Com a recente regulamentação das Instituições de Pagamento (IPs) pelo Banco Central, essas entidades passaram a se defrontar com uma série de novas obrigações, até então inexistentes no seu ambiente operacional.
As mais visíveis, por se tratarem de obrigações associadas diretamente com o negócio das IPs, são aquelas de controle financeiro/operacional, como é o caso da contabilidade padrão COSIF, da gestão e mitigação do risco de crédito e do risco de liquidez.
No entanto, em adição a essas, o novo ambiente regulado introduz outras totalmente estranhas ao dia a dia dos processos de pagamentos, o que faz com que muitas vezes não sejam adequadamente entendidas ou priorizadas pelos gestores dessas instituições. Nesse contexto inclui-se, para as Instituições Emissoras de Moeda Eletrônica, o cumprimento do compliance Cadastro dos Clientes do Sistema Financeiro Nacional – CCS e, por decorrência, também do BACEN JUD.
O CCS é decorrência da Lei 9.613/1998, conhecida como "Lei Anti-Lavagem de Dinheiro", e da Lei 10.701/2003 que atribuiu ao Banco Central a responsabilidade pela estruturação e manutenção do Cadastro dos Clientes do Sistema Financeiro Nacional. O propósito original do CCS foi, portanto, apoio ao processo investigativo no combate ao ilícito financeiro.
As informações do CCS são enviadas diariamente ao Banco Central e incluem a identificação dos CPFs/CNPJs que tenham relacionamento com a instituição através de bens, direitos ou valores por ela custodiados, a identificação de procuradores e representantes, e as datas de abertura e fechamento desses relacionamentos.Incidentalmente, a critério dos órgãos competentes, as instituições podem ser requeridas a enviar os chamados "detalhamentos" que são informações minuciosas de clientes/procuradores/representantes específicos e/ou contas, ao longo de um período determinado. Posteriormente, o CCS passou a ser usado também pelo Poder Judiciário como fonte de consulta para o direcionamento das ordens judiciais do sistema BACEN JUD.
O BACEN JUD é um sistema que tem como objetivo automatizar o processo de arresto de ativos financeiros de pessoas físicas ou jurídicas, custodiados pela instituição. As ordens judiciais são postadas pelos juízes e chegam até às instituições eletronicamente, através do Banco Central. A grade de recebimento e resposta das ordens judiciais pelas instituições também é diária. Antes de enviar a ordem judicial, o juiz consulta a base de dados do CCS residente no Banco Central e envia as ordens correspondentes somente para as instituições com os quais o réu tem relacionamento.
Nos dois sistemas, apesar de apenas custodiarem informações de terceiros, as instituições são total e absolutamente responsáveis, civil e criminalmente, pela veracidade, integridade e tempestividade das mesmas. Atualmente, além do Poder Judiciário através do BACEN JUD e das instituições de combate ao ilícito financeiro como o COAF, a Receita Federal, o Tribunal de Contas da União, a Procuradoria Geral da República e, mais recentemente, a Polícia Federal também têm acesso às informações do CCS.
Alterações, contaminações, omissões, vazamentos, ainda que não intencionais, podem gerar um passivo legal de alta repercussão negativa para as IPs e para os executivos estatutários responsáveis perante os entes reguladores. Por tratar informações altamente sensitivas e invasivas, os processos do CCS e do BACEN JUD devem ser administrados como missão crítica de alto risco operacional.
Isso confere ao cumprimento do CCS e do BACEN JUD um caráter completamente diferente dos demais informes operacionais/financeiros exigidos pelo Banco Central. Esses informes processam dados internos das instituições e, apesar de não ser recomendável, eventuais erros sempre podem ser corrigidos com impactos limitados.
Para mitigar os riscos envolvidos no processamento do CCS/JUD, as instituições devem instalar soluções que operem independentes dos sistemas de negócios geradores das informações, com alto nível de controle de acesso, proteção, consistência, validação e auditoria de dados. Um dos principais objetivos desses componentes, ao lado do cumprimento dos compliances, deve ser blindar as instituições e seus executivos contra excepcionalidades que possam comprometê-los como co-réus em processos de terceiros.
Outro ponto a considerar, no sentido da mitigação do risco operacional em processos de missão crítica, é o não sequenciamento do mesmo fornecedor em passos contíguos do processo. A geração da informação deve ser dissociada do controle de acesso/consistência/validação/auditoria/envio. Essa dissociação cria controles independentes, com o "feito-conferido" não subordinado a nenhum dos sistemas de negócio atuais ou que venham a ser instalados no futuro.
Nesse cenário surgem questões relacionadas com o eventual risco da integração entre diferentes fornecedores. Esse risco hoje está totalmente superado. O mercado obrigou todos os fornecedores a desenvolverem rotinas de integração totalmente seguras e transparentes, que operam em um grande número de instalações. Fornecedores que eventualmente apresentem dificuldade nesses processos representam, por si só, um risco operacional e uma dependência significativa, que devem ser evitados.
Algumas vezes essas características não são devidamente avaliadas e as instituições são levadas a operar o CCS e o BACEN JUD como extensão dos seus sistemas de negócios, com os mesmos níveis de consistência, validação, proteção, controle de acesso e auditoria de dados dos informes financeiros/operacionais, como o COSIF e os CADOCs.
No momento em que as Instituições de Pagamento se preparam para ingressar em um novo ambiente regulado é importante conhecer e distinguir corretamente os requerimentos de cada uma dessas novas demandas, para escolher a solução mais adequada para cada uma delas. A escolha correta concorrerá para o melhor cumprimento das obrigações e a mitigação dos riscos associados.