autoridade Bancária Europeia (EBA), publicou um projeto de diretrizes para a gestão destas práticas. Concluída a fase de consultas, entrarão em vigor a 30 de setembro, pelo que as entidades têm um prazo de três meses para adequar a sua gestão aos requisitos europeus.
A banca de consumo tem um longo histórico de enfrentar graves crises financeiras e de reputação devido a erros cometidos por terceiros. Uma das dez maiores empresas resseguradoras do mundo, a XL Catlin, conta como, há vários anos, milhões de clientes de um banco de retalho não conseguiram retirar fundos nem consultar os seus saldos devido a uma falha informática. Outra entidade teve de compensar milhares de clientes cujos dados pessoais foram roubados e vendidos de forma ilegal. O que tinha acontecido? Um fornecedor tinha guardado esses dados numa memória USB que se perdeu.
Com o objetivo de evitar que a falha de um fornecedor de serviços críticos possa ter impacto na atividade financeira do mercado único europeu, a EBA estabelece um quadro de ação global que garante que todos os riscos associados a terceiros estão identificados, avaliados e amenizados.
Em primeiro lugar, centra-se na forma de governação. Os bancos deverão dispor de uma política, alguns processos e alguns elementos de controlo que sejam sólidos e estejam corretamente implementados. O objetivo é assegurar que existe uma gestão e uma supervisão contínuas e eficazes por parte do comité de direção e do conselho de administração das entidades, e que as suas responsabilidades não ficam delegadas.
Num segundo nível encontra-se a própria gestão do processo. Deve começar-se com uma análise prévia da atividade que se pretende externalizar para avaliar os riscos associados. Em função do resultado, alguns requisitos ou outros serão aplicáveis na fase de seleção, onde será avaliada a capacidade dos fornecedores, analisando também os seus diversos riscos.
Depois disso, na fase contratual deverão estabelecer-se adequadamente as obrigações de cada uma das partes e deverão recolher-se informações de diversos aspetos relativos à subcontratação, à segurança da informação e aos direitos de auditoria e resolução. Depois de o contrato estar em vigor, o desempenho do fornecedor deverá ser monitorizado de forma contínua e deverão ser estabelecidas estratégias perante a possível terminação antecipada dos contratos e/ou planos de desenvolvimento de fornecedores que garantem a continuidade da atividade. Quando aplicável, deverão ser atualizadas as avaliações de riscos realizadas em primeira instância.
Por último, as diretrizes referem- -se à supervisão da contratação por parte das autoridades competentes e a comunicação às mesmas. Para garantir que tal se realiza de forma eficaz, recomenda-se manter um registo estruturado de todos os acordos de externalização, que inclua todos os fornecedores envolvidos e toda a informação associada ao processo de outsourcing.
Nas diretrizes, a EBA estabelece determinadas atividades como isentas, às quais não aplicará este modelo de gestão de riscos. Entre elas, os cartões de crédito como o Visa ou Mastercard, auditorias legais, agências de rating como a Moody’s ou a Bloomberg, serviços de correspondência financeira sujeitos à supervisão das autoridades, assim como outros serviços não prestados pela entidade, como a limpeza e a manutenção, assistência médica, catering, viagens, material informático e de escritório e fornecimento de água, gás e eletricidade.
O modelo proposto pela EBA, e que alguns bancos implementaram, é de aplicação, na realidade, em qualquer empresa, seja qual for o seu setor, baseado no controlo dos riscos associados às atividades com terceiros, que qualquer empresa deverá realizar para garantir a sustentabilidade da sua cadeia de fornecimento.
Na banca e, por extensão, em qualquer empresa do século XXI, as novas tecnologias aplicadas às compras ajudam a configurar esse novo modelo de excelência, imprescindível para melhorar os processos de gestão de riscos derivados da contratação de serviços por parte de externos.