Escolar Documentos
Profissional Documentos
Cultura Documentos
FACULDADE DE CIÊNCIAS
DEPARTAMENTO DE MATEMÁTICA E INFORMÁTICA
CURSO DE MESTRADO EM SISTEMAS DE INFORMAÇÃO
i
AGRADECIMENTOS
Em primeiro lugar, agradeço à Deus pelo dom da vida e pelas graças concedidadas ao longo
dos 2 anos da minha formação e de forma particular na realização deste trabalho.
Pelo encorajamento e sugestões, sou grato a Rossana Abdul Carimo, aos docentes e a
direcção do mestrado, e aos colegas do curso de Sistemas de Informação do Departamento de
Matemática e Informática.
O meu muito obrigado vai ainda para Lordina, Oneyll, Lekyshia e Lushiyel por terem estado
sempre do meu lado dando o seu apoio, carinho, amor e, acima de tudo, a sua compreensão
nos momentos em que os deixava sozinhos.
ii
ÍNDICE
AGRADECIMENTOS ..............................................................................................................ii
ÍNDICE DE FIGURAS.............................................................................................................. v
Resumo ....................................................................................................................................vii
Abstract ...................................................................................................................................viii
iii
4.1. Infra-Estruturas da Banca Electrónica e o Processo de sua Implementação ................. 35
REFERÊNCIAS BIBLIOGRAFICAS..................................................................................... 68
ANEXOS ................................................................................................................................. 75
iv
ÍNDICE DE FIGURAS
Figura 1: Framework de pesquisa .............................................................................................. 6
Figura 2: Rede de ATM (Khalifa & Saadan 2013) .................................................................. 22
Figura 3: Rede de ATM e POS que operam em Moçambique ................................................ 23
Figura 4: Sistema de transmissão de dados na rede SMS. (Banerjee at el, 2011) .................. 26
Figura 5: Sistema de transmissão de dados na rede WAP. (Banerjee at el, 2011) ................. 27
Figura 6: Processo de execução de uma operação bancária através de ATM ......................... 38
Figura 7: Exemplo de menu de um ATM (webpage1, 2014& webpage2, 2014) .................... 40
Figura 8: Exemplo de menú do standalone mobile application cliente (webpage1, 2014) ..... 44
Figura 9: Processo de Gestão de Risco (adaptado – ISO, 2009 e COSO, ) ............................. 53
Figura 10: Relação entre Aspectos de Gestão de Risco Operacional e as Instituições
bancárias. ................................................................................................................................. 62
v
ÍNDICE DE TABELAS
Tabela 1: Exemplo da Matriz de Risco .................................................................................... 32
Tabela 2: Infra-estruturas da banca electrónica disponíveis em cada Banco ........................... 36
Tabela 3: Processo de Gestão de Risco Operacional nas Instituições em estudo .................... 47
Tabela 4: Exemplo de Mapeamento de risco ........................................................................... 57
Tabela 5: Comparação dos principais aspectos de gestão de risco .......................................... 61
vi
Resumo
Palavras chaves: Banca Electónica, ATM, POS, Internet Banking, Telefone Banking, Banca
Móvel, Gestão de Riscos Operacional
vii
Abstract
The information technology and communications are now an important factor in the
development of the financial sector. It is perceptible in Mozambique that several banks makes
investments in information systems and technologies. These investments represents way to
improve the workflow, ensure the competitiveness and provide better customer service.
A new way for providing banking products and services through infrastructure of e-banking
is coming up, such as ATM, POS, Internet Banking, Telephone Banking and Mobile Banking,
where the technology of information and communication is essential. Various banking
operations can be performed through these infrastructures, anytime and anywhere.
Transactions made through these infrastructures add or increase the level of exposure to
operational risk in banking institutions. Several models of operational risk management can
be used. This report presents a model of risk management that can be applicable to e-banking
infrastructures. The model provides a simplified structure that consists of the definition of
external and internal factors, which include the specific categorization of the type of
operational risk, risk factors, likelihood and impact, and the description of cause of the risk.
With the propuse of better management of operational risk the Central Bank of Mozambique
has established guidelines, which are published in the Bank Notice, “Aviso” 04/GBM/2013.
At the present the banks institutions are concerned with the mitigation of operational risk
through implementation of internal control procedures or mechanisms and the
implementation of the above mentioned bank notice is stil in embryonic stage.
Key words: e-banking, ATM, POS, Internet Banking, Telephone Banking, Mobile Banking,
operational risk management
viii
Lista de abreviaturas
ix
CAPÍTULO 1 – INTRODUÇÃO
A banca electrónica é considerada, de acordo com Ndlovu & Sigola (2013), como uma forma de
disponibilizar serviços e mercados financeiros através da computação e da comunicação
electrónica. Diversas formas da banca electrónica são implementadas nas instituições bancárias
em todo mundo.
As instituições bancárias em Moçambique não estão alheias a este fenómeno, sendo que estas
estabelecem diversas formas da banca electrónica tais como Internet banking, Telefone banking,
Caixa Automática também conhecida por Automated Teller Machine (ATM), Terminal de
Pagamento Automático (POS), Banca Móvel, ordem de pagamento, ordem de transferência e
compensação electrónica de cheques, com os quais são realizadas as operações bancárias como
levantamento e transferência de numerário, consulta de movimentos, pagamento de serviços e
entre outras operações (Banco de Moçambique, 2010).
O termo infra-estrutura da banca electrónica é usado, ao longo deste trabalho, para designar as
diversas formas da banca electrónica. No entanto, são consideradas neste trabalho apenas as
infra-estruturas de ATM, POS, Internet banking, Telefone banking e Banca Móvel
implementadas em 6 instituições bancárias em Moçambique.
1
A implementação dessas infra-estruturas é fortemente dependente das tecnologias de informação
e comunicação, o que faz com que as instituições bancárias tenham um incremento do nível de
exposição ao risco operacional existente ou o surgimento de novas exposições ao risco
operacional.
O risco operacional constitui um fenómeno muito antigo, embora tenha começado a ganhar
relevância nas últimas décadas, com as ocorrências das crises financeiras internacionais.
Contudo, várias instituições como JP Morgan (Julho de 2012), UBS AG (Setembro de 2011),
Bernard Madoff (Setembro de 2009), SocGen (Janeiro de 2008), Allied Irish Bank (Fevereiro de
2002), NatWest (Março de 1997), Barings Bank (Fevereiro de 1995), só para citar alguns
exemplos de casos históricos, registaram elevadas perdas financeiras resultantes de deficiências
do processo de gestão do risco operacional.
Este tipo de risco está presente em qualquer actividade de uma instituição bancária. Deste modo,
o presente trabalho procura desenvolver um modelo conceptual que permita gerir esse tipo de
risco em infra-estruturas da banca electrónica nas instituições bancárias que operam em
Moçambique.
Por outro lado, tratando-se da gestão de risco operacional um tema que pode ser considerado
emergente nas instituições e a tendência actual de expansão rápida das tecnologias de informação
e comunicação em Moçambique, onde as transações bancárias tradicionais tendem a ser
substituidas pelos novos paradígmas na disponibilização de produtos e serviços bancários, várias
questões podem ser levantadas com vista a tratar as incertezas.
2
como principal catalisador a difusão das tecnologias de informação e comunicação. As
instituições bancárias tem sido este catalizador.
Deste modo, as instituições bancárias que operam no mercado moçambicano não estão alheias a
este fenómeno, onde estas assumem uma postura inovadora no que diz respeito:
O risco operacional na banca electrónica também deriva de vários outros factores, tais como:o
comportamento e/ou postura das partes interessadas; forte dependência tecnológica das infra-
estruturas da banca electrónica; necessidade de regulamentação da banca electrónica e definição
dos processos internos.
Objectivo Geral:
3
Objectivos Específicos:
Que abordagem pode ser adoptada para gerir risco operacional em infra-estruturas da
banca electrónica nas instituições bancárias em Moçambique?
4
processo de gestão de risco operacional que actualmente ocorre. O capítulo 5, dedica-se a análise
dos modelos de gestão de risco operacional e proposta do modelo conceptual de gestão de risco
operacional; é feita também a comparação das constatações do processo de gestão de risco e do
modelo conceptual proposto. Por fim, o capítulo 6, contém as principais conclusões da pesquisa,
bem assim as recomendações e limitações.
5
CAPITULO 2 – ABORDAGEM METODOLÓGICA
Este capítulo discute como a pesquisa foi desenvolvida, os métodos e as estratégias que foram
empregues para o alcance do objectivo estabelecido tendo como base princípios da metodologia
científica. É descrito, também neste capítulo, o método usado para a recolha e tratamento de
dados, bem como a amostra considerada para a realização da pesquisa.
A revisão bibliográfica foi uma das fases mais empregues e que caracteriza esta pesquisa. Esta
fase foi muitas vezes executada em paralelo com as demais fases como ilustra a Figuara 1.
6
Qualquer projecto de pesquisa possui uma estratégia que define o plano a ser seguido para a
recolha de dados, análise crítica de dados e aprsentação de resultados.
No entanto, a informação ou dados colhidos, notas de campo e a sua análise consite em materiais
textuais como transcrições de entrevistas, documentos, sites de Internet e/ou material visual que
documenta as experiências individuais nas funções que executam (Saldaña, 2011).
Este cenário levou a optar por uma pesquisa qualitativa, onde podesse envolver um número
reduzido de entrevistados para o entendimento do processo de gestão de risco operacional dessas
infra-estruturas nas instituições bancárias. Não só o entendimento do processo, mas também a
necessidade de analisar a eficácia dos modelos de gestão de risco operacional adoptados por
essas instituições bancárias.
Quanto ao tipo de pesquisa, existem vários que podem ser adoptados para encontrar a resposta de
um determinado problema em análise. Sub ponto de vista de procedimentos técnicos, uma
pesquisa pode ser considerada do tipo estudo de caso. Este tipo de pesquisa foca-se na análise
7
detalhada de uma situação, unidade ou acontecimento e tudo pode ser um caso: uma pessoa, um
grupo, um evento, uma organização (Saldaña, 2011).
Dado que esta pesquisa procura explorar o processo de gestão de risco operacional de infra-
estrutura da banca electrónica em 6 instituições bancárias, e sendo este um estudo qualitativo, é
apropriado considera-lo como do tipo estudo de caso. Por outras palavras, a pesquisa é um
estudo de caso pelo facto de procurar o detalhe do processo de gestão de risco operacional nas
diversas infra-estruturas da banca electrónica em cada instituição identificada para o presente
estudo.
Para o tipo de pesquisa aqui abordado, definiu-se uma amostra tendo em conta que esta consiste
num subconjunto de uma população, podendo ser constituída por qualquer número de elementos
dessa população. Várias técnicas são usadas para seleccionar a amostra da pesquisa. De acordo
com Kumar (2008) as amostras podem ser do tipo amostragem probabilística e amostragem não
probabilística.
8
Por conglomerado: a população é dividida em grupos mutuamente exclusivos e
colectivamente exaustivos. Deste modo, grupos de elementos são escolhidos
simultaneamente.
Amostragem não probabilística: as amostras são escolhidas por critérios subjectivos de acordo
com a experiência do pesquisador e ou objectivos do estudo. Neste caso não é conhecida a
probabilidade de escolha de um determinado elemento da população. Este tipo de amostragem
pode ser subdividida em:
Por cota: o pesquisador procura uma amostra que se identifica, em alguns aspectos, com
a população. É necessário conhecer, apriori, a distribuição na população de algumas
características controláveis e relevantes para o delineamento da amostra.
Ainda, para Kumar (2011) uma pesquisa de natureza qualitativa preocupa-se em realizar estudos
com profundidade em amostras pequenas e seleccionadas intencionalmente.
Deste modo, foram escolhidas, para esta pesquisa, as instituições bancárias que disponibilizam
aos seus clientes no mínimo 4 infra-estruturas da banca electrónica. Visto que, nem todas as
instituições disponibilizam esse número de infra-estruturas da banca electrónica foram escolhidas
6 instituições bancárias (designadamente por: Banco A, Banco B, Banco C, Banco D, Banco F e
Banco E) num total de 18 bancos que operam em Moçambique por se considerar ao alcance do
pesquisador e por terem mostrado disponibilidade em colaborar na pesquisa.
9
2.4 Técnicas de recolha de dados
As técnicas de recolha de dados permitem orientar ao pesquisador na obtenção de dados que lhe
possibilita responder as questões da pesquisa. No entanto, na presenta pesquisa foram usadas as
seguintes técnicas: entrevistas, questionários, observação, revisão documental e consulta das
páginas web das 6 instituições.
Entrevista
O processo de obtenção de dados iniciou com uma solicitação, por carta e pelo telefone, a 6
instituições bancárias previamente seleccionadas. Tendo sido possível marcar entrevistas com 4
gestores e 6 técnicos das áreas da banca electrónica, gestão de risco e tecnologias de informação
de apenas 4 instituições bancárias. Duas dessas instituições possuem uma estrutura onde o sector
da banca electrónica é também responsável pela gestão de risco dos produtos e serviços
bancários oferecidos.
O objectivo dessas entrevistas era compreender o processo de implementação e gestão das infra-
estruturas da banca electrónica, bem assim as metodologias e métodos adoptados no processo de
gestão de risco operacional de infra-estruturas da banca electrónica. Contudo, os interlocutores
limitaram-se a abordar com algum detalhe o funcionamento, as configurações básicas das infra-
estruturas da banca electrónica e aspectos básicos do processo de gestão de risco operacional.
Para Huertas (2012) as entrevistas são consideradas técnicas de recolha de dados qualitativos
mais utilizadas envolvendo duas ou mais pessoas. Por outro lado, Simoni & Baranauskas (2003)
consideram que elas visam obter experiências, opiniões, sentimentos e conhecimentos do
entrevistado sobre um determinado tema.
10
Segundo Oliveira (2010), as entrevistas podem ser classificadas em três tipos:
Questionário
Para além das entrevistas com os gestores e técnicos das 4 instituições referidas no ponto
anterior, foram enviados questionários para obter informação adicional sobre o processo de
gestão de risco operacional bem como da implementação das diversas infra-estruturas da banca
electrónica.
Segundo Silva & Menezes (2005), o questionário é uma técnica de recolha de dados que pode ser
utilizada em pesquisas científicas, que consiste em um conjunto ordenado de perguntas que
devem ser respondidas por escrito pelo informante através de técnica de auto-preenchimento.
11
As perguntas são colocadas de forma objectiva, limitada e acompanhadas de instruções para
facilitar o preenchimento. Foi tido em consideração na elaboração das questões para este trabalho
as seguintes áreas: banca electrónica, gestão de risco operacional e tecnologias de informação.
Os objectivos dos questionários são os mesmos abordados na secção de entrevistas.
Internet
Procurou-se, também, obter dados junto das páginas Web das instituições bancárias, onde foram
analisados os produtos, serviços e processos de negócios. Neste tipo de consulta, procurou-se
analisar, para além das instituições bancárias em estudo, todas as que possuíam website.
Deste modo, estas consultas permitiram comparar os produtos e serviços disponibilizados através
de infra-estruturas da banca electrónica. Também as páginas web constituiram fontes de
obtenção da documentação instituicional, como relatórios de conta que descreve, dentre vários
pontos, a estrutura e o processo de gestão de risco dessas instituições.
Consulta bibliográfica
A consulta bibliográfica foi outra técnica usada em todas as fases de execução deste trabalho,
tendo-se cingido mais em bibliografia que abordava temas da banca electrónica e de gestão de
riscos, para além da metodologia de investigação científica.
A consulta bibliográfica é utilizada para vários propósitos numa pesquisa científica, sendo que
permite partilhar os resultados de estudos realizados sobre o tema em análise. Permite ainda
providenciar um framework para definir a importância da pesquisa.
Por sua vez, Creswell (2006) defende que o processo da consulta bibliográfica pode ocorrer em
algumas ou em todas fases do desenvolvimento da pesquisa.
12
Observação
A técnica de recolha de dados por observação, é segundo Oliveira (2010) uma técnica em que o
pesquisador observa (podendo por vezes participar) os participantes no seu ambiente natural ou
contextos “artificiais” criados para o efeito. É uma estratégia muito valorizada na pesquisa onde
fornece-se mais detalhes ao pesquisador. Esta técnica pode ser aplicada tanto em pesquisas
qualitativas como quantitativas, dependendo do processo utilizado.
Uma das características básicas da observação tem sido tradicionalmente o seu não-
intervencionismo. O observador não manipula nem estimula os seus sujeitos.
Para Ferreira et al. (2012) existem três tipos de observação: observação participante, observação
não participante e a observação sistemática.
A observação participante tem sido utilizada por pesquisadores para colher dados cujos
participantes não são facilmente acessíveis por meio de outros métodos, para identificar
os resultados práticos específicos, e documentar os processos.
13
Assim, a técnica de recolha de dados por observação participante foi adoptada para obter dados
sobre a implementação de infra-estruturas da banca electrónica. Também foi usada esta técnica,
para explorar a experiência vivida dos participantes no processo de gestão de risco em
instituições bancárias. Com base nesta técnica, foi possível identificar os processos de negócio
nas instituições em estudo.
A análise de dados é um processo no qual os dados tomam um significado. Para a esta pesquisa
foram analisados dados colhidos no período compreendido entre Fevereiro e Novembro de 2014.
Ainda, Teixeira (2003) defende que a pesquisa é composta por três fases, nomeadamente fase
exploratória, trabalho de campo e tratamento dos dados:
Por fim, é necessário elaborar o tratamento dos dados recolhidos no campo, que pode ser
subdividido em: ordenação, classificação e análise propriamente dita.
14
Contudo, a pesquisa qualitativa é um processo interativo que permite ao pesquisador produzir
dados fiáveis e fidedignos. Por outro lado, o processo de recolha e análise dos dados é recursivo
e dinâmico, além de ser altamente intuitivo.
A fase do tratamento dos dados leva o pesquisador à teorização sobre os dados, produzindo o
confronto entre a abordagem teórica anterior e o que a investigação de campo aporta de singular
como contribuição.
Após a recolha de dados, a fase seguinte da pesquisa é a de análise e interpretação. Estes dois
processos, apesar de conceitualmente distintos, aparecem sempre estreitamente relacionados:
A análise tem como objetivo organizar e sintetizar os dados de tal forma que possibilitem o
fornecimento de respostas ao problema proposto para investigação. Já a interpretação tem como
objetivo a procura do sentido mais amplo das respostas, o que é feito mediante sua ligação a
outros conhecimentos anteriormente obtidos.
A análise de dados é o processo de formação de sentido além dos dados e, esta formação se dá
consolidando, limitando e interpretando o que as pessoas disseram e o que o pesquisador viu e
leu, isto é, o processo de formação de significado. A análise dos dados é um processo complexo
que envolve retrocessos entre dados pouco concretos e conceitos abstratos, entre raciocínio
indutivo e dedutivo, entre descrição e interpretação. Estes significados ou entendimentos
constituem a constatação de um estudo.
Neste trabalho, os dados foram analisados na medida em que era feita a recolha dos dados e,
várias vezes foi necessário reconfirmar junto dos entrevistados e da documentação.
Em estudo qualitativo, o jeito certo para analisar dados é fazê-lo simultaneamente com a sua
recolha. Não há dúvida que sem análise contínua, os dados podem não ter o foco. A recolha e a
análise de dados acontecem simultaneamente dentro e fora do campo.
O processo de análise de dados foi executado em simultâneo com a recolha de dados nas
instituições bancárias em estudo. Contudo, a partir do modelo proposto, dos 3 modelos
analisados (COSO ERM, ISO 31000 e Aviso 04/GBM/2013) e os dados colhidos foi feita a
confrotação com relação ao processo de gestão de risco operacional. Para cada instituição
15
bancária e para cada infra-estrutura da banca electrónica foi feita a análise do cenário por forma
obter o entendimento das exposições ao risco operacional.
Os dados das instituições bancárias foram codificados de acordo com um termo específico.
2.6 SUMÁRIO
A realização desta pesquisa teve em consideração a abordagem qualitativa, visto que, descreve e
analisa os modelos do processo de gestão de risco operacional em infra-estruturas da banca
electrónica. Quanto aos procedimentos técnicos adoptados, a pesquisa é classificada como sendo
estudo de caso, dado que esta, explora detalhadamente o processo de gestão de risco operacional
de infra-estrutura da banca electrónica em 6 instituições bancárias.
Nas amostras, foram escolhidas instituições bancárias que disponibilizam aos seus clientes no
mínimo 4 infra-estruturas da banca electrónica, tendo sido escolhidas, por se considerar que
essas instituições estavam ao alcance do pesquisador e tendo mostrado alguma abertura para
colaboração, sendo codificadas como Banco A, Banco B, Banco C, Banco D, Banco F e Banco
E.
Diversas técnicas de recolha de dados são usadas na execução de um projecto de pesquisa para a
obtenção de dados que possibilitam responder as questões da pesquisa. No entanto, para esta
pesquisa foram usadas as seguintes técnicas: entrevistas, questionários, observação, revisão
documental e consulta das páginas web das 6 instituições.
O processo de recolha e de análise dos dados foi realizado em simultâneo, tendo sido possível
agrupar os dados e permitir a sua interpretação.
16
CAPITULO 3 – FUNDAMENTOS TEÓRICOS
Neste capítulo são abordados conceitos e teorias sobre a inovação tecnologia, como uma forma
de enfatizar o processo inovativo que se verifica nas instituições bancárias, o que a banca
electrónica representa nesta pesquisa e quais os seus benefícios para as instituições e aos clientes,
e ainda o risco operacional e o processo de sua gestão.
Lemos (1999) considera que a inovação radical pode ser entendida como o desenvolvimento e
introdução de um novo produto, novo processo ou forma da organização inteiramente nova,
podendo representar uma ruptura estrutural com o padrão tecnológico anterior. Por outro lado
Tidd, et al (2005) entendem que a inovação radical pode envolver algo completamente novo ou
uma resposta à condições profundamente alteradas.
Sendo assim, a inovação pode ser um novo produto, um novo serviço, uma nova tecnologia ou
ainda uma nova prática organizacional.
A inovação incremental é referida por Lemos (1999) como sendo introdução de melhorias no
produto ou processo organizacional procurando a sua optimização. Por sua vez Tidd, at el (2005)
defendem que a inovação incremental inicia de algo conhecido e que pode ser aprimorado. É o
tipo de inovação que ocorrem de forma permanente e consiste na necessidade de renovação
contínua das actividades da organização.
Para Rogers (2003) a inovação é uma ideia, prática ou objecto que é percebido como sendo novo
pelo individuo ou unidade de adopção. A visão de Rogers dá-nos a entender que a inovação é um
17
processo de renovação ou de introdução de novidade que pode partir de uma ideia ou de uma
prática existente.
Por exemplo, o Banco A foi o primeiro banco em Moçambique a introduzir serviços de cartões
de débito e crédito, internet banking e cartão pré-pago; e o Banco B foi o primeiro banco a
eliminar o processo de preenchimento de talão de depósito, só para citar algumas inovações que
ocorreram na banca nacional.
Os primeiros sinais da banca electrónica surgem, segundo Kondabagil (2007), por volta de 1968
com aparecimento pela primeira vez do ATM (Autometed Teller Machine). A partir desta altura,
os serviços bancários, virados ao cliente, começam a ser levados a cabo. Os clientes passaram a
realizar as suas próprias transacções como transferências e pagamentos de serviços. O passo
seguinte da banca electrónica, foi o uso de cartões de débito e de crédito em EPOS (Electronic
Point of Sale) para transferência de fundos (Kondabagil, 2007).
18
O desenvolvimento da banca electrónica começa a ser visível e novos produtos e serviços
bancários são criados. O avanço das tecnologias de informação e comunicação permitiu o
desenvolvimento de uma nova face da banca electrónica, surgindo deste modo a banca móvel.
Segundo Banco de Moçambique (2010) estão diponíveis na banca Moçambicana várias infra-
estruturas da banca electrónica, como ATM, Internet Banking, POS, Telefone banking, banca
móvel e sms banking usados para disponibilizar vários produtos e serviços bancários.
O termo banca electrónica pode ser entendido de diversas formas. Para Dashore & Jain (2009),
ela é uma forma de realizar operações bancárias na qual os fundos são transferidos
electronicamente entre instituições financeiras ao invés da troca física do dinheiro, dos cheques
ou outro instrumento negociável.
Por outro lado, FFIEC (2003) e Boateng & Molla (2006) entendem que banca electrónica é o
fornecimento de produtos e serviços novos aos clientes por meio de canais e redes electrónicas
de comunicação. Por sua vez, BIS (2003) consideram que banca electrónica é a provisão de
produtos e serviços bancários através de canais electrónicos como também pagamentos
electrónicos e todos serviços bancários fornecidos por via electrónica.
Ndlovu & Sigola (2013) definem banca electrónica como sendo uma forma de disponibilizar
serviços e mercados financeiros através da computação e da comunicação electrónica. E de
acordo com Salehi & Alipour (2010) banca electrónica é automatização da maneira como são
disponibilizados os novos e os tradicionais produtos e serviços bancários aos clientes através de
meios de comunicação electrónicos e interactivos.
Vários autores como Dashore & Jain (2009), FFIEC (2003), Boateng & Molla (2006), BIS
(2003), Ndlovu & Sigola (2013), Salehi & Alipour (2010), Mobarek (2007), NITSURE (2004),
19
Alagheband (2006) e Kiran at el (2014) entendem que os produtos e serviços bancários da banca
electrónica são fornecidos por via de canais electrónicos como ATM, POS, Internet banking
(usando dispositivo com acesso a um navegador internet, tal como computador, tablet,
smartphone, etc), Telefone Banking (usando telefone fixo ou telemóvel) e Banca móvel (usando
telemóvel), que constituem as diversas infra-estruturas tecnológicas que permitem a realização
de operações bancárias.
Por outro lado, Hanseth (2002) defende que as infra-estruturas de informação são
particularmente emergentes de novas soluções de internet e desenvolvimento de infra-estruturas
de um sector específico do negócio e também através de sistemas de informação integrados.
Esses sistemas podem ser visto segundo Hanseth (2002) como sendo parte da infra-estrutura e a
estratégia para o seu desenvolvimento deve provir das características dessas infra-estruturas.
Deste modo, o mesmo autor argumenta que os sistemas de informação integrados e as diversas
aplicações informáticas podem ser vistas como infra-estruturas.
A infra-estrutura segundo Hanseth (2002) é descrita como um recurso que deve ser partilhado,
ou uma fundação para execução para uma comunidade. Esta descrição pode ser analisada na
20
perspectiva de interrelacionamento de sistemas, organização e a sociedade, onde há partilha de
dados, interoperabilidade dos sistemas, permitindo deste modo, a maior abrangência de usuário
da infra-estrutura.
Nota-se também que, cada uma dessas infra-estrutura disponibiliza os produtos e serviços
bancários a qualquer cliente bancário com acesso a elas. Cada uma dessas infra-estruturas podem
ser entendidas a partir dos detalhes que são apresentados a seguir.
Muitos ATM estão conectados a uma rede interbacária, como Ponto 24 e a SIMO, que
possibilitam às pessoas realizar várias operações bancárias em qualquer máquina dos bancos
onde, a conta não é domiciliária ou mesmo efectuar levantamento fora do país onde a conta é
domiciliária (Harun-Ur-Rashid, 2011).
Harun-Ur-Rashid (2011) considera também que, os ATM actuais podem usar sistemas operativos
como Microsoft Windows e Linux, o que as torna vulneráveis a problemas que ocorrem em
computadores convencionais e, são tipicamente constituidos pelos seguintes dispositivos:
21
Unidade Central de Processamento (CPU) que controla o interface do usuário e
dispositivo de transações. A CPU processa e valida os dados do cliente conectando ao
computador do banco depois da inserção do cartão no ATM;
PIN Pad
Processador de segurança
Para Khalifa & Saadan (2013) os ATMs são baseados no conceito de sistemas de base de dados
centralizado. Os ATMs são conectados à um processador host (host Computer) que é um gatway
para as várias redes de ATM tornando-as disponíveis para os clientes (Figura 2).
Para efectuar uma transacção o ATM deve envia solicitação ao processador host o qual realiza o
roteamento necessário para a rede do banco do cliente. A transacção pode ser roteada para várias
redes antes de achar a rede do banco do cliente. Assim que o roteamento da transação identifica o
banco do cliente é enviada uma mensagem ao processdor host a confirmar a realização da
22
transação com sucesso. Por sua vez, o processador host envia uma mensagem de confirmação ao
ATM, autorizando a realização da transacção do cliente.
Segundo Babatunde & Charles (2013) os ATM contém um identificador da terminal (TID) que
possibilita a identificação do seu sistema de processamento.
Para o caso vertente das instituições bancárias que operam em Moçambique, os ATM usa o
sistema operativo windows e pertencem a diferentes redes interbancárias tais como Autobank,
Autocash, Multirede, a SIMO e Ponto 24 (Figura 3). É de salientar que muitas das instituições
23
que operam em Moçambique estão associados a rede VISA o que lhes permite a realização de
operações em ATM ou POS de diferentes redes interbancárias.
Várias literaturas (Monshouwer & Valverde, 2011; Mendonça & Carneiro, 2004; Milan at el,
2011) abordam o termo POS de diversas formas. Contudo, POS é um dispositivo usado para
processar as transacções realizadas através de cartão de crédito e/ou de débito. Um terminal POS
pode possuir no mínimo os seguintes elementos:
Impressora Térmica Integrada que usa aquecimento aplicado ao papel especial (térmico)
para produzir impressão do talão. O sistema de carregamento de papel é bastante
simplificado, basta inserir a bobina no compartimento de papel, puxar um pouco o papel
para que fique para fora e fechar a tampa.
Leitor de cartões magnéticos que está incorporado na lateral direita possui um ícone que
mostra a direcção de inserção adequada do cartão. Este elemento tem a capacidade para
ler três trilhas simultaneamente da faixa magnética de um cartão de crédito.
Leitor de Smart Card que está incorporado na parte frontal do terminal. O leitor Smart lê
Cartão Smart contém um ICC (Chip de Circuito Integrado) para armazenar contas,
transacções e outros tipos de informações pessoais. Possui características rigorosas de
segurança para assegurar a validade do cartão e do usuário.
24
Como foi abordado no ponto anterior, os POS também estão interconectados a uma rede
interbancária como ilustra a figura 3.
Internet banking
Barnard (2013) entende que internet banking permite que o utilzador faça a gestão da sua conta
bancária e execute transações finaceiras na internet ao invés de recorrer ao caixa no balcão ou ao
telefone para realizar as operações. Matos (2013) defende que o seu uso remota desde os anos
80, com surgimento de primeiros bancos no mundo a oferecerem aos seus clientes serviços
processados pelos meios electrónicos.
Para que um banco ofereça o serviço de internet banking, necessita de um servidor (próprio ou
de terceiro), um website, um endereço electrónico que indica a localização do website no
servidor, links e protocolos de segurança (Estrada, 2005). No entendimento de Estrada (2005) o
servidor fará a ligação do banco com a rede mundial de computadores e, portanto, com os
microcomputadores dos clientes. O mesmo autor defede que o banco pode ter o seu próprio
servidor ou pode valer-se do regime de outsourcing (terceirização).
Banca móvel
A banca móvel também designada mobile banking ou simplesmente m-banking, segundo Sharma
(2011), deve ser entendida como sendo provimento de serviços bancários para os clientes a partir
dos seus dispositivos móveis. Por sua vez, Cernev (2010) considera a banca móvel como um
conjunto de serviços bancários móveis que envolve o uso de tecnologia e dispositivos portáteis
conectados a redes de telecomunicações moveis e permite ao utilizador realizar pagamentos,
transações e outros serviços financeiros.
A banca móvel é uma inovação tecnologica recente no sector bancário que de acordo com
Cernev (2010), Emmanuel (2007) e Banerjee, et al. (2011) pode ser disponibilizado por meio das
seguintes tecnologias:
25
Short Messaging Service (SMS) - utiliza a tecnologia de mensagens curtas das
operadoras de telefonia móvel para efectuar transacções bancárias, onde o cliente envia
um SMS contendo comandos da operação pretendida que é enviado para um número
específico. Neste caso, o envio dos SMS é iniciado pelo cliente. Em alguns bancos
nomeadamente Bancos A, B, F e D, enviam mensagens aos seus clientes sem que estes
iniciem um pedido de informação. Estas mensagens muitas vezes são de alerta, dando a
indicação de algum movimento na conta bancária do cliente. A Figura 4 mostra esta
interação entre o cliente e o seu banco usando esta tecnologia.
26
como ocorre no internet banking. Os bancos mantém os sites WAP que são acedidos
pelos clientes a partir de um navegador WAP compactível com os seus telefones móveis
(Figura 5). Os utilizadores de aplicações móveis acedem os sites dos bancos através de
gateway WAP para realizar operações bancárias, tal como os utilizadores de internet
acedem ao portal web para ter acesso aos serviços bancários. Um gateway WAP é um
ponto de acesso a internet a partir da rede móvel.
Interactive Voice Response(IVR) o acesso aos serviços bancários dá-se a partir de uma
chamada telefónica para um número IVR específico, que é fornecido pelo banco. As
chamadas são atendidas por uma mensagem gravada e é disponibilizado o menu dos
27
diferentes serviços bancários prestados. O cliente pode escolher as opções dos serviços
pressionando a tecla correspondente do seu telefone móvel e de seguida é lida a
informação correspondente. A banca móvel baseada nesta tecnologia apresenta uma
grande limitação, devendo apenas ser usada para serviços de consulta de informação. A
sua implementação envolve custos elevados se comparado com a tecnologia SMS, WAP
ou Standalone Mobile Application Clients.
O cliente para realizar as operações bancárias a partir desta infra-estrutura, necessita de efectuar
uma chamada para um centro de chamadas (call center) do banco que funciona 24 horas por dia.
O cliente é atendido por um operador do centro de chamadas, que também é empregado do
banco, fornece a informação solicitada após verificar que está a interagir com uma pessoa
autorizada.
Telefone banking é definido segundo Chovanová (2006) como sendo provimento de serviços
bancários usando uma linha telefónica clássica. Esta linha pode ser acedida a partir de um
telefone fixo ou telemóvel. Esta infra-estrutura da banca electrónica não necessita de requisitos
técnicos adicionais do telefone.
Deste modo, importa analisar os benefício que estas infra-estrutura providenciam as instituições
bancárias bem assim dos seus clientes.
28
informação adiciona valor ao negócio proporcionando produtos e serviços bancários em qualquer
lugar, a qualquer hora e de diversas formas.
Diversos estudos sobre os benefícios da banca electrónica foram levados acabo. Segundo Baten
& Kamil (2010), a implementação de infra-estrutura da banca electrónica possibilita a redução de
custos operacionais dos bancos. Este cenário implica a redução da necessidade de abertura de
novos balcões, sendo que, os clientes realizam a maior parte das operações bancárias sem a
necessidade de se deslocar a um balcão. Ndlovu & Sigola (2013) consideram que, por exemplo,
um ATM pode realizar as mesmas operações bancárias, executadas por um operador de caixa no
balcão à metade do custo e com uma maior produtividade.
Com a globalização da industria bancária, os clientes podem efectuar operações além fronteiras
usando infra-estruturas da banca electrónica. Autores como Maimbo at el (2010), defendem
ainda que a banca electrónica pode impulsionar a expansão, o alcance de população não
bancarizável bem como criar facilidades para efectuar transações além fronteiras.
A banca electrónica permite que o cliente faça o acompanhamento dos movimentos da sua conta
bancária sem que seja necessário a colaboração do operador do balcão. Pode reduzir a circulação
do dinheiro físico, visto que as infra-estruturas da banca electrónica permitem, igualmente a
realização de transferência de fundos de uma conta para outra, o que pode minimizar o custo de
produção do dinheiro.
Para além dos diversos benefícios que a banca electrónica podem oferecer, Bhargava & Chouhan
(2007) entendem que esta possui características únicas que podem aumentar o perfil de risco
instituicional, o nível de risco associado aos serviços financeiros tradicionais e de forma
particular do risco operacional.
29
3.5 Risco Operacional
Os ganhos de uma organização são os resultados das actividades desenvolvidas tendo em conta
as diversas exposições do risco operacional. O risco operacional pode ser definido de diversas
maneiras que, segundo o comité de Basileia (BIS, 2003) e (Pareek, 2011) é o risco de perdas
resultante de deficiências ou inadequação dos processos internos, pessoas e sistemas ou de
eventos externos. Esta definição inclui o risco legal, mas exclui os riscos estratégicos e de
reputação.
Por outro lado, Bessis (2010) considera que o risco operacional resulta do mau funcionamento do
sistema de informação, das regras internas de monitorização de riscos, dos procedimentos
concebidos para tomar acções correctivas em tempo útil ou em conformidade com a política de
risco da instituição.
Como pode-se observar das definições acima, o risco operacional não é um conceito novo na
indústria bancária. Deste modo, o risco operacional em infra-estruturas da banca electrónica pode
ser entendido como resultante de eventos internos e externos, como ineficiência dos seus
processos, interrupção das operações, falhas dos sistemas e tecnologias de informação, erro
humano e não conformidade com a regulamentação.
Para gerir o risco operacional pode-se recorrer há diferentes modelos e técnicas sendo que os
modelos COSO Enterprise Risk Management e ISO 31000 os mais usados e divulgados. Uma
gestão de risco operacional eficiente, de acordo com Bessis (2010), leva a instituição a previnir
crises, falhas, a proteger a sua reputação e a melhorar o desempenho e consequentemente
aumenta estabilidade e a credibilidade do sistema.
30
Essas etapas constituem elementos chaves para um processo efctivo de gestão de risco
operacional para qualquer instituição, independentemente do seu tamanho ou área de negócio.
Assim, iremos a seguir descrever detalhadamente cada uma dessas etapas.
Identificação de Riscos.
O processo de identificação de risco inclui análise e descrição das causas do risco, que
constituem factores originários de risco. As causas do risco podem ser identificadas usando a
técnica de análise causa-e-efeito (ISO, 2009b). A identificação de riscos pode ser realizada
usando diversas outras técnicas tais como brainstorming, Delphi, entrevistas, análise causa –
efeito, análise de cenários, entre outras (Anexo 3).
Avaliação de Riscos.
Terminada a fase de identificação dos riscos operacionais segue a sua análise e avaliação. Nesta
fase, segundo ISO(2009a), determina-se a magnitude da perda ou dano causado pelo risco, tendo
em conta a avaliação do impacto e da probabilidade de ocorrência. Na avaliação do impacto e da
probabilidade deve-se ter em consideração o sistema de controlo interno estabelecido, que inclui
políticas, dispositivos, práticas ou acções com vista a modificação do risco operacional.
Para a norma ISO(2009) várias técnicas podem ser usadas nesta fase, contudo, o presente
trabalho cingiu-se em analisar a técnica de mapeamento de risco.
31
O mapeamento consite na elaboração de uma matriz de risco de cada infra-estrutura da banca
electrónica implementada na instituição. Para Pouchain (2007) a matriz de risco pode ser
utilizada para o processo de avaliação por forma a classificar os riscos de acordo com a sua
magnitude. Desta forma, é possível definir-se estratégias de tratamento de riscos operacionais de
maior magnitude.
A matriz de risco faz a distinção da exposição aos riscos com base na criticidade e no
aprimoramento dos controlos. A matriz de risco é representada com base em duas variáveis:
probabilidade de ocorrência e impacto que são medidos numa escala de medida com graduação
de 5 níveis como ilustra a Tabela 1.
1 2 3 4 5
Probabilidade
A matriz de risco está dividida em três zonas possíveis de intervenção. A zona verde corresponde
aos riscos operacionais com nível de exposição baixo e que não requer uma acção ou decisão
imediata para a sua mitigação. A avaliação de riscos que incidir na zona amarela, correspondente
ao risco Médio, requer que sejam tomadas medidas de mitigação eficientes. Para os riscos que
incidam na zona vermelha, correspondentes aos riscos Altos, deve-se tomar de imediato medidas
adequadas para sua mitigação.
Acompanhamento.
A melhoria contínua deverá acontecer ao longo do processo de gestão de riscos. De acordo com
Souza (2011) esta fase consiste no acompanhamento contínuo dos riscos identificados, controlo
32
das estratégias adoptadas para o tratamento dos riscos e análise das ocorrências ou incidentes. A
ISO (2009a) considera que os critérios de riscos poderão ser alterados, novas ocorrências
poderão incrementar as listas de riscos e as oportunidades poderão ser consideradas.
Por sua vez, o contexto interno e externo podem sofrer alterações e a instituição aprende com
seus sucessos e falhas. Esta fase inclui a avaliação do ambiente de controlo implementado, tendo
em conta a eficiência e a eficácia dos mesmos.
Controlo.
Nesta fase, as instituições devem ter estabelecidas as políticas, normas e procedimentos que
definem os níveis aceitáveis de exposição dos diferentes riscos associados à sua actividade
(COSO, 2004 & Aviso 04/GBM/2013). Para a ISO (2009) esta fase envolve a selecção de uma
ou mais opções para modificar os riscos e a sua implementação. Uma vez implementadas as
medidas de mitigação, surgem novos controlos ou modificação dos já existentes. Ainda para a
ISO (2009a) aqui são implementados os planos de acção para tratamento dos riscos que em geral,
podem ser:
Redução da consequência;
33
3.7 SUMÁRIO
O termo banca electrónica pode ser entendido de diversas formas, sendo que para Dashore &
Jain (2009) é uma forma de realizar operações bancárias na qual os fundos são transferidos
electronicamente entre instituições financeiras ao invés da troca física do dinheiro, dos cheques
ou outro instrumento negociável. A banca electrónica é disponibilizada através de infra-
estruturas como ATM, POS, Internet banking, banca móvel e Telefone Banking.
Neste capítulo, são enumerados alguns benefícios que as infra-estruturas da banca electrónica
oferecem aos clientes, bem assim as instituições bancárias. Para além dos benefícios, essas infra-
estruturas estão expostos ao risco operacional como qualquer instituição ou actividade. Neste
sentido, é apresentado aqui o conceito do risco operacional e processo de sua gestão. O processo
de gestão de risco operacional constituido pelas seguintes etapas: Identificação, Avaliação,
Acompanhamento e Controlo.
34
CAPITULO 4 – CASO DE ESTUDO - INFRA-ESTRUTURASDA BANCA
ELECTRÓNICA E PROCESSO DE GESTÃO DE RISCO OPERACIONAL
O sector bancário em Moçambique tem mostrado, nas últimas décadas, melhorias significativas,
caracterizadas pela inovação dos seus produtos e serviços disponibilizados com base nas
tecnologias de informação e comunicação. Esta inovação permite que os clientes tenham acesso
à esses produtos e serviços, usando canais electrónicos de forma cómoda e a qualquer hora do
dia. Esses canais electrónicos são interligados através das redes interbancárias.
Em Moçambique existem várias redes interbancárias que operam de forma isoladas, tendo a
destacar as seguintes redes associadas aos Bancos A, B, C, D, E e F: rede Ponto24, a Multirede, a
Austocash, Autobank e a rede da SIMO. Algumas dessas redes estão associadas, apenas, há uma
instituição bancária, como é o caso da Multirede, da Autocash e Autobank.
As operações bancárias realizadas nestas redes, são integradas através da rede VISA. Esta
integração possibilita, por exemplo, que o cliente do Banco A efectue operações bancárias que
terminam em qualquer outra instituição bancária sem a intervenção de um operador, isto é,
através de infra-estruturas da banca electrónica.
35
De acordo com o boletim do Banco de Moçambique (Banco de Moçambique, 2010) as infra-
estruturas da banca electrónica disponibilizadas pelas instituições bancárias são as seguintes:
Caixa Automática (ATM), Terminal de Pagamento Automático (POS), internet banking,
Telefone banking e banca móvel.
No entanto, o ATM, o POS, o Internet Banking e a banca móvel são disponibilizados pelas 6
instituições acima referidas, ao passo que o telefone banking é disponibilizado apenas pelo
Banco A.
36
Como pode-se notar, nesta Tabela 2, 17 bancos fazem o uso de pelo menos uma infra-estrutura
da banca electrónica, para disponibilizar os seus produtos e serviços. Esses dados foram
compilados a partir das páginas web desses instituições bancárias.
No entanto, as infra-estruturas de ATM e POS são as mais disponibilizadas (cerca de 733 ATM e
4731 POS) e as mais usadas segundo Banco de Moçambique (2011).
Por outro lado, observa-se ainda que no universo de 18 instituições bancárias, 17 oferecem
produtos e serviços por via de ATM e POS, sendo a infra-estrutura da banca móvel é
implementado nas 8 instituições bancárias referidas na tabela 2, de diversas maneiras através de
tecnologia SMS, USSD e Aplicativos móveis.
As secções a seguir irão detalhar o processo de execução de operações bancárias bem assim os
produtos e serviços bancários disponibilizados através de ATM, POS, internet banking, Telefone
banking e banca móvel.
A validação dos dados do cliente (cartão e PIN) e a execução da operação bancária são
efectuadas ao nível do processador host. O processo de validação dos dados do cliente é feita
sempre que o cliente queira executar uma operação.
Em caso de necessidade para executar operações bancárias com cliente de uma outra rede
interbancária, o processador host efectua o roteamento do pedido para a rede do banco do cliente.
Este cenário ocorre, por exemplo, quando o cliente do Banco A pretende executar uma operação
37
no ATM dos Bancos B, C, D, E ou F. Por outro lado, os clientes dos Bancos B, E e F podem
realizar as operações em ATM desses Bancos sem rotear as operações para uma outra rede, pois,
estão em uma rede interbancária comum. Para este último cenário, o roteamento poderá ser feito
para o banco do cliente.
A figura 6 ilustra ainda o processo de execução de qualquer operação bancária que o cliente
pretenda executar e as diferentes iterações. Como pode-se observar o processador host
desempenham um papel preponderante tanto nas comunicações como na execução da propria
operação.
38
De acordo com a análise efectuada nas 6 instituições bancárias, o ATM é usado para efectuar
operações de depósitos de numerário e, largamente usado para realizar as seguintes operações
bancárias:
Levantamentos: onde é possível efectuar levantamentos até cinco mil meticais (Moeda
Nacional) por cada operação.
Compras de recargas: pode-se adquirir diversos tipos de recargas das entidades como
Mcel e Vodacom (recargas para telemóvel), Teledata e In (recargas para internet). Na
compra de recarga o ATM imprime um recibo com os detalhes da recarga.
Adesão aos serviços como Internet banking e Banca móvel, para os bancos da rede
Ponto 24.
Deste modo, no que se refere as operações realizadas por via de ATM variam de uma rede
interbancária para outra. Por exemplo, a figura 7 mostra os menus das operações que podem ser
realizadas num ATM de duas das redes interbancárias que operam em Moçambique.
39
Figura 7: Exemplo de menu de um ATM (webpage1, 2014& webpage2, 2014)
Estes dispositivos permitem que um indivíduo detentor do cartão de débito ou de crédito tenha
acesso em tempo-real dos fundos e informação da sua conta bancária.
No entanto, o processo de execução das operações bancárias por esta via, obedece aos critérios
similares dos descritos anteriormente para a infra-estrutura de ATM.
Esta infra-estrutura requer o fecho das operações, onde todas operações realizadas são impressas
e no mesmo instante enviadas para o processador host.
Observa-se que os POS permitem ao comerciante realizar operações bancárias tais como:
Compras: usando o cartão de débito ou de crédito, o cliente pode pagar as suas compras.
Caso o cliente preferir o cartão de débito para pagar as suas compras, o valor será
debitado na sua conta bancária. E caso opte por pagar com cartão de crédito, o valor da
compra será deduzido do seu limite de crédito.
40
Consulta de Saldo: permite consultar o saldo disponível de um cartão de débito.
Internet banking não é nada mais que serviços bancários providenciados por meio de um
navegador web usando um computador, laptop, smartphone ou tablet. O cliente deve possuir um
código de utilizador, um código de acesso e um código de autorização para poder realizar as
operações bancárias.
As instituições bancárias exigem para o acesso às operações de consultas que, o cliente forneça
apenas o código do utilizador e o código de acesso, ao passo que para a realização de operações
como transferências, pagamentos e compras requer a inserção adicional do código de
autorização.
41
O código de autorização é implementado de forma diferenciado de instituição para instituição.
Algumas instituições como o Banco A enviam o código de autorização para o telemóvel do
cliente. Este código é gerado para cada operação bancária que se pretenda efectuar. Noutras
instituições, o código de autorização é criado de forma similar ao código de acesso, que consiste
numa combinação de letras, números e caracteres especiais.
Neste caso, o cliente tem acesso as operações bancárias a partir da página web do banco que é
acedida através da internet fornecida por um providor (ISP – Internet Service Provider). Depois
do acesso a página web que permite realizar as operações bancárias, o cliente pode navegar pelos
menus existentes.
Dentre várias operações disponibilizadas através de Internet banking dos bancos que operam em
Moçambique, destacam-se as seguintes:
42
4.1.4. Implementação da Banca móvel (m-Banking)
Esta última forma de realizar operações bancárias pode ser executada usando a tecnologia USSD
ou Infra-estrutura de ATM.
Após a validação do número do telemóvel, o processador host envia, por mesma via, o menú
contendo as operações bancárias que podem ser executadas. Ao escolher a operação bancária a
executar, é exigido ao cliente o seu PIN para autorização da operação.
Por outro lado, algumas instituições bancárias como Banco A, banco B, Banco C e Banco D
disponibilizam para download aplicativos standalone mobile application cliente (Aplicativo
Mobile, “Directo App”, “Smartphone banking” e “Mobileplus”) por forma a que os cliente
efectuem as suas operações bancárias.
O aplicativo só pode ser instalado num telemóvel do tipo smartphone com sistema Andoid ou
Iphone. Com base nos dispositivos com esses sistemas e com acesso à internet, o cliente envia
uma mensagem para o sistema servidor para a validação do acesso às operações bancárias.
Contrariamente ao aplicativo mobile, que requer um smartphone para a realização das operações,
na banca móvel por SMS,o cliente pode fazer o uso de qualquer tipo de telemóvel. No entanto, as
operações são executadas a partir de um comando enviado no formato texto para o processador
host. A mensagem enviada inclui os dados para autenticação do cliente. Essas mensagens são
43
enviadas para os números de telemóveis tais como 822424, 842424 ou 842400024 da instituição
bancária do cliente.
Sempre que se pretenda executar as operações bancárias a partir desta infra-estrutura, requer a
intervenção de um operador de telefonia móvel para disponibilizar a ligação entre o dipositivo do
cliente e o seu Banco.
44
4.1.5. Implementação de Telefone Banking (Phone Banking)
Telefone banking é uma infra-estrutura disponibilizada apenas pelo Banco A que consiste na
realização de chamada usando qualquer tipo de telefone. O cliente ao ligar para o Banco é
atendido por um operador. Para efectuar as operações bancárias, o operador solicita os dados de
acesso às operações, bem como os dados de autorização, acrescido de algum historial da conta
que o cliente deve fornecer. Todas as chamadas recebidas no centro de chamadas são gravadas.
No entanto, várias operações bancárias podem ser realizadas usando este infra-estrutura da
banca electrónica:
Pagamento de serviços
Assim, todas essas infra-estruturas abordadas como também qualquer actividade está exposto ao
risco. A seguir é descrita a forma como é realizada a gestão de risco.
45
Embora o aviso traga a obrigatoriedade de apresentação de um plano anual de gestão de risco ao
Banco de Moçambique, que faz a supervisão dessas instituições bancárias, pode-se considerar
embrionário o nível de implementação deste processo, atendendo o período da publicação deste
aviso e a sua entrada em vigor.
Por outro lado, as instituições bancárias já vinham implementando o processo de gestão dos
principais riscos que cada uma delas considerava importante gerir, sendo a gestão de risco
operacional tratada com pouca profundidade comparada com a gestão dos demais tipos de riscos
a que estão expostos.
Nota-se que o risco operacional é gerido nestas instituições numa perspectiva centralizada, sendo
tratado de forma holística e está assente na adequação do ambiente de Controlo Interno com uma
forte intervenção da função da Auditoria Interna no processo de revisão dos controlos
implementados.
Na maioria dessas instituições (5), o risco operacional é tratado por uma entidade que se dedica a
sua gestão e sendo implementado de forma diferenciada, de instituição para instituição.
Importa referir que o processo de gestão de risco operacional deve consistir em identificar os
potenciais riscos operacionais a que cada uma das infra-estruturas da banca electrónica está
exposta, efectuar a sua avaliação tendo em conta a probabilidade de ocorrência e do seu impacto,
efectuar o devido acompanhamento e controlo. Da análise efectuada observa-se ainda que, 4
instituições bancárias não fazem a identificação, a avaliação, acomapnhamento e controlo do
risco operacional, de acordo com os 3 modelos abordados nesta pesquisa.
Contudo, essas instituições bancárias têm usado alguns mecanismos de gestão de risco
operacional que consistem em assegurar a segregação de funções, definição dos papéis e linhas
de responsabilidades e respectivas autorizações, definição dos limites de tolerância e exposição
aos riscos, definição de controlos de acesso físico e lógicos, realização de reconciliações,
produção de relatórios de excepções, contratação de seguros, implementação de acções de
formação internas sobre os processos de negócio, produtos e sistemas.
A Tabela 3 ilustra a compilação das diferentes abordagens da gestão de risco nestas 6 instituições
em análise.
46
Tabela 3: Processo de Gestão de Risco Operacional nas Instituições em estudo
47
Instituição Abordagem de Entidade de Gestão Instrumentos de Gestão
Etapas de Gestão de Risco Operacional
Bancária Gestão de risco de Risco de Risco Operacional
Comissão Executiva,
Sistema de Controlo
Banco E Centralizada. Comité de Risco, Controlo e Vigilância.
Interno.
Comité de Auditoria.
48
Pode-se observar da análise efectuada a documentação disponibilizada que a estratégia adoptada
por essas instituições permite, de acordo com entendimento destas instituições, assegurar a
eficácia e a eficiência das operações executadas, bem assim a observância das leis e
regulamentos instituidos através de mecanismos de controlo interno.
Observa-se também que as 6 instituições não abordam de forma clara nem específica as técnicas
e métodos usados no processo de gestão de risco operacional, limitando-se numa abordagem
mais genérica e focada ao ambiente de controlo interno.
4.4 SUMÁRIO
49
CAPITULO 5 – ANÁLISE E DISCUSSÃO DE RESULTADOS
Neste capítulo, é feita a confrontação da situação actual e do referencial teórico sobre o processo
de gestão de risco operacional. Para tal, são considerados três modelos de gestão de risco,
nomeadamente COSO ERM, ISO 31000 e o Aviso 04/GBM/2013. Com base nos pressupostos
colhidos das entrevistas e das consultas da documentação bem como dos três modelos, foi
desenvolvido um modelo conceptual de gestão de risco operacional e uma proposta para a sua
implementação. Por último, é feita a confrontação das constatações e das contribuições do
modelo conceptual proposto.
Um dos critérios usado na selecção da amostra foi a identificação de instituições bancárias que
disponibilizam pelo menos 4 infra-estruturas da banca electrónica. Assim, foram seleccionadas 6
instituições bancárias, designadamente Bancos A, B, C, D, E e F. Estas instituições têm vindo a
implementar diferentes infra-estruturas da banca electrónica, como ATM, POS, Internet banking,
Banca Móvel e Telefone Banking para disponibilização de produtos e serviços inovadores.
O processador host faz com que as mensagens enviadas ao banco, através das infra-estruturas
como ATM, POS, Internet Banking e Banca Móvel sejam, muitas vezes, por si validadas e
executadas. De seguida, este envia mensagem para actualização dos dados no sistema principal
do banco do cliente. Em caso de operações que afectam com contas bancárias de instituições que
50
pertencem à redes interbancárias diferentes, o processador efectua o devido roteamento da
mensagem.
Todas essas instituições bancárias estão interligadas a partir da mesma rede interbancária VISA,
que é uma empresa mudial de tecnologia de pagamentos e apoia os clientes dos bancos a
realizarem pagamentos electrónicos.
No entanto, serão abordados a seguir os diferentes modelos que podem ser usados na gestão de
risco operacional de infra-estrutura banca electrónica.
Os modelos de gestão do risco mais divulgados e implementados, COSO ERM e ISO 31000, são
compostos por diferentes etapas que devem ser seguidas por forma a se alcançar o resultado
desejado.
51
Os modelos COSO ERM e ISO 31000, bem assim as directrizes de gestão de risco operacional
abordam o processo de gestão de risco de forma muito genérica e num contexto de gestão global
da instituição.
Para o caso das 6 instituições bancárias identificadas para o presente estudo, nota-se algum
interesse no processo de gestão de risco operacional. Entretanto, em algumas instituições como
Banco A e Banco B, implementam ferramentas para identificar, avaliar a exposição ao risco
operacional, avaliar o sistema de prevenção e controlo, e a mitigação dos riscos operacionais.
Para tal, essas instituições utilizam a ferramenta para a Auto-avaliação de Risco e Controlos
(Risk and Controls Self-assessment – RCSA), que lhes permita efectuarem a medição do risco
operacional considerando várias categorias.
O Banco A e o Banco B consideram 7 categorias de fontes de risco operacional que lhes servem
de base para classificar, medir a exposição e as perdas, nomeadamente Fraudes Internas, Fraudes
Externa, Práticas de emprego e segurança no local de trabalho, Práticas com clientes, produtos e
práticas de negócio, danos em activos físicos, interrupções das actividades e falhas de sistemas, e
execução, concretização e gestão de processos.
Para a medição dos riscos operacionais, as duas instituições têm em conta a 3 classes de risco:
inerente (risco sem ter em consideração aos controlos e estratégias de mitigação implementadas),
residual (risco remanescente depois de adicionar os controlos e implementar as estratégias de
mitigação) e objectivo (nível de risco que a instituição aceita correr).
Nem todas instituições possuem uma ferramenta que lhes permitam identificar, avaliar, medir e
controlar os riscos operacionais a que estão expostas. Diferentemente do Banco A e Banco B, a
gestão de risco operacional nas restantes instituições está centrada na avaliação dos controlos.
Esta avaliação tem como principal interveniente a área de Auditoria Interna, sendo que não
existe uma estrutura específica de gestão de risco operacional.
52
Depois da abordagem das diferentes formas que instituições bancárias adoptam para a gestão de
risco operacional e os seus constragimentos, constituindo assim bases importantes para o
desenvolvimento do modelo conceptual de gestão de risco operacional. Os detalhes do modelo
conceptual proposto para a gestão de risco operacional são apresentados a seguir.
A figura 9 ilustra o modelo de gestão de risco operacional composto por 4 etapas essenciais. Este
modelo foi desenvolvido a partir dos fundamentos teóricos e da análise dos dados, sendo alguns
dados obtidos nas entrevistas e nos documentos consultados não poder ser referenciados de
forma explícita, dada a sua natureza confidencial.
O modelo irá proporcionar as instituições bancárias que operam em Moçambique, uma estrutura
de gestão de risco operacional que lhes permita controlar eficientemente os níveis de exposição
ao risco para cada tipo de infra-estrutura da banca electrónica.
53
Avaliação de Riscos (que inclui a identificação e mensuração de risco), Comunicação e Reporte,
Monitorização e Revisão, que são caracterizados nas secções a seguir.
Nesta fase, são definidos parâmetros externos e internos a serem levados em consideração ao se
efectuar a gestão de risco operacional. É feita, também a categorização específica sobre o tipo de
risco operacional, factores de risco, probabilidade e o impacto. Esta categorização proporciona
uma linguagem clara e comum para a globalidade dos riscos operacionais.
A categorização deve ser utilizada de forma sistemática em todas fases do ciclo de gestão de
risco operacional. O contexto deve ser dividido em contexto interno e externo em relação a
organização. No contexto interno deve-se analisar sua estrutura organizacional, funções e
responsabilidades, os sistemas de informação que suportam a infra-estrutura da banca
electrónica.
No contexto externo, as questões como o ambiente legal, social, cultural, político, financeiro,
tecnológico, económico, dentre outros, devem ser analisados e avaliados.
Esta avaliação providencia um entendimento sobre os riscos, a sua causa, o impacto e a sua
probabilidade de ocorrência. A tabela 4 mostra a estrutura de mapeamento dos riscos que pode
ser utilizada para registar e mensurar o nível de exposição de cada infra-estrutura da banca
electrónica.
54
a. Identificação de Riscos
Na fase de identificação de riscos devem ser feitas as seguintes questões: O que pode
comprometer o alcance das metas do negócio, do serviço ou produto, ou da infra-estrutura? E o
que origina esse evento adverso?
Achando as respostas a essas questões, estará identificado o risco potencial e a respectiva causa.
Nesta fase, devem ser analisados os eventos internos e externos de cada infra-estrutura. Na
identificação de risco operacional deve-se ter em conta, também aos factores como pessoas,
processo, tecnologia e eventos externos que estão associados a cada infra-estrutura.
Existem várias técnicas e métodos que podem ser usados para identificar os riscos operacionais
(Anexo 3). Com base em entrevistas e consultas aos entendidos em matérias da banca electrónica
realizadas junto as instituições bancárias em análise, foi possível identificar para cada infra-
estrutura, alguns potenciais eventos de risco operacional, como é apresentado a seguir.
Vários riscos podem ser identificados em infra-estrutura de ATM, contudo, a que considerar
alguns exemplos que representam potenciais evnetos de riscos operacionais:
Para a infra-estrutura de POS, podem ser considerados como potenciais eventos riscos
operacionais os seguintes:
55
Deficiências de POS;
Internet banking
Banca Móvel
Quanto a infra-estrutura da banca móvel, podem ser considerados os seguintes potenciais eventos
de riscos operacionais:
Telefone Banking
56
Indisponibilidade do pessoal de atendimento;
b. Medição de Risco
Pode-se usar, também outras medidas para definir o nível do risco tais como: Indicadores Chave
de Risco (KRI) e a Matriz de Risco que inclua a classificação qualitativa ou semi-qualitativa
(Tabela 4). A medição do nível de risco visa, fundamentalmente, definir a estratégia de
mitigação dos risco, seleccionar e/ou classificar os riscos.
57
O modelo de medição aqui apresentado, inclui também a classificação dos tipos de risco e os
factores de risco, que podem variar de uma instituição para outra, de acordo com as actividades
desenvolvidas e o seu tamanho.
Esta tabela ilustra ainda alguns exemplos que podem ser adoptados para o tipo de risco (risco de
transacção, risco de fraude, risco de indisponibilidade, risco de recursos humanos, risco de
outsourcing, risco de irregularidade e outros) e para factores de riscos (pessoas, sistemas,
governança ou processo de negócio e eventos externos).
Nesta fase, são implementadas acções que visam reduzir a probabilidade de ocorrência do risco,
remover a fonte de risco, partilhar com terceiros, evitar a realização de actividades cujo impacto
mostre-se negativo para a infra-estrutura.
Por outro lado, as estratégias envolvem a selecção e implementação de uma ou mais opções para
modificar os riscos. A estratégia de mitigação pode fornecer novos controlos ou modificação dos
já existentes.
A comunicação visa assegurar que todos interessados tenham acesso a informação relevante e
tenham uma visão adequada sobre o nível de exposição ao risco operacional. Deve-se assegurar,
também nesta fase, uma estrutura de comunicação de incidentes por forma a que sejam tomadas
medidas necessárias e oportunas para o seu tratamento.
Por outro lado, o reporte deve ser feito de forma regular e consistente, dando a informação sobre
o nível de exposição ao risco operacional e estratégias de mitigação estabelecidas.
58
O reporte deve constituir elemento essencial do processo de gestão de risco operacional da
instituição.
A monitoria e revisão dos riscos operacionais ocorre de forma contínua ao longo do processo de
sua gestão. As causas de riscos, a frequência e o impacto dos e riscos poderão ser alterados e
novas ocorrências poderão surgir a incrementar o mapa de riscos que deverão ser considerados.
O contexto interno e externo podem sofrer alterações e a instituição aprender com seus sucessos
e falhas. Deste modo, deve-se assegurar uma monitoria e revisão dos riscos identificados, bem
assim do tratamento dos incidentes.
Qualquer projecto, dentro de uma instituição, requer apoio da gestão do topo para alcançar os
objectivos definidos. Esta ideia também é sustentada nas directrizes de gestão de risco
operacional, onde são definidas as responsabilidades da gestão do topo pela criação da cultura de
gestão de risco operacional na instituição de uma forma holística.
As entrevistas conseguidas junto dos gestores e quadros seniores das instituições em análise,
proporcionaram algum entendimento sobre o compromisso que é assumido pela gestão do topo
com relação ao processo de gestão de risco operacional. Foi possível observar o envolvimento da
gestão executiva ou de um comité de gestão ou ainda do conselho de administração das
instituições bancárias no processo de gestão de risco operacional (Tabela 3).
59
bancárias em análise, possuem todas as suas sedes na capital do País. Estas estão numa
envolvente externa similar, sujeitas as mesmas situações de exposição ao risco operacional.
A constituição de um fórum de gestão de risco operacional das instituições bancárias que operam
em Moçambique poderiam partilhar suas experiências deste processo, métodos e técnicas que
podem ser aplicados, bem assim a identificação de champions do processo de gestão de risco
operacional em cada infra-estrutura da banca electrónica, seria uma alternativa viável.
Como foi definido no capítulo 1, o objectivo desta pesquisa é desenvolver um modelo conceptual
de gestão do risco operacional conciderando o ambiente de implementação das infra-estruturas
da banca electrónica em instituições bancárias que operam em Moçambique.
Para isso, foram consideradas 5 infra-estruturas, nomeadamente ATM, POS, Internet Banking,
Telefone Banking e Banca Móvel que são disponibilizadas por 6 instituições bancárias
designadamente Banco A, Banco B, Banco C, Banco D, Banco E e Banco F.
Cada instituição bancária, de acordo com a sua estrutura, organiza o processo de gestão de risco
operacional constituindo órgãos e funções que auxiliam o desenvolvimento e monitoria dos
controlos bem assim a avaliação da adequacidade desses controlos.
60
Na perspectiva do modelo proposto, cada uma das 5 estapas, que o compõe, a que considerar
vários aspectos para a gestão de risco operacional. A tabela 5 apresenta os principais aspectos
que devem ser considerados numa estrutura de gestão de risco operacional.
Como pode-se observar, na tabela 5, Banco C e Banco F ainda não estabeleceram um órgão para
a supervisão do processo de gestão de risco operacional. Este órgão é fundamental para permitir
uma visão holística do processo de gestão de risco operacional bem assim tomar decisões
estratégicas sobre o processo de mitigação e os instrumentos necessários (a política e o
framework específicos).
Observa-se ainda na tabela 5, apenas que o Banco B faz a avaliação do contexto, onde procura
assegurar o levantamento e documentação de todos os processos de negócio. O levantamento
permite que se obtenha uma visão clara de como os processos de negócio estão estruturados e
implementados bem assim avaliar o ambiente fora de controlo da instituição bancária.
61
Apenas o Banco A e Banco B fazem a identificação e registo dos riscos operacionais associados
a cada tarefa, registo de perdas e recuperações bem assim a identificação de indicadores chave de
risco (KRI). A identificação e registo dos riscos operacionais providenciam o entendimento das
suas causas e origem, o que ajuda no processo de tomada de acções sobre o risco. Por outro lado,
os KRIs também ajudam na tomada de decisões sobre quais os riscos devem ser tratados
primeiro e que estratégias devem ser tomadas para sua mitigação.
Com relação as estratégias de mitigação de risco operacional apenas o Banco B adopta um plano
de acção para dar resposta aos riscos identificados. Um plano de acção devem incluir critérios
que permitam considerar, em primeiro lugar, os riscos com elevado nível de exposição mas não
deixar de lado os riscos considerados insignificantes. Contudo, o plano de acção nesta instituição
visa fundamentalmente modificar ou introduzir controlos para os eventos de risco operacional
considerados críticos.
62
No entanto, observa-se que 5 instituições bancárias possuem uma entidade independente que se
dedica a gestão de risco operacional, o que pode traduzir o interesse dessas instituições em
possuir uma estrutura de gestão de risco opercional. É importante o estabelecimento de entidade
independente de gestão de risco operacional que vela pelos riscos de toda instituição.
Para além dessas entidades independentes, existem 5 instituições bancárias que adoptam como
medida de mitigação a introdução e melhoramento do ambiente de controlo interno. O ambiente
de controlo interno é fundamental na mitigação de risco mas é necessários adoptar estratégias de
gestão de risco operacional tais como avaliação do contexto, avaliação de risco, medidas de
mitigação, comunicação e reporte bem assim monitoria e revisão dos riscos.
A gestão de risco operacional deve ser considerada como um processo contínuo e que faça parte
das tarefas diárias dos gestores, embora tenha-se constatado que não se deslumbra alguma acção
de monitoria de riscos operacionais nessas instituições ou seja a monitoria é tida como
responsabilidade da Auditoria Interna.
Por outro lado, as incertezas com impacto negativo em infra-estrutura da banca electrónica são
avaliadas a partir do controlo interno, sendo que o controlo interno por si só não permite
assegurar a anticipação, monitoria e ou modificação das exposições ao risco operacional.
Um outro aspecto importante referir é a definição de política de gestão de risco operacional que
dá as directrizes e responsabilidades de como o risco operacional deve ser gerido na instituição.
A política de gestão de risco constitui um dos elementos essenciais na sustentação do processo
de gestão de risco de uma organização.
Embora note-se algum interesse no processo de gestão de risco operacional, este instrumento é
adoptado em apenas 2 instituições do universo das instituições em estudo.
63
5.6 SUMÁRIO
Os modelos de gestão do risco, COSO ERM e ISO 31000, são compostos por etapas que devem
ser seguidas e que constituem elementos fundamentais para o processo de gestão de risco
operacional. Para além desses modelos, as directrizes de gestão de risco operacional em
instituições bancárias proporcionam também, elementos fundamentais para este processo.
Tanto os modelos COSO ERM e ISO 31000 como as directrizes de gestão de risco operacional
abordam este processo num contexto de gestão global de risco operacional. Este cenário constitui
uma base para o desenvolvimento de um modelo de gestão de risco operacional num ambiente
em que este processo é tratado ao nível do ambiente de controlo interno.
64
CAPÍTULO 6 – CONCLUSÕES, LIMITAÇÕES E RECOMENDAÇÕES
Este capítulo aborda as principais conclusões, limitações e recomendações da pesquisa
efectuada. A pesquisa teve como o principal foco, o processo de gestão de risco operacional para
infra-estruturas da banca electrónica, concretamente ATM, POS, Internet banking, Banca móvel
e Telefone banking.
6.1. Conclusões
65
Os modelos de gestão de risco operacional, designadamente COSO ERM, ISO 31000 e
Aviso 04/GBM/2013, apresentam-se muito genéricos podendo ser aplicados em qualquer
instituição, independentemente do tamanho ou actividade desenvolvida. Esses modelos
abordam o processo de gestão de risco operacional num contexto de gestão global do
risco.
O modelo de gestão de risco operacional proposto neste estudo, consiste nos seguintes
elementos: estabelecimento do contexto das infra-estruturas da banca electrónica,
avaliação de riscos (que inclui a identificação e mensuração de risco), comunicação e
reporte, monitorização e revisão. Este modelo estabelece uma estrutura simplificada, que
inclui a definição de parâmetros externos e internos, a categorização específica sobre o
tipo de risco operacional, factores de risco, probabilidade e o impacto, para além da
descrição de causas do risco.
6.2. Recomendações
Existem vários modelos de gestão de risco operacional, como COSO ERM e ISO 31000
apresentados anteriormente, que são implementados em muitas instituições de diferentes ramos
de activiodade. O presente estudo faz análise desses modelos de gestão de risco operacional de
infra-estrutura da banca electrónica tendo em conta a realidade Moçambicana.
Contudo, qualquer estudo contém lacunas e este não seria excepção. Assim sendo, recomenda-se
para trabalhos futuros a se ter em consideração aos seguintes aspectos:
O processo de gestão de risco operacional ainda não é largamente discutido ao nível das
instituições, deste modo, a necessidade de se desenvolver mais pesquisas que analisam o
66
risco operacional, não só numa perspectiva qualitativa, como também uma análise
quantitativa para dar uma visão do nível de perdas ou danos que podem ser causados.
67
REFERÊNCIAS BIBLIOGRAFICAS
Alagheband, P., 2006. Adoption of Electronic Banking Services by Iranian Customers. s.l.:Lulea
University of Technology.
Araújo, C. et al., 2008. Universidade do Minho: Estudo de Caso. [Online] Disponível em:
http://grupo4te.com.sapo.pt/estudo_caso.pdf. [Acedido 29 Setembro 2014].
Ayo, C. K., Adewoye, J. & Oni, A., 2010. The State of e-Banking Implementation in Nigeria: A
Post-Consolidation Review. Journal of Emerging Trends in Economics and Management
Sciences, pp. 37-45.
Banerjee, K., Rana, M. M., Mahfuz, M. M. & Khan, M. A., 2011. Mobile Banking and Payment
System Using Bluetooth Media. International Journal of Video & Image Processing and
Network Security IJVIPNS, October.pp. 1-8.
Baten, M. A. & Kamil, A. A., 2010. E-Banking of Economical Prospects in Bangladesh. Journal
of Internet Banking and Commerce, August, 15(2), pp. 1-10.
Bećirović, S., Bajramović, D. & Ahmatović, A., 2011. The Role of Mobile Banking in
Enhancing Economic Development. Berane, FMSK, pp. 89-98.
Bessis, J., 2010. Risk Management in Banking. United Kindom: John Wiley.
68
Bhargava, D. & Chouhan, B., 2007. Risk Management Principle in Electronic Banking. In:
Emerging Financial Markets. New Delhy: Anurag Jain, pp. 247-254.
BIS, 2003. Basel Committee on Banking Supervision: Risk Management Principles for
Electronic Banking. Washington DC: Bank for International Settlements.
Boateng, R. & Molla, A., 2006. Developing E-banking Capabilities in a Ghanaian Bank:
Preliminary Lessons. Journal of Internet Banking and Commerce, pp. 1-11.
Cernev, A. K., 2010. Mobile Banking no Brasil: eventos críticos, trajetória e cenários esperados.
São Paulo: s.n.
COSO, 2010. Developing Key Risk Indicators to Strengthen Enterprise Risk Management..
[Online] Disponível em: http://www.coso.org/documents/COSOKRIPaperFull-
FINALforWebPostingDec110.pdf. [Acedido: 19 Junho 2013].
Curran, K. & King, D., 2008. Investigating the Human Computer Interaction Problems with
Automated Teller Machine (ATM) Navigation Menus. Computer and Information Science, 1(2),
pp. 34-51.
DALFOVO, M. S., LANA, R. A. & SILVEIRA, A., 2008. Métodos quantitativos e qualitativos:
um resgate teórico. Revista Interdisciplinar Científica Aplicada, 2(4), pp. 1-13.
Dashore, P. & Jain, S. K., 2009. Fuzzy Rule Based System and Metagraph for Risk Management
in Electronic Banking Activities. International Journal of Engineering and Technology, pp. 97-
101.
69
Dixit, N. & K., D. S., 2010. Acceptance of E-banking among Adult Customers: An Empirical
Investigation in India. Journal of Internet Banking and Commerce, August , 15(2), pp. 1-17.
Emmanuel, A., 2007. Mobile Banking in Developing Countries: Secure Framework for Delivery
of SMS-banking Services.Nijmegen: Radboud University Nijmegen.
Estrada, M. M. P., 2005. A Internet Banking no Brasil, na América Latina e na Europa. Revista
do Programa de Mestrado em Direito do UniCEUB, pp. 138-166.
Ferreira, L. B., Torrecilha, N. & Machado, S. H. S., 2012. A Técnica de Observação em Estudos
de Administração. Rio de Janeiro, ANPAD.
Hanseth, O., 2002. From systems and tools to networks and infrastructures – From design to
cultivation. Towards a theory of ICT solutions and its design methodology implications.
[Online]. Disponível em: http://heim.ifi.uio.no/~oleha/Publications/ib_ISR_3rd_resubm2.html.
[Acedido: 20 Julho 2014].
Haque, A., Tarofder, A. K., Rahman, S. & Raquib, M. A., 2009. Electronic Transaction of
Internet Banking and its Perception of Malaysian online Customers. African Journal of Business
Management, June.pp. 248-259.
Harun-Ur-Rashid, A. K. M., 2011. E-Banking Services. A study of the computer based banking
services.. Saarbruchen: Lap Lambert.
Huertas, J. R., 2012. Procedimentos de análise não-linear para previsão de respostas sísmica em
geoestruturas.Rio de Janeiro: PUC-Rio.
IIA, 2008. Normas Internacionais para a Prática Profissional de Auditoria Interna.Florida: The
Institute of Internal Auditors.
70
IIA, 2013. The Three Lines of Defense in Efective Risk Management and Control. s.l.:IIA
POSITION PAPER.
ISO, 2009. ISO 31000 Risk Management - Principles and guidelines. Geneva: ISO.
Joshua, A. J. & Koshy, M. P., 2011. Usage Patterns of Electronic Banking Services by Urban
Educated Customers: Glimpses from India. Journal of Internet Banking and Commerce, April,
16(1), pp. 1-12.
Junior, E. H. P., 2010. Um Processo de Gestão por Processo para Micro e Pequena
Empresas.Ponta Grossa: Universidade Tecnológica Federal do Paraná.
Khalifa, S. S. M. & Saadan, K., 2013. The Formal Design Model of an Automatic Teller
Machine (ATM). Lecture Notes on Information Theory, 1(1), pp. 56-59.
Kiran, K., Sharmila, S. & Abhishek, T., 2014. Risk Management in E-Banking. International
Journal of Latest Trends in Engineering and Technology (IJLTET), pp. 279-280.
Kondabagil, J., 2007. Risk management in electronic banking: concepts and best
practices.Singapore: John Wiley & Sons Asia.
Kondabagil, J., 2007. Risk Management in Electronic Banking: Concepts and Best Practices.
Asia: John Wiley & Son.
Kumar, R., 2011. Research Methodology: a step-by-step guide for beginners.3th ed. Los
Angeles: SAGE.
71
Maimbo, S., Saranga, T., Strychaczand & Nicholas, 2010. Facilitating Cross-Border Mobile
Banking in Southern Africa. POVERTY REDUCTION AND ECONOMIC MANAGEMENT
(PREM) NETWORK, August, Volume 26, pp. 1-5.
MILAN, D. N., JELENA, V. & SAVA, S., 2011. ELECTRONIC BANKING MODELS.
International journal of economics and law, pp. 24-37.
Ndlovu, I. & Sigola, M., 2013. Benefits and Risks of E-Banking: Case of Commercial Banking
In Zimbabwe. The International Journal Of Engineering And Science, 15 April, 2(4), pp. 34-40.
NITSURE, R. R., 2004. E-banking: Challenges and Opportunities. Economic and Political
Weekly, pp. 5377-5381.
72
Pareek, M., 2011. Technology Risk Measurement and Reporting. ISACA Journal, Volume 6, pp.
26-31.
Pinheiro, J. M. d. S., 2007. Ameaças e ataques aos sistemas de informação. Prevenir e Anticipar.
Cadernos da UniFOA, Volume 5, pp. 11-21.
Pouchain, A. d. M., 2007. Gestão de Riscos Aplicada ao Ambiente Internet Banking das
Instituições Financeiras do Brasil. Brasília: Universidade de Brasília.
Ramakrishnan, G., 2001. Risk Management for Internet Banking. Information Systems Control
Journal, pp. 48-50.
Saldaña, J., 2011. Fundamentals of Qualitative research. New York: Oxford University Press.
SALEHI, M. & ALIPOUR, M., 2010. E-Banking in Emerging Economy: Empirical Evidence of
Iran. International Journal of Economics and Finance, February, 2(1), pp. 201-209.
Souza, J. S., 2011. Modelo para Identificação e Gerenciamento do Grau de Risco de Empresas -
MIGGRI. Porto Alegre: Universidade do Rio Grande do Sul.
73
Teixeira, E. B., 2003. A Análise de Dados na Pesquisa Científica. importância e desafios em
estudos organizacionais. In: DESENVOLVIMENTO EM QUESTÃO. Rio Grande do Norte:
Editora Unijuí, pp. 177-201.
Tidd, J. & Bessant, J., 2009. Managing Innovation: Integrating Technological, Market and
Organizational Change. Chichester: John Wiley & Sons Ltd.
Tidd, J., Bessant, J. & Pavitt, K., 2005. Managing Innovation: Integrating Technological, Market
and Organizational Change. Chichester: John Wiley & Sons Ltd.
74
ANEXOS
75
Anexo 1 – Questionário para Recolha de Dados
O presente questionário destina-se a recolha de dados sobre o processo de gestão de risco na banca
electrónica (e-banking) em Moçambique, no âmbito da elaboração da dissertação de Mestrado em
Sistemas de Informação. Os dados e informação sobre a instituição a serem colhidos serão usados
para fins estritamente académicos e não serão publicados para quaisquer outros objectivos.
Assim, agradeço sua especial atenção e cooperação, respondendo com sinceridade as questões
apresentadas
Sector:____________________________________________________________________________
Função: ____________________________________________________________________________
Banca electónica (ATM, POS, Internet banking, Telefone banking, sms banking, banca móvel)
1. Quais os serviços da banca electronica que o banco disponivbiliza aos seus clientes?
a. ATM
b. Internet Banking
c. POS
d. Telefone banking
f. Outros______________________
2. Para cada uma das opções escolhida na pergunta 1, indique a quanto tempo este serviço da
banca electrónica é disponibilizado?
76
3. Assinale os serviços de ebanking mais procurado pelos clientes?
a. ATM
b. Internet Banking
c. POS
d. Telefone banking
f. Outros:______________________________
a. Sim
b. Não
________________________________________________________________________
_________________________________________________________________________
5. Existe na estrutura do Banco uma área que trata com assuntos relacionados com a gestão de
risco?
a. Sim
b. Não
a. Sim
b. Não
77
________________________________________________________________________
8. O banco trata do risco operacional de forma diferente a dos demais riscos inerentes a sua
actividade?
a. Sim
b. Não
a. Risco humano
b. Risco de processo
c. Risco de tecnologia
e. Outros:________________________________________________________________
_________________________________________________________________
10. Indique os infra-estruturas da banca electrónica que e ebanking mais procurado pelos clientes?
c. ATM
d. Internet Banking
e. POS
f. Telefone banking
Outros:______________________________
78
Anexo 2 – Guião de Entrevistas
II - Aspectos gerais
1. quantos utilizadores tem acesso a ATM, POS, internet banking e sms banking? (ser
possível a evolução dos últimos três anos)
2. Quantos balcões existem na sua instituição
3. quantos terminais ATM e POS a sua instituição possui
79
Anexo 3 – Ferramentas e Técnicas aplicadas para a Identificação de Risco. (ISO, 2009b)
Ferramentas e
Descrição
Técnicas
80
Ferramentas e
Descrição
Técnicas
81
Ferramentas e
Descrição
Técnicas
políticas e no planeamento estratégico bem como considerar as actividades
existentes. A análise de cenários pode ser utilizado ainda para antecipar as
ameaças e as oportunidades, podem ser utilizada para todo tipo de risco de
curto ou longo prazo.
82