Compreendendo e Mitigando Riscos Operacionais em Instituições de Pagamento

No ambiente em constante evolução dos serviços financeiros, as instituições de pagamento atualmente desempenham um papel fundamental na facilitação das transações e na garantia do bom fluxo de recursos. O cenário dos pagamentos mudou drasticamente nos últimos anos em todo o mundo, especialmente no que tange aos desenvolvimentos relacionados às melhorias na velocidade e na conveniência para os usuários de serviços de pagamento de varejo. A demanda por pagamentos de varejo (quase) em tempo real, é uma tendência notável em todas as jurisdições e serviços bancários pela Internet, e os recentes desenvolvimentos tecnológicos aumentaram a flexibilidade e a conveniência de fazer pagamentos de varejo.

No caso específico do Brasil, a introdução do PIX e do Open Banking pelo BACEN, aliado às restrições de mobilidade decorrentes da pandemia da Covid-19 contribuíram significativamente para a aceleração do processo de digitalização das transações financeiras no país. Com isso, o número de instituições de pagamento autorizadas a funcionar vem crescendo exponencialmente. Segundo relatório publicado pelo próprio BACEN, a quantidade de instituições de pagamento autorizadas a funcionar pelo regulador passou de 19 em 2019 para 85 em abril de 2023. Em 2017, por exemplo, eram apenas 6.

Sabemos que a natureza dinâmica do cenário financeiro traz consigo uma multiplicidade de riscos operacionais que estas instituições devem enfrentar, abrangendo uma ampla gama de desafios potenciais, incluindo falhas tecnológicas, problemas de conformidade e erros humanos. Compreender e gerir eficazmente os riscos operacionais é fundamental para o sucesso sustentável das instituições de pagamento. Gostaria nesse breve artigo de discutir com vocês aqueles que, na minha opinião, são os principais riscos operacionais enfrentados pelas instituições de pagamento e algumas das estratégias para mitigar esses riscos.

Principais Categorias de Riscos Operacionais em Instituições de Pagamento

Os riscos operacionais nas instituições de pagamento podem manifestar-se de diversas formas, cada uma com o seu próprio conjunto de desafios. Categorizar estes riscos ajuda a compreender as suas nuances e a desenvolver estratégias de mitigação direcionadas.

1. Riscos Tecnológicos

• Falhas de sistema: Instituições de pagamento dependem fortemente de tecnologia sofisticada para processamento de transações. Falhas no sistema, seja devido a mau funcionamento de hardware ou falhas de software, podem interromper as operações, levando a perdas financeiras e danos à reputação.
•  Ameaças à segurança cibernética: Numa era de crescente digitalização, as instituições de pagamento são um dos principais alvos dos ciber-criminosos. Violações de dados, ataques de ransomware e outras ameaças cibernéticas podem comprometer informações confidenciais dos clientes, minar a confiança na instituição e resultar em penalidades regulatórias.

2. Conformidade e Riscos Regulatórios

•  Alterações legais e regulatórias: O cenário regulatório para instituições financeiras é dinâmico, sujeito a mudanças frequentes. O desafio é ainda maior para aquelas instituições que realizam transações crossborder, já que o ambiente regulatório nos diferentes países costuma ser muito diverso. As instituições de pagamento devem permanecer vigilantes para garantir o cumprimento regulatório, já que uma única falha nesse sentido pode levar a consequências jurídicas e danos à reputação.
• Conformidade relacionada à regras contra lavagem de dinheiro e financiamento ao terrorismo (Anti Money Laudering and Terrorism Financing – AML/FT) e de “conheça seu cliente” (Know Your Customer – KYC): Esse talvez seja um dos maiores desafios das instituições de pagamento, que precisam desenvolver medidas e ferramentas eficazes de AML/FT e KYC e ao mesmo tempo não afetar a agilidade na experiência com o cliente, fator fundamental nos serviços de pagamento. Regulamentações rigorosas de AML e KYC estão em vigor para evitar atividades financeiras ilícitas e seu não cumprimento pode resultar em penalidades severas, perda de licença e danos à reputação da instituição.

 3. Riscos de Fator Humano

• Erros de funcionários: Erros humanos na entrada de dados, no processamento de transações ou na tomada de decisões podem ter consequências significativas. Treinamento completo e controles operacionais rigorosos são essenciais para minimizar o impacto de tais erros.
• Ameaças internas: Atividades maliciosas por parte de funcionários, comprometimento intencional de sistemas ou uso indevido de informações confidenciais representam uma ameaça séria. São necessários controles internos robustos e mecanismos de monitoramento para detectar e prevenir esse tipo de ameaça.

 4. Riscos Operacionais em Processos de Negócios

• Planejamento inadequado de continuidade de negócios: A necessidade das instituições de pagamento em fornecer uma disponibilidade contínua quase 24 horas por dia, sete dias por semana, 365 dias por ano (24/7/365) é muito exigente em termos de confiabilidade operacional. A falha em implementar planos abrangentes de continuidade de negócios e recuperação de desastres pode resultar em tempo de inatividade prolongado durante eventos imprevistos, afetando a confiança e a satisfação do cliente.
• Riscos de fornecedores e terceiros: A dependência de prestadores de serviços terceirizados introduz riscos relacionados à sua confiabilidade operacional, medidas de segurança e adesão aos padrões regulatórios.

Estratégias Sugeridas de Mitigação

A gestão eficaz dos riscos operacionais requer uma abordagem proativa e abrangente. Dessa forma, entendo que as instituições de pagamento podem implementar as seguintes estratégias para mitigar seus riscos operacionais e aumentar a sua resiliência global:

1. Investimento Contínuo em Tecnologia

 A adoção de infraestrutura tecnológica de última geração pode mitigar o risco de falhas do sistema, enquanto auditorias e atualizações regulares do sistema devem ser realizadas para identificar e resolver vulnerabilidades prontamente. A implementação de medidas avançadas de segurança cibernética, incluindo firewalls, criptografia e autenticação multifatorial, é crucial para proteger contra ameaças cibernéticas.

2. Gerenciamento Abrangente de Conformidade

Deve-se estabelecer um sistema robusto de gestão de conformidade que monitore continuamente as mudanças regulamentares e dispare imediatamente ações de atualização necessárias. Programas regulares de treinamento para funcionários podem ajudar a garantir uma compreensão completa dos requisitos de conformidade. Além disso, a colaboração de especialistas jurídicos e regulatórios durante as auditorias regulares de conformidade pode ajudar a identificar possíveis problemas e garantir ações corretivas oportunas.

3. Gestão de Capital Humano

A instituição de programas completos de treinamento de funcionários sobre protocolos de segurança, procedimentos de conformidade e conduta ética pode reduzir significativamente o risco de erros humanos. Já a implementação de um código de conduta claro e aplicável pode dissuadir atividades maliciosas e promover uma cultura de integridade dentro da organização.

4. Avaliação e Monitoramento de Riscos

É crucial realizar avaliações de risco regulares para identificar potenciais vulnerabilidades e pontos fracos nos processos operacionais, incluindo aí a avaliação de dependência de terceiros e a realização de due-dilligences necessárias. A análise de cenários para se preparar para eventos inesperados também deve estar presente. Ao mesmo tempo, o monitoramento contínuo dos principais indicadores de risco permite às instituições de pagamento detectar e abordar os riscos emergentes antes que estes aumentem.

5. Planejamento de Continuidade de Negócios

É essencial desenvolver e atualizar regularmente planos abrangentes de continuidade de negócios e de recuperação de desastres, incluindo aí os testes desses planos através de exercícios simulados garantam que a instituição esteja bem-preparada para lidar com imprevistos. Os planos também devem delinear as medidas a serem tomadas em caso de falhas críticas, desastres naturais ou outras perturbações.

6. Cobertura de Seguro

A aquisição de cobertura de seguro adequada para riscos operacionais pode proporcionar uma rede de segurança financeira em caso de perdas significativas. As instituições devem avaliar cuidadosamente as suas necessidades de seguros e procurar apólices que se alinhem com o seu perfil de risco específico.

Concluindo: os riscos operacionais nas instituições de pagamento são diversos e à medida que os cenários financeiros evoluem, também evoluem os desafios enfrentados por estas instituições. Num ambiente onde a tecnologia, as regulamentações e o comportamento humano mudam continuamente, é essencial uma abordagem proativa e adaptativa à gestão do risco operacional. As instituições de pagamento que dão prioridade à resiliência através de infraestruturas tecnológicas robustas, gestão de conformidade, desenvolvimento de capital humano e avaliação estratégica de riscos estão mais bem posicionadas para prosperar no dinâmico e imprevisível setor dos serviços financeiros.

E aí, existem outros riscos operacionais ou estratégias de mitigação que vocês sugerem para as Instituições de Pagamentos? Deixem sua sugestão lá nos comentários! Forte abraço e um excelente final de semana!