Regulador quer garantir que informações sejam confiáveis e tempestivas (Por Álvaro Campos) - foto reprodução -

Os bancos europeus costumam ser submetidos, periodicamente, a “simulados de incêndio” - quando um servidor do Banco Central Europeu (BCE) chega de surpresa e manda evacuar o prédio em prazo bastante curto, mas exigindo que antes disso sejam reportadas algumas métricas de risco específicas. Agora, o Banco Central do Brasil quer garantir que os bancos por aqui tenham um nível de organização e preparo parecido.

No fim do ano passado, o Conselho Monetário Nacional (CMN) publicou a resolução conjunta 18, que dispõe sobre a política de qualidade das informações prestadas por bancos e outras instituições reguladas. Em um ambiente de digitalização, em que a inteligência artificial (IA) gera riscos e oportunidades e a importância da cibersegurança só aumenta, ter dados organizados e bem estruturados é essencial.

O prazo para implementação vence no fim do ano e o setor corre para tentar se adaptar. Entretanto, para grandes organizações, com uma estruturas complexas e sistemas legados de décadas, garantir que as informações estejam arrumadas e acessíveis - além de seguras - não é uma tarefa simples.

A resolução foi divulgada em meio a uma batelada de outras normas e passou despercebida no começo deste ano. Mais recentemente, à medida que se aproxima o prazo de implementação, o setor foi bater na porta do Banco Central pedindo para adiar as regras, mas o regulador não aceitou, segundo o Valor apurou. As exigências fazem parte do conjunto de regras de Basileia 3 e, apesar de ser uma questão regulatória, especialistas apontam que como terão de “arrumar a casa”, esta também pode ser uma oportunidade de negócio para os bancos, que assim têm mais chance de desenvolver produtos e serviços novos e mais customizados para os clientes.

"Na crise [de 2008] ficou evidente que as instituições não conseguiam agregar dados de risco com rapidez e precisão”
— Fábio Lacerda

O BC criou 12 dimensões para definir a qualidade das informações, como acessibilidade, acurácia e comparabilidade (veja quadro). A norma abrange todos os dados enviados ao órgão por exigência legal, regulatória ou por demanda específica, inclusive informações quantitativas e qualitativas, documentos e relatórios. O objetivo central é garantir que o reporte regulatório e outras entregas sejam confiáveis, consistentes, rastreáveis e tempestivos. Tudo sustentado por governança sólida, processos bem definidos, controles efetivos, documentação adequada e tecnologia.

Dessa forma, o regulador passará a ter base normativa para estabelecer testes específicos - como a “simulação de incêndio” do BCE -, definir níveis mínimos de qualidade para aceitação, rejeitar informações, determinar correções e até requerer novas divulgações ao público quando houver problemas.

Fábio Lacerda, ex-funcionário de carreira do BC e sócio de gestão de risco financeiro da KPMG, explica que os padrões de relatórios de risco de agregação de dados (RDA, em inglês) foram criados pelo Comitê de Basileia em 2013, ainda na esteira da crise financeira global, e serviram de base para a resolução 18.

“Na crise ficou evidente que as instituições financeiras não conseguiam agregar dados de risco com rapidez, precisão e abrangência suficientes para suportar a tomada de decisão em momentos de estresse”, diz.



Para ele, ao baixar essa regra, o regulador brasileiro indica que há um problema na qualidade dos dados entregues atualmente pelas instituições. O consultor estima que elas estão em diferentes estágios de adequação. “Algumas vão precisar só de um ‘band-aid’; outras, de uma sutura na ferida; e outras de uma cirurgia de grande porte.”

Como a norma se aplica a todas as informações entregues pelos bancos ao BC, ela é bastante abrangente, indo desde os relatórios operacionais (os chamados “cadocs”), passando por números enviados ao Sistema de Informações de Crédito (SCR), dados do open finance até tabelas de tarifas divulgadas aos clientes, por exemplo. Com uma regra tão principiológica, o mercado começou a ficar receoso sobre o que de fato será cobrado pelo regulador e realizou reuniões com o BC.

Segundo Jayme Alves, diretor-adjunto de Economia, Regulação Prudencial e Riscos da Federação Brasileira de Bancos (Febraban), a conversa foi importante para esclarecer os objetivos da norma. “A norma é muito aberta, então o céu é o limite. O BC poderia estar cobrando o estado da arte para a prestação de informações até o fim deste ano. Com a conversa, esclarecemos que a norma tem um objetivo construtivo, vai ser um aprendizado”.

Procurado, o BC não se manifestou. Especialistas dizem que, como a regra não foi adiada, as instituições que não conseguirem se adaptar até o fim do ano deverão ao menos fazer um amplo diagnóstico e elaborar um plano de ação para se ajustarem às exigências. “A demanda do BC é adequada, mas o prazo de implementação foi relativamente curto e muitas instituições foram surpreendidas, não estavam cientes dessa exigência e da urgência”, aponta Keiji Sakai, CEO da consultoria águilahub e que liderou as áreas de tecnologia de grandes empresas como Deutsche Bank, HSBC, J.P. Morgan e B3.

Na avaliação de Rosana Napoli, sócia de Risco e Regulatório da PwC, a resolução é complexa e o tempo de implementação é desafiador. “A norma do BC brasileiro é mais abrangente. Instituições com sistemas legados, com dados compartilhados entre muitas áreas, podem ter dificuldade em conseguir fazer a rastreabilidade dessa informação e manter sua integridade”, comenta. Ela aponta que muitas instituições ainda têm processos manuais, o que dificulta a reconciliação e favorece erros. “Quando se lida com um volume grande de dados, automatizar controles ajuda muito a capturar problemas”, explica.

As regras de Basileia são anteriores ao surgimento da IA generativa, mas o contexto atual de expansão dessa tecnologia reforça a necessidade de ter dados bem estruturados e seguros. Telma Luchetta, sócia-líder de IA e Dados para Serviços Financeiros da EY na América Latina, afirma que a responsabilidade da alta administração das instituições financeiras ganha mais relevância. A consultoria publicou recentemente um estudo global que mostra que apenas 25% das empresas integraram a IA de maneira profunda na gestão de dados. “O estudo faz uma análise do novo papel do CDO [diretor de dados] e conecta isso com a agenda de IA, em como escalar isso de forma acelerada, trazendo valor real para os negócios”.

A norma do BC determina inclusive que seja designado um diretor responsável pelos cumprimentos das novas regras, que pela lógica tende a ser o CDO, embora esse seja um cargo que nem todos os bancos brasileiros possuem ainda. Lacerda, da KPMG, explica que a resolução 18 trata principalmente da arquitetura e governança de dados. Apesar de não ser uma política sobre cibersegurança, são assuntos que estão correlacionados. “Fazendo uma analogia, com essas regras o BC quer garantir que, se os bancos estão ‘construindo um prédio’, haja um engenheiro responsável, os cálculos estruturais estejam adequados, os materiais usados sejam apropriados. Isso não tem a ver com a segurança do ‘prédio’ contra roubos, ou seja, a cibersegurança dos bancos. Mas é claro que, tendo um prédio bem estruturado, ele tende a ser também mais seguro”.

Pela abrangência da norma, bancos grandes e antigos, com diferentes sistemas integrados ao longo dos anos, devem ter mais dificuldade em garantir a qualidade dos dados, ao passo que instituições menores, com plataformas em nuvem e poucos produtos, se adaptariam mais facilmente. De qualquer forma, Alves, da Febraban, afirma que a norma tende a ser favorável para o sistema financeiro em geral. “Os grandes bancos já têm políticas internas de qualidade de dados, mesmo o controle do BC em si não é uma coisa nova. A questão é que não havia todas essas dimensões, de forma estruturada, em uma única norma. Vai ser um trabalho de evolução ao longo dos próximos anos.”

Rui Cabral, sócio-líder de Risco da EY para América Latina, afirma que a RC 18 não tem nenhuma relação com o caso Master, mas diz que, tendo dados melhores e mais tempestivos, o BC tem mais chances de evitar que outras instituições cheguem a uma situação como a do banco de Daniel Vorcaro, onde foram descobertas graves fraudes. “Recebendo dados mais bem estruturados, o próprio Banco Central pode usar IA para ajudar na supervisão, sendo mais eficiente e dependendo menos de pessoas, porque a gente sabe das dificuldades de pessoal e orçamento.”

Para Sakai, do águilahub, a norma é exigente e pode acabar excluindo do mercado players menos estruturados. “O sistema financeiro brasileiro é sofisticado, o que também significa que existem ameaças mais complexas. Se alguém quer jogar na primeira divisão, tem de ter time para isso”. (Fonte: Valor Econômico)