Pronto para a Resolução 3380

A Resolução 3380 do Banco Central (BC), versão tupiniquim do acordo Basiléia II, cobra das instituições financeiras que adotem um sistema de gerenciamento de risco operacional até dezembro deste ano. Como sempre, as grandes, mais expostas às vistorias, vêm testando soluções há tempos, mas ainda há pequenas entidades correndo contra o relógio. Para estas, um programa customizado, feito sob medida para a norma, pode ser uma boa saída.
É nesta onda que a Integral Trust Serviços Financeiros lança o ISAP, cujo principal atrativo é o preço: por dois mil reais mensais, uma financeira de até 100 funcionários “aluga” o programa e, em aproximadamente uma semana (entre instalação e treinamentos), está pronta para passar por qualquer auditoria. “O que o BC quer para este ano é que as financeiras adotem um controle qualitativo, ou seja, uma ferramenta confiável de averiguação, que é apenas um primeiro passo para a diminuição efetiva dos riscos. O controle quantitativo, capaz de dizer o que fazer virá com o tempo, a partir dos resultados dos relatórios. É um processo de três a seis anos”, explica Carlos Fagundes, da Integral.
O ISAP é baseado em plataforma web e pode ser acessado por um ou até 20 mil terminais. Sua configuração contém uma biblioteca com levantamento de mais de mil itens de risco que podem ser selecionados de maneira flexível pelo administrador. Estes itens se baseiam nas 154 linhas de negócio possíveis dentro de uma instituição financeira e nos oito riscos previstos na 3380 (fraudes internas; fraudes externas; demandas trabalhistas e segurança deficiente do local de trabalho; práticas inadequadas relativas a clientes, produtos e serviços; danos a ativos físicos próprios ou em uso pela instituição; danos que acarretem a interrupção das atividades da instituição; falhas em sistemas de tecnologia da informação; e falhas na execução, cumprimento de prazos e gerenciamento das atividades). A estrutura do programa está dividida em três módulos: auto-avaliação, registro de incidentes, e gestão de risco.
Por meio de diversos modelos de questionários adaptáveis a cada realidade, a auto-avaliação se presta a averiguar se as políticas de segurança estão bem difundidas dentro da empresa. O registro de incidentes, cujo acesso pode ser controlado integralmente ou de forma parcial (apenas alguns itens ficam disponíveis para determinado grupo de funcionários) é o primeiro passo para levantar as fragilidades e necessidades de proteção – é a partir do que os funcionários consideram ações delicadas que se poderá, dentro de algum tempo, traçar as estratégias efetivas de redução de riscos. Por fim, o módulo de gestão visa comparar dados, basear conclusões e organizar a divisão de tarefas – inclusive, com cada funcionário recebendo, via e-mail, a missão que lhe cabe no processo.