UNIVERSIDADE EDUARDO MONDLANE

FACULDADE DE CIÊNCIAS
DEPARTAMENTO DE MATEMÁTICA E INFORMÁTICA
CURSO DE MESTRADO EM SISTEMAS DE INFORMAÇÃO

Tema: “Gestão de Risco Operacional. Estudo do Caso de

Infra-estruturas da Banca Electrónica em Moçambique.”

Felisberto José Tivane

Maputo, Outubro de 2015

 UNIVERSIDADE EDUARDO MONDLANE
FACULDADE DE CIÊNCIAS
DEPARTAMENTO DE MATEMÁTICA E INFORMÁTICA
CURSO DE MESTRADO EM SISTEMAS DE INFORMAÇÃO

TERMO DE SUBMISSÃO DEFINITIVA DA DISSERTAÇÃO

DE

FELISBERTO JOSÉ TIVANE

Tema: “Gestão de Risco Operacional. Estudo de Caso de
Infra-estruturas da Banca Electrónica em Moçambique.”

DATA DA APRESENTAÇÃO E DEFESA: 02 de Outubro de 2015

LOCAL: Departamento de Matemática e Informática, sala D7
Eu Felisberto José Tivane, declaro que esta dissertação nunca foi apresentada para a
obtenção de qualquer grau ou num outro âmbito e que ela constitui o resultado do meu labor
individual. Esta dissertação é apresentada em cumprimento parcial dos requisitos para a
obtenção do grau de Mestre em Sistemas de Informação, da Universidade Eduardo
Mondlane
Dedicatória

À Lordina, Oneyll, Lekyshia e Lushiyel.

i
AGRADECIMENTOS

Em primeiro lugar, agradeço à Deus pelo dom da vida e pelas graças concedidadas ao longo
dos 2 anos da minha formação e de forma particular na realização deste trabalho.

Endereço ao meu agradecimento especial à Professora Doutora Esselina Macome pelo

encorajamento, atenção e disponibilidade que sempre manifestou na orientação deste
trabalho.

O meu agradecimento é extensivo ao Doutor Zeferino Saugene, pela disponibilização de

valioso material bibliográfico, pelos comentários e sugestões feitas ao trabalho.

Pelo encorajamento e sugestões, sou grato a Rossana Abdul Carimo, aos docentes e a
direcção do mestrado, e aos colegas do curso de Sistemas de Informação do Departamento de
Matemática e Informática.

O meu muito obrigado vai ainda para Lordina, Oneyll, Lekyshia e Lushiyel por terem estado
sempre do meu lado dando o seu apoio, carinho, amor e, acima de tudo, a sua compreensão
nos momentos em que os deixava sozinhos.

ii
ÍNDICE

AGRADECIMENTOS ..............................................................................................................ii

ÍNDICE DE FIGURAS.............................................................................................................. v

ÍNDICE DE TABELAS ............................................................................................................ vi

Resumo ....................................................................................................................................vii

Abstract ...................................................................................................................................viii

Lista de abreviaturas ................................................................................................................. ix

CAPÍTULO 1 – INTRODUÇÃO .............................................................................................. 1

1.1 Descrição do Problema................................................................................................ 2

1.2 Objectivos geral e específicos ..................................................................................... 3

1.3 Perguntas de pesquisa.................................................................................................. 4

1.4 Estrutura da dissertação ............................................................................................... 4

CAPITULO 2 – ABORDAGEM METODOLÓGICA .............................................................. 6

2.1 Abordagem da pesquisa .............................................................................................. 6

2.2 Tipo de Pesquisa.......................................................................................................... 7

2.3 Definição da amostra ................................................................................................... 8

2.4 Técnicas de recolha de dados .................................................................................... 10

2.5 Análise de Dados ....................................................................................................... 14

CAPITULO 3 – FUNDAMENTOS TEÓRICOS .................................................................... 17

3.1 Inovação Tecnológica ............................................................................................... 17

3.2 Conceitualização da banca electrónica ...................................................................... 18

3.3 Teoria da Infra-estrutura Tecnológica ....................................................................... 20

3.4 Benefícios da banca electrónica ................................................................................ 28

3.5 Risco Operacional ..................................................................................................... 30

3.6 Gestão de Risco Operacional .................................................................................... 30

CAPITULO 4 – CASO DE ESTUDO - INFRA-ESTRUTURASDA BANCA

ELECTRÓNICA E PROCESSO DE GESTÃO DE RISCO OPERACIONAL...................... 35

iii
 4.1. Infra-Estruturas da Banca Electrónica e o Processo de sua Implementação ................. 35

4.1.1. Implementação de Caixa Automática (ATM).................................................... 37

4.1.2. Implementação de Terminal de Pagamento Automático (POS) ........................ 40

4.1.3. Implementação de Internet Banking .................................................................. 41

4.1.4. Implementação da Banca móvel (m-Banking) ................................................... 43

4.1.5. Implementação de Telefone Banking (Phone Banking) .................................... 45

4.2 Processo de Gestão de Risco .......................................................................................... 45

CAPITULO 5 – ANÁLISE E DISCUSSÃO DE RESULTADOS .......................................... 50

5.1 Infra-estruturas da banca electrónica nas Instituições Bancárias .............................. 50

5.2 Modelos de Gestão de Risco Operacional................................................................. 51

5.3 Modelo Conceptual de Gestão de Risco Operacional em Infra-estruturas da banca

electrônica ............................................................................................................................ 53

5.4 Estratégia de Implementação do Modelo Conceptual ............................................... 59

5. 5 Análise comparativa da estrutura de gestão de risco operacional em infra-estrutura da

banca electrónica .................................................................................................................. 60

CAPÍTULO 6 – CONCLUSÕES, LIMITAÇÕES E RECOMENDAÇÕES .......................... 65

6.1. Conclusões ................................................................................................................ 65

6.2. Recomendações ......................................................................................................... 66

6.3. Limitações da pesquisa.............................................................................................. 67

REFERÊNCIAS BIBLIOGRAFICAS..................................................................................... 68

ANEXOS ................................................................................................................................. 75

Anexo 1 – Questionário para Recolha de Dados.................................................................. 76

Anexo 2 – Guião de Entrevistas ........................................................................................... 79

Anexo 3 – Ferramentas e Técnicas aplicadas para a Identificação de Risco. (ISO, 2009b) 80

iv
ÍNDICE DE FIGURAS
Figura 1: Framework de pesquisa .............................................................................................. 6
Figura 2: Rede de ATM (Khalifa & Saadan 2013) .................................................................. 22
Figura 3: Rede de ATM e POS que operam em Moçambique ................................................ 23
Figura 4: Sistema de transmissão de dados na rede SMS. (Banerjee at el, 2011) .................. 26
Figura 5: Sistema de transmissão de dados na rede WAP. (Banerjee at el, 2011) ................. 27
Figura 6: Processo de execução de uma operação bancária através de ATM ......................... 38
Figura 7: Exemplo de menu de um ATM (webpage1, 2014& webpage2, 2014) .................... 40
Figura 8: Exemplo de menú do standalone mobile application cliente (webpage1, 2014) ..... 44
Figura 9: Processo de Gestão de Risco (adaptado – ISO, 2009 e COSO, ) ............................. 53
Figura 10: Relação entre Aspectos de Gestão de Risco Operacional e as Instituições
bancárias. ................................................................................................................................. 62

v
ÍNDICE DE TABELAS
Tabela 1: Exemplo da Matriz de Risco .................................................................................... 32
Tabela 2: Infra-estruturas da banca electrónica disponíveis em cada Banco ........................... 36
Tabela 3: Processo de Gestão de Risco Operacional nas Instituições em estudo .................... 47
Tabela 4: Exemplo de Mapeamento de risco ........................................................................... 57
Tabela 5: Comparação dos principais aspectos de gestão de risco .......................................... 61

vi
Resumo

As tecnologias de informação e comunicação são actualmente um factor importante no

desenvolvimento do sector financeiro em todo mundo. É notório em diversas instituições
bancárias que operam em Moçambique a realização de investimentos em sistemas e
tecnologias de informação. Esses investimentos constituem uma forma de melhorar o fluxo
de trabalho, bem como assegurar a competitividade e providenciar melhores serviços aos
clientes.

Contudo, um novo paradigma surgem no processo da disponibilização de produtos e serviços

bancários através de infra-estruturas da banca electrónica nomeadamente ATM, POS,
Internet Banking, Telefone Banking e Banca Móvel, onde a tecnologia de informação e
comunicação constitui elemento essencial. Diversas operações bancárias podem ser
realizadas através dessas infra-estruturas, a qualquer momento e em qualquer lugar.

As operações realizadas através dessas infra-estruturas podem adicionar ou incrementar o

nível de exposição ao risco operacional nas instituições bancárias. Vários modelos de gestão
de risco operacional podem ser usados. Deste modo, o presente trabalho apresenta um
modelo conceptual de gestão de risco operacional aplicável em infra-estruturas da banca
electrónica. O modelo estabelece uma estrutura simplificada que consiste na definição de
parâmetros externos e internos que incluem a categorização específica sobre o tipo de risco
operacional, factores de risco, probabilidade e o impacto, para além da descrição de causas do
risco.

Com o propósito de melhorar a eficiência na gestão de risco operacional o Banco de

Moçambique estabeleceu as directrizes, que foram publicadas através do Aviso
04/GBM/2013. Actualmente, as instituições bancárias ocupam-se na mitigação dos riscos
operacionais através de implemntação de procedimentos ou mecanismos de controlo interno
bem assim do Aviso acima mencionado cujo estágio de sua implementação ainda é
embrionário.

Palavras chaves: Banca Electónica, ATM, POS, Internet Banking, Telefone Banking, Banca
Móvel, Gestão de Riscos Operacional

vii
Abstract
The information technology and communications are now an important factor in the
development of the financial sector. It is perceptible in Mozambique that several banks makes
investments in information systems and technologies. These investments represents way to
improve the workflow, ensure the competitiveness and provide better customer service.

A new way for providing banking products and services through infrastructure of e-banking
is coming up, such as ATM, POS, Internet Banking, Telephone Banking and Mobile Banking,
where the technology of information and communication is essential. Various banking
operations can be performed through these infrastructures, anytime and anywhere.

Transactions made through these infrastructures add or increase the level of exposure to
operational risk in banking institutions. Several models of operational risk management can
be used. This report presents a model of risk management that can be applicable to e-banking
infrastructures. The model provides a simplified structure that consists of the definition of
external and internal factors, which include the specific categorization of the type of
operational risk, risk factors, likelihood and impact, and the description of cause of the risk.

With the propuse of better management of operational risk the Central Bank of Mozambique
has established guidelines, which are published in the Bank Notice, “Aviso” 04/GBM/2013.
At the present the banks institutions are concerned with the mitigation of operational risk
through implementation of internal control procedures or mechanisms and the
implementation of the above mentioned bank notice is stil in embryonic stage.

Key words: e-banking, ATM, POS, Internet Banking, Telephone Banking, Mobile Banking,
operational risk management

viii
Lista de abreviaturas

ATM Automated Teller Machine (Caixa Automática)

COSO ERM Committee of Sponsoring Organizations of the Treadway
Commission, Enterprise Risk Management
Deny of Service
DoS
e-banking Electronic Banking (Banca Electrónica)
Electronic Point of Sale
EPOS
International Organization for Standardization
ISO
Norma número 31000
ISO 31000
m-banking Mobile banking (Banca Móvel)
KRI Key Risk Indicator (Indicador Chave de Risco)
PIN Personal Identification Number (Número de Identificação Pessoal)
POS Point of Sale (Terminal de Pagamento Automáticao)
RCSA Risk and Control Self-Assessment (Auto-avaliação de Risco e
Controlos
sms-banking Short Message Service Banking

ix
CAPÍTULO 1 – INTRODUÇÃO

A implementação das tecnologias de informação é um fenómeno que vem ocorrendo ao longo

dos anos, onde as organizações têm dado maior atenção aos investimentos nesta área, aliada a
crescente oferta de novas soluções tecnológicas. Por outro lado, as tecnologias de informação e
comunicação são um factor importante no desenvolvimento do sector financeiro.

Actualmente tem-se observado em diversas instituições bancárias que operam em Moçambique a

realização de investimentos em sistemas e tecnologias de informação. Esses investimentos
segundo Joshua & Koshy (2011), constituem uma forma de melhorar o fluxo de trabalho bem
como assegurar a competitividade e providenciar melhores serviços aos clientes.

Os investimentos em sistemas e tecnologias de informação constituem ainda um factor de

transformação dessas instituições onde através do uso de infra-estrutura da banca electrónica
também denominado por electronic banking ou simplesmente e-banking, são introduzidos
produtos e serviços bancários inovadores.

A banca electrónica é considerada, de acordo com Ndlovu & Sigola (2013), como uma forma de
disponibilizar serviços e mercados financeiros através da computação e da comunicação
electrónica. Diversas formas da banca electrónica são implementadas nas instituições bancárias
em todo mundo.

As instituições bancárias em Moçambique não estão alheias a este fenómeno, sendo que estas
estabelecem diversas formas da banca electrónica tais como Internet banking, Telefone banking,
Caixa Automática também conhecida por Automated Teller Machine (ATM), Terminal de
Pagamento Automático (POS), Banca Móvel, ordem de pagamento, ordem de transferência e
compensação electrónica de cheques, com os quais são realizadas as operações bancárias como
levantamento e transferência de numerário, consulta de movimentos, pagamento de serviços e
entre outras operações (Banco de Moçambique, 2010).

O termo infra-estrutura da banca electrónica é usado, ao longo deste trabalho, para designar as
diversas formas da banca electrónica. No entanto, são consideradas neste trabalho apenas as
infra-estruturas de ATM, POS, Internet banking, Telefone banking e Banca Móvel
implementadas em 6 instituições bancárias em Moçambique.

1
A implementação dessas infra-estruturas é fortemente dependente das tecnologias de informação
e comunicação, o que faz com que as instituições bancárias tenham um incremento do nível de
exposição ao risco operacional existente ou o surgimento de novas exposições ao risco
operacional.

O risco operacional constitui um fenómeno muito antigo, embora tenha começado a ganhar
relevância nas últimas décadas, com as ocorrências das crises financeiras internacionais.
Contudo, várias instituições como JP Morgan (Julho de 2012), UBS AG (Setembro de 2011),
Bernard Madoff (Setembro de 2009), SocGen (Janeiro de 2008), Allied Irish Bank (Fevereiro de
2002), NatWest (Março de 1997), Barings Bank (Fevereiro de 1995), só para citar alguns
exemplos de casos históricos, registaram elevadas perdas financeiras resultantes de deficiências
do processo de gestão do risco operacional.

Este tipo de risco está presente em qualquer actividade de uma instituição bancária. Deste modo,
o presente trabalho procura desenvolver um modelo conceptual que permita gerir esse tipo de
risco em infra-estruturas da banca electrónica nas instituições bancárias que operam em
Moçambique.

Por outro lado, tratando-se da gestão de risco operacional um tema que pode ser considerado
emergente nas instituições e a tendência actual de expansão rápida das tecnologias de informação
e comunicação em Moçambique, onde as transações bancárias tradicionais tendem a ser
substituidas pelos novos paradígmas na disponibilização de produtos e serviços bancários, várias
questões podem ser levantadas com vista a tratar as incertezas.

Assim, na secção a seguir é feita a delimitação do problema para a presente pesquisa.

1.1 Descrição do Problema

A dinâmica das inovações tecnológicas que as instituições bancárias implementam impulsiona a
sua inserção num mundo globalizado como forma de integração no mercado financeiro
internacional. A globalização é um fenómeno, de certa forma, inevitável e desejável, que está
associada a inovação tecnológica. Na perspectiva de Lastres & Albagli (1999) a globalização tem

2
como principal catalisador a difusão das tecnologias de informação e comunicação. As
instituições bancárias tem sido este catalizador.

Deste modo, as instituições bancárias que operam no mercado moçambicano não estão alheias a
este fenómeno, onde estas assumem uma postura inovadora no que diz respeito:

 À implementação de sistemas e tecnologias de informação para o suporte das actividades

bancárias;

 À disponibilização de produtos e serviços bancários para os clientes através de canais

electrónicos (e-banking);

Contudo, este cenário constitui factor preponderante no aumento da exposição ao risco

operacional das instituições bancárias, devendo-se implementar estruturas ou modelos eficazes
para a sua gestão.

Também constitui factor de exposição ao risco operacional todas actividades disponibilizadas em

regime de outsourcing para o suporte da banca electrónica, tais como provedores de internet,
provedores das telecomunicações, redes interbancárias (Ponto 24, SIMO, VISA, etc),
electricidade, fornecedores.

O risco operacional na banca electrónica também deriva de vários outros factores, tais como:o
comportamento e/ou postura das partes interessadas; forte dependência tecnológica das infra-
estruturas da banca electrónica; necessidade de regulamentação da banca electrónica e definição
dos processos internos.

1.2 Objectivos geral e específicos

Objectivo Geral:

 Desenvolver um modelo conceptual de gestão do risco operacional de infra-estrutura da

banca electrónica em Moçambique.

3
 Objectivos Específicos:

 Avaliar as infra-estruturas da banca electrónica adoptadas pelas instituições bancárias que

operam em Moçambique;

 Analisar o processo de gestão de risco operacional de infra-estruturas da banca

electrónica adoptado pelas instituições bancárias que operam em Moçambique;

 Desenhar o modelo conceptual de gestão de risco operacional de infra-estruturas da banca

electrónica;

 Definir estratégia de implementação do modelo de gestão de risco operacional de infra-

estruturas da banca electrónica.

1.3 Perguntas de pesquisa

Para se alcançar o objectivo desta pesquisa são formuladas as seguintes questões:

 Como as infra-estruturas da banca electrónica disponibilizam os produtos e serviços

bancários e quais os riscos operacionais poderão estar expostos?

 Como é gerido o risco operacional em infra-estruturas da banca electrónica nas

instituições bancárias em Moçambique?

 Que abordagem pode ser adoptada para gerir risco operacional em infra-estruturas da
banca electrónica nas instituições bancárias em Moçambique?

1.4 Estrutura da dissertação

Este trabalho é composto por 6 capítulos, sendo este capítulo o da introdução onde é feita a
contextualização, descrição do problema e os objectivos do estudo. O capítulo 2, descreve de
forma detalhada a metodologia usada para recolha e tratamento dos dados, fazendo referência à
amostra definida e técnicas de pesquisas utilizadas para análise e avaliação do processo de gestão
de risco operacional. O capítulo 3, faz a abordagem literária sobre a banca electrónica e seus
benefícios, o risco operacional e o processo de sua gestão. O capítulo 4, é dedicado ao
levantamento do processo de implementação das infra-estruturas da banca electrónica e do

4
processo de gestão de risco operacional que actualmente ocorre. O capítulo 5, dedica-se a análise
dos modelos de gestão de risco operacional e proposta do modelo conceptual de gestão de risco
operacional; é feita também a comparação das constatações do processo de gestão de risco e do
modelo conceptual proposto. Por fim, o capítulo 6, contém as principais conclusões da pesquisa,
bem assim as recomendações e limitações.

5
CAPITULO 2 – ABORDAGEM METODOLÓGICA
Este capítulo discute como a pesquisa foi desenvolvida, os métodos e as estratégias que foram
empregues para o alcance do objectivo estabelecido tendo como base princípios da metodologia
científica. É descrito, também neste capítulo, o método usado para a recolha e tratamento de
dados, bem como a amostra considerada para a realização da pesquisa.

2.1 Abordagem da pesquisa

A presente pesquisa visa, fundamentalmente, desenvolver modelo de gestão de risco operacional

de infra-estruturas da banca electrónica nas instituições bancárias que operam em Moçambique.
Deste modo, para a sua realização foi necessário identificar, inicialmente, os potenciais aspectos
que concorrem para a exposição ao risco operacional associado a banca electrónica e os métodos
e técnicas utilizados para a recolha e análise dos dados.

A revisão bibliográfica foi uma das fases mais empregues e que caracteriza esta pesquisa. Esta
fase foi muitas vezes executada em paralelo com as demais fases como ilustra a Figuara 1.

Figura 1: Framework de pesquisa

6
Qualquer projecto de pesquisa possui uma estratégia que define o plano a ser seguido para a
recolha de dados, análise crítica de dados e aprsentação de resultados.

Assim, o pesquisador pode consideradar, de acordo com o problema, o objectivo e o resultado

esperado, uma abordagem qualitativa, onde visa descrever uma situação, um fenómeno, um
problema ou um evento, sendo que a análise é realizada para estabelecer a variação da situação,
do fenómeno ou do problema sem ter que quantificar (Kumar, 2011).

No entanto, a informação ou dados colhidos, notas de campo e a sua análise consite em materiais
textuais como transcrições de entrevistas, documentos, sites de Internet e/ou material visual que
documenta as experiências individuais nas funções que executam (Saldaña, 2011).

A escolha do tipo de abordagem da pesquisa teve em consideração a necessidade de descrever

como o processo de gestão de risco operacional de infra-estruturas da banca electrónica deve ser
conduzido num ambiente onde se assiste uma crescente onda de inovaçãoes de produtos e
serviços bancários. Por outro lado, foi analisada a natureza de 6 instituições bancárias,
nomeadamente Banco A, Banco B, Banco C, Banco D, Banco E e Banco F, onde a
disponibilização da informação é restrita e obedece certo princípio de sigilo e que todas elas
implementam as seguintes infra-estruturas da banca electrónica: ATM, POS, Internet Banking e
Banca Móvel.

Este cenário levou a optar por uma pesquisa qualitativa, onde podesse envolver um número
reduzido de entrevistados para o entendimento do processo de gestão de risco operacional dessas
infra-estruturas nas instituições bancárias. Não só o entendimento do processo, mas também a
necessidade de analisar a eficácia dos modelos de gestão de risco operacional adoptados por
essas instituições bancárias.

2.2 Tipo de Pesquisa

Quanto ao tipo de pesquisa, existem vários que podem ser adoptados para encontrar a resposta de
um determinado problema em análise. Sub ponto de vista de procedimentos técnicos, uma
pesquisa pode ser considerada do tipo estudo de caso. Este tipo de pesquisa foca-se na análise

7
detalhada de uma situação, unidade ou acontecimento e tudo pode ser um caso: uma pessoa, um
grupo, um evento, uma organização (Saldaña, 2011).

No entendimento de Araújo et al.(2008) o estudo de caso trata-se de uma abordagem

metodológica de investigação especialmente adequada quando procura-se compreender, explorar
ou descrever acontecimentos e contextos complexos, nos quais estão simultaneamente
envolvidos diversos factores. Desta forma o pesquisador procura responder as questões “Como?”
e “Porquê?”.

Dado que esta pesquisa procura explorar o processo de gestão de risco operacional de infra-
estrutura da banca electrónica em 6 instituições bancárias, e sendo este um estudo qualitativo, é
apropriado considera-lo como do tipo estudo de caso. Por outras palavras, a pesquisa é um
estudo de caso pelo facto de procurar o detalhe do processo de gestão de risco operacional nas
diversas infra-estruturas da banca electrónica em cada instituição identificada para o presente
estudo.

2.3 Definição da amostra

Para o tipo de pesquisa aqui abordado, definiu-se uma amostra tendo em conta que esta consiste
num subconjunto de uma população, podendo ser constituída por qualquer número de elementos
dessa população. Várias técnicas são usadas para seleccionar a amostra da pesquisa. De acordo
com Kumar (2008) as amostras podem ser do tipo amostragem probabilística e amostragem não
probabilística.

Amostragem probabilística: aquela em que todos elementos da população têm a probabilidade

diferente de zero de serem escolhidas para constituir a amostra e pode ser subdividida em:

 Simples: todos elementos têm igual probabilidade de serem escolhidos;

 Estratificada: a população é subdividida em estratos homogéneos;

 Sistemática: os elementos são escolhidos de forma aleatória e é estabelecido um intervalo

entre eles, dividindo-se o número da população pelo número dos elementos da amostra;

8
  Por conglomerado: a população é dividida em grupos mutuamente exclusivos e
colectivamente exaustivos. Deste modo, grupos de elementos são escolhidos
simultaneamente.

Amostragem não probabilística: as amostras são escolhidas por critérios subjectivos de acordo
com a experiência do pesquisador e ou objectivos do estudo. Neste caso não é conhecida a
probabilidade de escolha de um determinado elemento da população. Este tipo de amostragem
pode ser subdividida em:

 Por conveniência: as amostras são escolhidas de acordo com a conveniência do

pesquisador, podendo ser constituída por indivíduos que estejam ao alcance do
pesquisador e dispostas a colaborar no estudo;

 Por julgamento: os elementos da amostra são escolhidos de acordo com um critério de

julgamento do pesquisador, acreditando no que o elemento escolhido possa fornecer ao
estudo.

 Por cota: o pesquisador procura uma amostra que se identifica, em alguns aspectos, com
a população. É necessário conhecer, apriori, a distribuição na população de algumas
características controláveis e relevantes para o delineamento da amostra.

Ainda, para Kumar (2011) uma pesquisa de natureza qualitativa preocupa-se em realizar estudos
com profundidade em amostras pequenas e seleccionadas intencionalmente.

Deste modo, foram escolhidas, para esta pesquisa, as instituições bancárias que disponibilizam
aos seus clientes no mínimo 4 infra-estruturas da banca electrónica. Visto que, nem todas as
instituições disponibilizam esse número de infra-estruturas da banca electrónica foram escolhidas
6 instituições bancárias (designadamente por: Banco A, Banco B, Banco C, Banco D, Banco F e
Banco E) num total de 18 bancos que operam em Moçambique por se considerar ao alcance do
pesquisador e por terem mostrado disponibilidade em colaborar na pesquisa.

9
2.4 Técnicas de recolha de dados

As técnicas de recolha de dados permitem orientar ao pesquisador na obtenção de dados que lhe
possibilita responder as questões da pesquisa. No entanto, na presenta pesquisa foram usadas as
seguintes técnicas: entrevistas, questionários, observação, revisão documental e consulta das
páginas web das 6 instituições.

Entrevista

O processo de obtenção de dados iniciou com uma solicitação, por carta e pelo telefone, a 6
instituições bancárias previamente seleccionadas. Tendo sido possível marcar entrevistas com 4
gestores e 6 técnicos das áreas da banca electrónica, gestão de risco e tecnologias de informação
de apenas 4 instituições bancárias. Duas dessas instituições possuem uma estrutura onde o sector
da banca electrónica é também responsável pela gestão de risco dos produtos e serviços
bancários oferecidos.

O processo de entrevista foi conduzido de forma semi-estruturada com maior enfoque em

questões abertas. Procurou-se, nas entrevistas, explorar a experiência profissional dos
entrevistados, recorrendo-se a um guião de questões preparado para o efeito (Anexo 2). Por outro
lado, no decurso das entrevistas procurava-se explorar outros pontos que não constavam do
guião.

O objectivo dessas entrevistas era compreender o processo de implementação e gestão das infra-
estruturas da banca electrónica, bem assim as metodologias e métodos adoptados no processo de
gestão de risco operacional de infra-estruturas da banca electrónica. Contudo, os interlocutores
limitaram-se a abordar com algum detalhe o funcionamento, as configurações básicas das infra-
estruturas da banca electrónica e aspectos básicos do processo de gestão de risco operacional.

Para Huertas (2012) as entrevistas são consideradas técnicas de recolha de dados qualitativos
mais utilizadas envolvendo duas ou mais pessoas. Por outro lado, Simoni & Baranauskas (2003)
consideram que elas visam obter experiências, opiniões, sentimentos e conhecimentos do
entrevistado sobre um determinado tema.

10
Segundo Oliveira (2010), as entrevistas podem ser classificadas em três tipos:

 Entrevista estruturada - recolha de dados mais controlada. São questões precisamente

formuladas. São longas listas de questões exactas.

 Entrevista aberta - quando as questões não são pré-determinadas. Assemelha-se mais a

uma conversa. Nem sempre reflete a realidade, mas sua visão. As vantagens é que
permitem colher algo sem a devida intenção do entrevistado, seus deslizes. As
dificuldades estão em não possuir uma imagem fiel e dificulta a comparação com outros
dados.

 Entrevista semi-estruturada - são apresentados tópicos, ao invés de questões fechadas e

permitem respostas subjetivas, sem perder o quantitativo. É considerada a melhor forma,
por se utilizar as duas abordagens anteriores. O pesquisador segue um guião de questões,
mas deve estar preparado para, em caso da entrevista mudar de caminho.

Questionário

Para além das entrevistas com os gestores e técnicos das 4 instituições referidas no ponto
anterior, foram enviados questionários para obter informação adicional sobre o processo de
gestão de risco operacional bem como da implementação das diversas infra-estruturas da banca
electrónica.

Os questionários tinham também como objectivo permitir a obtenção de informação sobre o

processo de gestão de risco operacional e implemtação de infra-estrutura da banca electrónica
nas instituições que não poderam responder as solicitações de recolha de dados. Os questionários
foram desenhados com perguntas abertas, de compreensão, fechadas para delimitar a extinção
dos pontos em discussão (Anexo 1).

Segundo Silva & Menezes (2005), o questionário é uma técnica de recolha de dados que pode ser
utilizada em pesquisas científicas, que consiste em um conjunto ordenado de perguntas que
devem ser respondidas por escrito pelo informante através de técnica de auto-preenchimento.

11
As perguntas são colocadas de forma objectiva, limitada e acompanhadas de instruções para
facilitar o preenchimento. Foi tido em consideração na elaboração das questões para este trabalho
as seguintes áreas: banca electrónica, gestão de risco operacional e tecnologias de informação.
Os objectivos dos questionários são os mesmos abordados na secção de entrevistas.

Internet

Procurou-se, também, obter dados junto das páginas Web das instituições bancárias, onde foram
analisados os produtos, serviços e processos de negócios. Neste tipo de consulta, procurou-se
analisar, para além das instituições bancárias em estudo, todas as que possuíam website.

Deste modo, estas consultas permitiram comparar os produtos e serviços disponibilizados através
de infra-estruturas da banca electrónica. Também as páginas web constituiram fontes de
obtenção da documentação instituicional, como relatórios de conta que descreve, dentre vários
pontos, a estrutura e o processo de gestão de risco dessas instituições.

Consulta bibliográfica

A consulta bibliográfica foi outra técnica usada em todas as fases de execução deste trabalho,
tendo-se cingido mais em bibliografia que abordava temas da banca electrónica e de gestão de
riscos, para além da metodologia de investigação científica.

A consulta bibliográfica é utilizada para vários propósitos numa pesquisa científica, sendo que
permite partilhar os resultados de estudos realizados sobre o tema em análise. Permite ainda
providenciar um framework para definir a importância da pesquisa.

Por sua vez, Creswell (2006) defende que o processo da consulta bibliográfica pode ocorrer em
algumas ou em todas fases do desenvolvimento da pesquisa.

12
Observação

A técnica de recolha de dados por observação, é segundo Oliveira (2010) uma técnica em que o
pesquisador observa (podendo por vezes participar) os participantes no seu ambiente natural ou
contextos “artificiais” criados para o efeito. É uma estratégia muito valorizada na pesquisa onde
fornece-se mais detalhes ao pesquisador. Esta técnica pode ser aplicada tanto em pesquisas
qualitativas como quantitativas, dependendo do processo utilizado.

A observação consiste na recolha de informação, de modo sistemático, através do contacto

directo com situações específicas. Esta técnica permite obter uma visão mais completa da
realidade, podendo também, permitir a detecção e obtenção de informações por vezes não
apreendidas por outros métodos (Ferreira, et al., 2012).

Uma das características básicas da observação tem sido tradicionalmente o seu não-
intervencionismo. O observador não manipula nem estimula os seus sujeitos.

Para Ferreira et al. (2012) existem três tipos de observação: observação participante, observação
não participante e a observação sistemática.

 A observação participante tem sido utilizada por pesquisadores para colher dados cujos
participantes não são facilmente acessíveis por meio de outros métodos, para identificar
os resultados práticos específicos, e documentar os processos.

 Observação não participante, na qual o pesquisador não se envolve com o objecto

pesquisado. Na observação não participante, o pesquisador permanece alheio à
comunidade ou processoao qual está pesquisando, tendo um papel de espectador do
objecto observado.

 Observação sistemática ou planeada do pesquisador deve escolher previamente o

fenómeno a ser estudado e o foco exacto que irá seguir para a análise, elaborar um plano
com as categorias de análises necessárias, construir objectivos prévios à pesquisa e
realizar uma observação controlada. Esse tipo de observação sistemática permite a
produção de dados quantitativos.

13
Assim, a técnica de recolha de dados por observação participante foi adoptada para obter dados
sobre a implementação de infra-estruturas da banca electrónica. Também foi usada esta técnica,
para explorar a experiência vivida dos participantes no processo de gestão de risco em
instituições bancárias. Com base nesta técnica, foi possível identificar os processos de negócio
nas instituições em estudo.

2.5 Análise de Dados

A análise de dados é um processo no qual os dados tomam um significado. Para a esta pesquisa
foram analisados dados colhidos no período compreendido entre Fevereiro e Novembro de 2014.

No entanto, a pesquisa é entendida como um conjunto de acções realizadas através do uso de

métodos e de técnicas com vista a encontrar respostas de um determinado problema. Segundo
Teixeira (2003), o processo de pesquisa representa um ciclo que começa com um problema ou
uma pergunta e termina com um produto provisório capaz de dar origem à novas interrogações.

Ainda, Teixeira (2003) defende que a pesquisa é composta por três fases, nomeadamente fase
exploratória, trabalho de campo e tratamento dos dados:

 Na fase exploratória da pesquisa são interrogados aspectos referentes ao objecto, aos

pressupostos, às teorias pertinentes, à metodologia apropriada e às questões operacionais
necessárias para desencadear o trabalho de campo.

 Em seguida, é estabelecido o trabalho de campo, que consiste no recorte empírico da

construção teórica elaborada no momento. É nesta etapa que são combinadas várias
técnicas de recolha de dados, como entrevistas, observações, pesquisa documental e
revisão bibliográfica, dentre outras.

 Por fim, é necessário elaborar o tratamento dos dados recolhidos no campo, que pode ser
subdividido em: ordenação, classificação e análise propriamente dita.

14
Contudo, a pesquisa qualitativa é um processo interativo que permite ao pesquisador produzir
dados fiáveis e fidedignos. Por outro lado, o processo de recolha e análise dos dados é recursivo
e dinâmico, além de ser altamente intuitivo.

A fase do tratamento dos dados leva o pesquisador à teorização sobre os dados, produzindo o
confronto entre a abordagem teórica anterior e o que a investigação de campo aporta de singular
como contribuição.

Após a recolha de dados, a fase seguinte da pesquisa é a de análise e interpretação. Estes dois
processos, apesar de conceitualmente distintos, aparecem sempre estreitamente relacionados:

A análise tem como objetivo organizar e sintetizar os dados de tal forma que possibilitem o
fornecimento de respostas ao problema proposto para investigação. Já a interpretação tem como
objetivo a procura do sentido mais amplo das respostas, o que é feito mediante sua ligação a
outros conhecimentos anteriormente obtidos.

A análise de dados é o processo de formação de sentido além dos dados e, esta formação se dá
consolidando, limitando e interpretando o que as pessoas disseram e o que o pesquisador viu e
leu, isto é, o processo de formação de significado. A análise dos dados é um processo complexo
que envolve retrocessos entre dados pouco concretos e conceitos abstratos, entre raciocínio
indutivo e dedutivo, entre descrição e interpretação. Estes significados ou entendimentos
constituem a constatação de um estudo.

Neste trabalho, os dados foram analisados na medida em que era feita a recolha dos dados e,
várias vezes foi necessário reconfirmar junto dos entrevistados e da documentação.

Em estudo qualitativo, o jeito certo para analisar dados é fazê-lo simultaneamente com a sua
recolha. Não há dúvida que sem análise contínua, os dados podem não ter o foco. A recolha e a
análise de dados acontecem simultaneamente dentro e fora do campo.

O processo de análise de dados foi executado em simultâneo com a recolha de dados nas
instituições bancárias em estudo. Contudo, a partir do modelo proposto, dos 3 modelos
analisados (COSO ERM, ISO 31000 e Aviso 04/GBM/2013) e os dados colhidos foi feita a
confrotação com relação ao processo de gestão de risco operacional. Para cada instituição

15
bancária e para cada infra-estrutura da banca electrónica foi feita a análise do cenário por forma
obter o entendimento das exposições ao risco operacional.

Os dados das instituições bancárias foram codificados de acordo com um termo específico.

2.6 SUMÁRIO

A realização desta pesquisa teve em consideração a abordagem qualitativa, visto que, descreve e
analisa os modelos do processo de gestão de risco operacional em infra-estruturas da banca
electrónica. Quanto aos procedimentos técnicos adoptados, a pesquisa é classificada como sendo
estudo de caso, dado que esta, explora detalhadamente o processo de gestão de risco operacional
de infra-estrutura da banca electrónica em 6 instituições bancárias.

Nas amostras, foram escolhidas instituições bancárias que disponibilizam aos seus clientes no
mínimo 4 infra-estruturas da banca electrónica, tendo sido escolhidas, por se considerar que
essas instituições estavam ao alcance do pesquisador e tendo mostrado alguma abertura para
colaboração, sendo codificadas como Banco A, Banco B, Banco C, Banco D, Banco F e Banco
E.

Diversas técnicas de recolha de dados são usadas na execução de um projecto de pesquisa para a
obtenção de dados que possibilitam responder as questões da pesquisa. No entanto, para esta
pesquisa foram usadas as seguintes técnicas: entrevistas, questionários, observação, revisão
documental e consulta das páginas web das 6 instituições.

O processo de recolha e de análise dos dados foi realizado em simultâneo, tendo sido possível
agrupar os dados e permitir a sua interpretação.

16
CAPITULO 3 – FUNDAMENTOS TEÓRICOS

Neste capítulo são abordados conceitos e teorias sobre a inovação tecnologia, como uma forma
de enfatizar o processo inovativo que se verifica nas instituições bancárias, o que a banca
electrónica representa nesta pesquisa e quais os seus benefícios para as instituições e aos clientes,
e ainda o risco operacional e o processo de sua gestão.

3.1 Inovação Tecnológica

A sociedade e as organizações modernas vivem, hoje, momentos caracterizados pelas constantes

inovações. Tidd, et al. (2005) consideram que a inovação é impulsionada pela habilidade de
estabelecer relações, identificar e tirar proveito das oportunidades que ocorrem. Contudo, o
termo inovação pode ser compreendido de várias maneiras e sob ponto de vista de Lemos (1999),
Tidd & Bessant (2009) e Tidd, et al (2005) pode ser tratada em duas perspectivas distintas: (i)
inovação radical e (ii) inovação incremental.

Lemos (1999) considera que a inovação radical pode ser entendida como o desenvolvimento e
introdução de um novo produto, novo processo ou forma da organização inteiramente nova,
podendo representar uma ruptura estrutural com o padrão tecnológico anterior. Por outro lado
Tidd, et al (2005) entendem que a inovação radical pode envolver algo completamente novo ou
uma resposta à condições profundamente alteradas.

Sendo assim, a inovação pode ser um novo produto, um novo serviço, uma nova tecnologia ou
ainda uma nova prática organizacional.

A inovação incremental é referida por Lemos (1999) como sendo introdução de melhorias no
produto ou processo organizacional procurando a sua optimização. Por sua vez Tidd, at el (2005)
defendem que a inovação incremental inicia de algo conhecido e que pode ser aprimorado. É o
tipo de inovação que ocorrem de forma permanente e consiste na necessidade de renovação
contínua das actividades da organização.

Para Rogers (2003) a inovação é uma ideia, prática ou objecto que é percebido como sendo novo
pelo individuo ou unidade de adopção. A visão de Rogers dá-nos a entender que a inovação é um

17
processo de renovação ou de introdução de novidade que pode partir de uma ideia ou de uma
prática existente.

Com o surgimento da internet e o rápido desenvolvimento das tecnologias de informação e

comunicação, de um modo geral, criou-se esse ambiente favorável para ocorrência de mudanças
radicais na actuação dos bancos. Hoje a indústria bancária em Moçambique realiza as operações
bancárias de forma completamente diferente do que acontecia até aos finais da década 90.

Por exemplo, o Banco A foi o primeiro banco em Moçambique a introduzir serviços de cartões
de débito e crédito, internet banking e cartão pré-pago; e o Banco B foi o primeiro banco a
eliminar o processo de preenchimento de talão de depósito, só para citar algumas inovações que
ocorreram na banca nacional.

O processo de inovação dos bancos é directamente influenciado pelo desenvolvimento e pela

introdução da tecnologia de informação e comunicação, dando origem as nova forma de
disponibilizar os produtos e serviços bancário, através de diversas infra-estruturas da banca
electrónica. Deste modo, a seguir é detalhado o conceito da banca electrónica.

3.2 Conceitualização da banca electrónica

O uso da tecnologia de informação e comunicação foi vista como ferramenta de suporte as

operações bancárias, ajudando na rápida execução das tarefas, de modo conveniente e com
menos falhas.

Os primeiros sinais da banca electrónica surgem, segundo Kondabagil (2007), por volta de 1968
com aparecimento pela primeira vez do ATM (Autometed Teller Machine). A partir desta altura,
os serviços bancários, virados ao cliente, começam a ser levados a cabo. Os clientes passaram a
realizar as suas próprias transacções como transferências e pagamentos de serviços. O passo
seguinte da banca electrónica, foi o uso de cartões de débito e de crédito em EPOS (Electronic
Point of Sale) para transferência de fundos (Kondabagil, 2007).

18
O desenvolvimento da banca electrónica começa a ser visível e novos produtos e serviços
bancários são criados. O avanço das tecnologias de informação e comunicação permitiu o
desenvolvimento de uma nova face da banca electrónica, surgindo deste modo a banca móvel.

Actualmente, o sucesso de uma instituição bancária é determinado pela capacidade de fornecer

produtos e serviços bancários inovadores, e providenciar o acesso remoto as operações bancárias,
por meios de tecnologias avançadas que satisfaçam as necessidades dos clientes. Qualquer
utilizador com acesso a um dipositivo electrónico como computador, telefone móvel, telefone
fixo tradicional, tablet ou iPad pode conectar-se ao seu banco e realizar qualquer operação
bancária disponibilizada através das infra-estruturas da banca electrónica.

Segundo Banco de Moçambique (2010) estão diponíveis na banca Moçambicana várias infra-
estruturas da banca electrónica, como ATM, Internet Banking, POS, Telefone banking, banca
móvel e sms banking usados para disponibilizar vários produtos e serviços bancários.

O termo banca electrónica pode ser entendido de diversas formas. Para Dashore & Jain (2009),
ela é uma forma de realizar operações bancárias na qual os fundos são transferidos
electronicamente entre instituições financeiras ao invés da troca física do dinheiro, dos cheques
ou outro instrumento negociável.

Por outro lado, FFIEC (2003) e Boateng & Molla (2006) entendem que banca electrónica é o
fornecimento de produtos e serviços novos aos clientes por meio de canais e redes electrónicas
de comunicação. Por sua vez, BIS (2003) consideram que banca electrónica é a provisão de
produtos e serviços bancários através de canais electrónicos como também pagamentos
electrónicos e todos serviços bancários fornecidos por via electrónica.

Ndlovu & Sigola (2013) definem banca electrónica como sendo uma forma de disponibilizar
serviços e mercados financeiros através da computação e da comunicação electrónica. E de
acordo com Salehi & Alipour (2010) banca electrónica é automatização da maneira como são
disponibilizados os novos e os tradicionais produtos e serviços bancários aos clientes através de
meios de comunicação electrónicos e interactivos.

Vários autores como Dashore & Jain (2009), FFIEC (2003), Boateng & Molla (2006), BIS
(2003), Ndlovu & Sigola (2013), Salehi & Alipour (2010), Mobarek (2007), NITSURE (2004),

19
Alagheband (2006) e Kiran at el (2014) entendem que os produtos e serviços bancários da banca
electrónica são fornecidos por via de canais electrónicos como ATM, POS, Internet banking
(usando dispositivo com acesso a um navegador internet, tal como computador, tablet,
smartphone, etc), Telefone Banking (usando telefone fixo ou telemóvel) e Banca móvel (usando
telemóvel), que constituem as diversas infra-estruturas tecnológicas que permitem a realização
de operações bancárias.

A abordagem trazida pelos vários autores torna a tecnologia de informação e comunicação um

elemento chave da inovação e do desenvolvimento da actividade bancária.

3.3 Teoria da Infra-estrutura Tecnológica

Para um melhor entendimento do termo infra-estrutura, são consideradas nesta secção, as

diversas aboradagens dos vários autores. Considera-se infra-estrutura tecnológica a todos
componentes (hardware, sistemas, software e serviços comummente usados numa organização)
necessários para fornecer serviços de tecnologias de informação aos clientes (Laan, 2011).

Por outro lado, Hanseth (2002) defende que as infra-estruturas de informação são
particularmente emergentes de novas soluções de internet e desenvolvimento de infra-estruturas
de um sector específico do negócio e também através de sistemas de informação integrados.

A competitividade e a globalização fazem com que as organizações integrem os seus sistemas

com os dos seus clientes, parceiros e fornecedores ao longo do globo. Actualmente, os sistemas
de informação são uma onda poderosa que propaga as soluções tecnológicas, tanto ao nível de
diversos pontos geográficos, organização ou área de negócio.

Esses sistemas podem ser visto segundo Hanseth (2002) como sendo parte da infra-estrutura e a
estratégia para o seu desenvolvimento deve provir das características dessas infra-estruturas.
Deste modo, o mesmo autor argumenta que os sistemas de informação integrados e as diversas
aplicações informáticas podem ser vistas como infra-estruturas.

A infra-estrutura segundo Hanseth (2002) é descrita como um recurso que deve ser partilhado,
ou uma fundação para execução para uma comunidade. Esta descrição pode ser analisada na

20
perspectiva de interrelacionamento de sistemas, organização e a sociedade, onde há partilha de
dados, interoperabilidade dos sistemas, permitindo deste modo, a maior abrangência de usuário
da infra-estrutura.

As infra-estruturas da banca electrónica criam essa fundação para execução na organização,

podendo as instituições bancárias disponibilizar produtos e serviços bancários sem ter que
desenvolver uma solução isolada. Sendo, neste caso, o processador host, que faz o roteamento de
todas operações, um elemento fundamental de integração dos vários sistemas das diferentes
instituições bancárias. Analisando a cada uma das infra-estruturas da banca electrónica: o ATM,
POS, Internet banking, m-bamking e Telefone banking, pode-se notar que, necessitam de ser
preparadas de acordo com as características de cada rede que integra.

Nota-se também que, cada uma dessas infra-estrutura disponibiliza os produtos e serviços
bancários a qualquer cliente bancário com acesso a elas. Cada uma dessas infra-estruturas podem
ser entendidas a partir dos detalhes que são apresentados a seguir.

Caixa Automática (ATM)

ATM é um dispositivo de telecomunicação computarizado que permite aos clientes das

instituições financeiras usar directamente um método seguro de comunicação para o acesso das
suas contas bancárias (Curran & King, 2008). As operações bancárias realizadas a partir destas
infra-estruturas da banca electrónica são executadas pelos respectivos clientes sem a intervenção
do trabalhador do banco.

Muitos ATM estão conectados a uma rede interbacária, como Ponto 24 e a SIMO, que
possibilitam às pessoas realizar várias operações bancárias em qualquer máquina dos bancos
onde, a conta não é domiciliária ou mesmo efectuar levantamento fora do país onde a conta é
domiciliária (Harun-Ur-Rashid, 2011).

Harun-Ur-Rashid (2011) considera também que, os ATM actuais podem usar sistemas operativos
como Microsoft Windows e Linux, o que as torna vulneráveis a problemas que ocorrem em
computadores convencionais e, são tipicamente constituidos pelos seguintes dispositivos:

21
  Unidade Central de Processamento (CPU) que controla o interface do usuário e
dispositivo de transações. A CPU processa e valida os dados do cliente conectando ao
computador do banco depois da inserção do cartão no ATM;

 Leitor de cartão magnético e/ou Chip para identificar o cliente.

 PIN Pad

 Processador de segurança

 Ecrã usado pelos clientes na realização nas transações bancárias

 Teclas de funções, normalmente próximas do ecrã, ou um touch screen usado para

seleccionar vários aspectos da transação bancária

 Impressora que providencia o registo da transação feita pelo cliente

Para Khalifa & Saadan (2013) os ATMs são baseados no conceito de sistemas de base de dados
centralizado. Os ATMs são conectados à um processador host (host Computer) que é um gatway
para as várias redes de ATM tornando-as disponíveis para os clientes (Figura 2).

Figura 2: Rede de ATM (Khalifa & Saadan 2013)

Para efectuar uma transacção o ATM deve envia solicitação ao processador host o qual realiza o
roteamento necessário para a rede do banco do cliente. A transacção pode ser roteada para várias
redes antes de achar a rede do banco do cliente. Assim que o roteamento da transação identifica o
banco do cliente é enviada uma mensagem ao processdor host a confirmar a realização da

22
transação com sucesso. Por sua vez, o processador host envia uma mensagem de confirmação ao
ATM, autorizando a realização da transacção do cliente.

Segundo Babatunde & Charles (2013) os ATM contém um identificador da terminal (TID) que
possibilita a identificação do seu sistema de processamento.

Figura 3: Rede de ATM e POS que operam em Moçambique

Para o caso vertente das instituições bancárias que operam em Moçambique, os ATM usa o
sistema operativo windows e pertencem a diferentes redes interbancárias tais como Autobank,
Autocash, Multirede, a SIMO e Ponto 24 (Figura 3). É de salientar que muitas das instituições

23
que operam em Moçambique estão associados a rede VISA o que lhes permite a realização de
operações em ATM ou POS de diferentes redes interbancárias.

Terminal de Pagamento Automático (POS)

Várias literaturas (Monshouwer & Valverde, 2011; Mendonça & Carneiro, 2004; Milan at el,
2011) abordam o termo POS de diversas formas. Contudo, POS é um dispositivo usado para
processar as transacções realizadas através de cartão de crédito e/ou de débito. Um terminal POS
pode possuir no mínimo os seguintes elementos:

 Visor LCD (Liquid Cristal Display) para visualização de mensagens ao cliente e ao

operador. O LCD é capaz de criar gráficos e podem ser representados logotipos e
bandeiras de anúncio facilmente.

 Teclado complementar que serve para introduzir os dados no terminal.

 Impressora Térmica Integrada que usa aquecimento aplicado ao papel especial (térmico)
para produzir impressão do talão. O sistema de carregamento de papel é bastante
simplificado, basta inserir a bobina no compartimento de papel, puxar um pouco o papel
para que fique para fora e fechar a tampa.

 Leitor de cartões magnéticos que está incorporado na lateral direita possui um ícone que
mostra a direcção de inserção adequada do cartão. Este elemento tem a capacidade para
ler três trilhas simultaneamente da faixa magnética de um cartão de crédito.

 Leitor de Smart Card que está incorporado na parte frontal do terminal. O leitor Smart lê
Cartão Smart contém um ICC (Chip de Circuito Integrado) para armazenar contas,
transacções e outros tipos de informações pessoais. Possui características rigorosas de
segurança para assegurar a validade do cartão e do usuário.

 PIN pad é um teclado para a introdução de PIN

24
Como foi abordado no ponto anterior, os POS também estão interconectados a uma rede
interbancária como ilustra a figura 3.

Internet banking

Barnard (2013) entende que internet banking permite que o utilzador faça a gestão da sua conta
bancária e execute transações finaceiras na internet ao invés de recorrer ao caixa no balcão ou ao
telefone para realizar as operações. Matos (2013) defende que o seu uso remota desde os anos
80, com surgimento de primeiros bancos no mundo a oferecerem aos seus clientes serviços
processados pelos meios electrónicos.

Para que um banco ofereça o serviço de internet banking, necessita de um servidor (próprio ou
de terceiro), um website, um endereço electrónico que indica a localização do website no
servidor, links e protocolos de segurança (Estrada, 2005). No entendimento de Estrada (2005) o
servidor fará a ligação do banco com a rede mundial de computadores e, portanto, com os
microcomputadores dos clientes. O mesmo autor defede que o banco pode ter o seu próprio
servidor ou pode valer-se do regime de outsourcing (terceirização).

Banca móvel

A banca móvel também designada mobile banking ou simplesmente m-banking, segundo Sharma
(2011), deve ser entendida como sendo provimento de serviços bancários para os clientes a partir
dos seus dispositivos móveis. Por sua vez, Cernev (2010) considera a banca móvel como um
conjunto de serviços bancários móveis que envolve o uso de tecnologia e dispositivos portáteis
conectados a redes de telecomunicações moveis e permite ao utilizador realizar pagamentos,
transações e outros serviços financeiros.

A banca móvel é uma inovação tecnologica recente no sector bancário que de acordo com
Cernev (2010), Emmanuel (2007) e Banerjee, et al. (2011) pode ser disponibilizado por meio das
seguintes tecnologias:

25
  Short Messaging Service (SMS) - utiliza a tecnologia de mensagens curtas das
operadoras de telefonia móvel para efectuar transacções bancárias, onde o cliente envia
um SMS contendo comandos da operação pretendida que é enviado para um número
específico. Neste caso, o envio dos SMS é iniciado pelo cliente. Em alguns bancos
nomeadamente Bancos A, B, F e D, enviam mensagens aos seus clientes sem que estes
iniciem um pedido de informação. Estas mensagens muitas vezes são de alerta, dando a
indicação de algum movimento na conta bancária do cliente. A Figura 4 mostra esta
interação entre o cliente e o seu banco usando esta tecnologia.

Figura 4: Sistema de transmissão de dados na rede SMS. (Banerjee at el, 2011)

 Unstructure Supplementary Service Data (USSD) – trata-se de um serviço para envio de

mensagens em redes GSM, cuja utilização se assemelha ao SMS, contudo possui um
tráfego geralmente mais rápido e propicia uma maior segurança relativa (se comparado
ao SMS), uma vez que não permite encaminhar ou armazenar as mensagens recebidas
nos dispositivos móveis. Esta tecnologia é implementada em serviços como IZI do Banco
A, Mobile.24 na rede Ponto24 da interbancos, mKesh da mCel e M-pesa da Vodacom
Moçambique.

 Wireless Access Protocol (WAP) - tem um conceito similar ao de internet banking

propiciando uma usabilidade e facilidade de adopção pelos usuários de internet banking.
Sobre uma topologia baseada no WAP é possível construir um ambiente razoavelmente
seguro, uma vez que, os serviços estão baseados nos servidores internos do banco, tal

26
 como ocorre no internet banking. Os bancos mantém os sites WAP que são acedidos
pelos clientes a partir de um navegador WAP compactível com os seus telefones móveis
(Figura 5). Os utilizadores de aplicações móveis acedem os sites dos bancos através de
gateway WAP para realizar operações bancárias, tal como os utilizadores de internet
acedem ao portal web para ter acesso aos serviços bancários. Um gateway WAP é um
ponto de acesso a internet a partir da rede móvel.

Figura 5: Sistema de transmissão de dados na rede WAP. (Banerjee at el, 2011)

 Standalone Mobile Application Client – além de permitir os mesmos serviços básicos

acima mencionados, permite oferecer serviços bancários e financeiros mais complexos,
como seguros e home broker. São facilmente customizados de acordo com a interface do
utilizador, sendo um canal bastante seguro e confiável. Na maioria das vezes requer que
um aplicativo seja gravado no dispositivo móvel do cliente. Isto requer que o dispositivo
do cliente suporte um dos ambientes de desenvolvimento, especialmente Java. Como terá
sido comentado anteriormente que a banca móvel ainda está numa fase embrionária,
sendo que em Moçambique o Standalone Mobile Application Client disponibilizado pelos
Bancos A, B, C e D através de aplicativos denominados “Aplicativo Mobile”, “Directo
App”, “Smartphone banking” e “Mobileplus” respectivamente.

 Interactive Voice Response(IVR) o acesso aos serviços bancários dá-se a partir de uma
chamada telefónica para um número IVR específico, que é fornecido pelo banco. As
chamadas são atendidas por uma mensagem gravada e é disponibilizado o menu dos

27
 diferentes serviços bancários prestados. O cliente pode escolher as opções dos serviços
pressionando a tecla correspondente do seu telefone móvel e de seguida é lida a
informação correspondente. A banca móvel baseada nesta tecnologia apresenta uma
grande limitação, devendo apenas ser usada para serviços de consulta de informação. A
sua implementação envolve custos elevados se comparado com a tecnologia SMS, WAP
ou Standalone Mobile Application Clients.

Telefone Banking (Phone Banking)

O cliente para realizar as operações bancárias a partir desta infra-estrutura, necessita de efectuar
uma chamada para um centro de chamadas (call center) do banco que funciona 24 horas por dia.
O cliente é atendido por um operador do centro de chamadas, que também é empregado do
banco, fornece a informação solicitada após verificar que está a interagir com uma pessoa
autorizada.

Telefone banking é definido segundo Chovanová (2006) como sendo provimento de serviços
bancários usando uma linha telefónica clássica. Esta linha pode ser acedida a partir de um
telefone fixo ou telemóvel. Esta infra-estrutura da banca electrónica não necessita de requisitos
técnicos adicionais do telefone.

Deste modo, importa analisar os benefício que estas infra-estrutura providenciam as instituições
bancárias bem assim dos seus clientes.

3.4 Benefícios da banca electrónica

Qualquer organização que implementa tecnologias de informação e comunicação inovadoras

procura obter vantagens de sua adopção. Segundo Ndlovu & Sigola (2013) e Joshua & Koshy
(2011) os bancos tem vindo a adoptar tecnologias de informação, como recurso inovador, para a
melhoria da eficienência, da qualidade de serviços prestados, do atendimento aos clientes,
redução de custos, atrair novos clientes e obter vantagens competitivas. A tecnologia de

28
informação adiciona valor ao negócio proporcionando produtos e serviços bancários em qualquer
lugar, a qualquer hora e de diversas formas.

Diversos estudos sobre os benefícios da banca electrónica foram levados acabo. Segundo Baten
& Kamil (2010), a implementação de infra-estrutura da banca electrónica possibilita a redução de
custos operacionais dos bancos. Este cenário implica a redução da necessidade de abertura de
novos balcões, sendo que, os clientes realizam a maior parte das operações bancárias sem a
necessidade de se deslocar a um balcão. Ndlovu & Sigola (2013) consideram que, por exemplo,
um ATM pode realizar as mesmas operações bancárias, executadas por um operador de caixa no
balcão à metade do custo e com uma maior produtividade.

A banca electrónica maximiza a disponibilidade e acesso aos produtos e serviços bancários,

permitindo deste modo, que maior parte dos clientes usufrua destes a qualquer hora e em
qualquer lugar. Ndlovu & Sigola (2013) entendem, ainda, que a implementação da banca
electrónica como sendo um complemento e substituto da banca tradicional onde há uma melhor
comunicação e interação com os clientes.

Com a globalização da industria bancária, os clientes podem efectuar operações além fronteiras
usando infra-estruturas da banca electrónica. Autores como Maimbo at el (2010), defendem
ainda que a banca electrónica pode impulsionar a expansão, o alcance de população não
bancarizável bem como criar facilidades para efectuar transações além fronteiras.

A banca electrónica permite que o cliente faça o acompanhamento dos movimentos da sua conta
bancária sem que seja necessário a colaboração do operador do balcão. Pode reduzir a circulação
do dinheiro físico, visto que as infra-estruturas da banca electrónica permitem, igualmente a
realização de transferência de fundos de uma conta para outra, o que pode minimizar o custo de
produção do dinheiro.

Para além dos diversos benefícios que a banca electrónica podem oferecer, Bhargava & Chouhan
(2007) entendem que esta possui características únicas que podem aumentar o perfil de risco
instituicional, o nível de risco associado aos serviços financeiros tradicionais e de forma
particular do risco operacional.

29
3.5 Risco Operacional

Os ganhos de uma organização são os resultados das actividades desenvolvidas tendo em conta
as diversas exposições do risco operacional. O risco operacional pode ser definido de diversas
maneiras que, segundo o comité de Basileia (BIS, 2003) e (Pareek, 2011) é o risco de perdas
resultante de deficiências ou inadequação dos processos internos, pessoas e sistemas ou de
eventos externos. Esta definição inclui o risco legal, mas exclui os riscos estratégicos e de
reputação.

Por outro lado, Bessis (2010) considera que o risco operacional resulta do mau funcionamento do
sistema de informação, das regras internas de monitorização de riscos, dos procedimentos
concebidos para tomar acções correctivas em tempo útil ou em conformidade com a política de
risco da instituição.

Como pode-se observar das definições acima, o risco operacional não é um conceito novo na
indústria bancária. Deste modo, o risco operacional em infra-estruturas da banca electrónica pode
ser entendido como resultante de eventos internos e externos, como ineficiência dos seus
processos, interrupção das operações, falhas dos sistemas e tecnologias de informação, erro
humano e não conformidade com a regulamentação.

3.6 Gestão de Risco Operacional

Para gerir o risco operacional pode-se recorrer há diferentes modelos e técnicas sendo que os
modelos COSO Enterprise Risk Management e ISO 31000 os mais usados e divulgados. Uma
gestão de risco operacional eficiente, de acordo com Bessis (2010), leva a instituição a previnir
crises, falhas, a proteger a sua reputação e a melhorar o desempenho e consequentemente
aumenta estabilidade e a credibilidade do sistema.

O Banco de Moçambique através do Aviso 04/GBM/2013 de 18 de Setembro estabelece as

diretrizes de gestão de risco operacional para as instituições bancárias seguirem. Essas directrizes
contém princípios e recomendações que compreende as seguintes etapas Identificação,
Avaliação, Acompanhamento e Controlo de risco operacional.

30
Essas etapas constituem elementos chaves para um processo efctivo de gestão de risco
operacional para qualquer instituição, independentemente do seu tamanho ou área de negócio.
Assim, iremos a seguir descrever detalhadamente cada uma dessas etapas.

Identificação de Riscos.

Na identificação de riscos são considerados eventos internos e externos que afectam a

concretização dos objectivos da instituição (COSO, 2007; ISO, 2009a & Aviso 04/GMB/2013).
Nesta fase, as instituições bancárias devem ser capazes de identificar os riscos associados à cada
infra-estrutura da banca electrónica implementada. De acordo com a ISO (2009a) os riscos
identificados devem ser registados de forma consistente para permitir a sua revisão e contribuir
para a eficácia das fases subsequentes.

O processo de identificação de risco inclui análise e descrição das causas do risco, que
constituem factores originários de risco. As causas do risco podem ser identificadas usando a
técnica de análise causa-e-efeito (ISO, 2009b). A identificação de riscos pode ser realizada
usando diversas outras técnicas tais como brainstorming, Delphi, entrevistas, análise causa –
efeito, análise de cenários, entre outras (Anexo 3).

Avaliação de Riscos.

Terminada a fase de identificação dos riscos operacionais segue a sua análise e avaliação. Nesta
fase, segundo ISO(2009a), determina-se a magnitude da perda ou dano causado pelo risco, tendo
em conta a avaliação do impacto e da probabilidade de ocorrência. Na avaliação do impacto e da
probabilidade deve-se ter em consideração o sistema de controlo interno estabelecido, que inclui
políticas, dispositivos, práticas ou acções com vista a modificação do risco operacional.

Para a norma ISO(2009) várias técnicas podem ser usadas nesta fase, contudo, o presente
trabalho cingiu-se em analisar a técnica de mapeamento de risco.

31
O mapeamento consite na elaboração de uma matriz de risco de cada infra-estrutura da banca
electrónica implementada na instituição. Para Pouchain (2007) a matriz de risco pode ser
utilizada para o processo de avaliação por forma a classificar os riscos de acordo com a sua
magnitude. Desta forma, é possível definir-se estratégias de tratamento de riscos operacionais de
maior magnitude.

A matriz de risco faz a distinção da exposição aos riscos com base na criticidade e no
aprimoramento dos controlos. A matriz de risco é representada com base em duas variáveis:
probabilidade de ocorrência e impacto que são medidos numa escala de medida com graduação
de 5 níveis como ilustra a Tabela 1.

Tabela 1: Exemplo da Matriz de Risco

Médio Médio Alto Alto Alto

5

Baixo Médio Médio Alto Alto

2 3 4
Impacto

Baixo Médio Médio Médio Alto

Baixo Baixo Médio Médio Médio
Baixo Baixo Baixo Baixo Médio
1

1 2 3 4 5
Probabilidade

A matriz de risco está dividida em três zonas possíveis de intervenção. A zona verde corresponde
aos riscos operacionais com nível de exposição baixo e que não requer uma acção ou decisão
imediata para a sua mitigação. A avaliação de riscos que incidir na zona amarela, correspondente
ao risco Médio, requer que sejam tomadas medidas de mitigação eficientes. Para os riscos que
incidam na zona vermelha, correspondentes aos riscos Altos, deve-se tomar de imediato medidas
adequadas para sua mitigação.

Acompanhamento.

A melhoria contínua deverá acontecer ao longo do processo de gestão de riscos. De acordo com
Souza (2011) esta fase consiste no acompanhamento contínuo dos riscos identificados, controlo

32
das estratégias adoptadas para o tratamento dos riscos e análise das ocorrências ou incidentes. A
ISO (2009a) considera que os critérios de riscos poderão ser alterados, novas ocorrências
poderão incrementar as listas de riscos e as oportunidades poderão ser consideradas.

Por sua vez, o contexto interno e externo podem sofrer alterações e a instituição aprende com
seus sucessos e falhas. Esta fase inclui a avaliação do ambiente de controlo implementado, tendo
em conta a eficiência e a eficácia dos mesmos.

Controlo.

Nesta fase, as instituições devem ter estabelecidas as políticas, normas e procedimentos que
definem os níveis aceitáveis de exposição dos diferentes riscos associados à sua actividade
(COSO, 2004 & Aviso 04/GBM/2013). Para a ISO (2009) esta fase envolve a selecção de uma
ou mais opções para modificar os riscos e a sua implementação. Uma vez implementadas as
medidas de mitigação, surgem novos controlos ou modificação dos já existentes. Ainda para a
ISO (2009a) aqui são implementados os planos de acção para tratamento dos riscos que em geral,
podem ser:

 Redução da probabilidade de ocorrência;

 Evitados, não realizar a actividade;

 Remoção da fonte de risco;

 Aumentados, quando eles forem uma oportunidade;

 Compartilhados com terceiros (seguros por exemplo);

 Redução da consequência;

 Retidos por uma decisão bem consciente.

33
3.7 SUMÁRIO

O processo de inovação nas instituições bancárias é influenciado pelo desenvolvimento e pela

introdução da tecnologia de informação e comunicação, dando origem as nova forma de
disponibilizar os produtos e serviços bancário, através de diversas infra-estruturas da banca
electrónica.

O termo banca electrónica pode ser entendido de diversas formas, sendo que para Dashore &
Jain (2009) é uma forma de realizar operações bancárias na qual os fundos são transferidos
electronicamente entre instituições financeiras ao invés da troca física do dinheiro, dos cheques
ou outro instrumento negociável. A banca electrónica é disponibilizada através de infra-
estruturas como ATM, POS, Internet banking, banca móvel e Telefone Banking.

Neste capítulo, são enumerados alguns benefícios que as infra-estruturas da banca electrónica
oferecem aos clientes, bem assim as instituições bancárias. Para além dos benefícios, essas infra-
estruturas estão expostos ao risco operacional como qualquer instituição ou actividade. Neste
sentido, é apresentado aqui o conceito do risco operacional e processo de sua gestão. O processo
de gestão de risco operacional constituido pelas seguintes etapas: Identificação, Avaliação,
Acompanhamento e Controlo.

34
CAPITULO 4 – CASO DE ESTUDO - INFRA-ESTRUTURASDA BANCA
ELECTRÓNICA E PROCESSO DE GESTÃO DE RISCO OPERACIONAL

Este capítulo faz o levantamento do processo de implementação de 4 infra-estruturas da banca

electrónica nomeadamente Caixa Automática (ATM), Terminal de Pagamento Automático
(POS), Internet Banking, Banca Móvel e Telefone banking na disponibilização de produtos e
serviços bancários. O levantamento foi feito em 6 instituições bancárias designadamente Bancos
A, B, C, D, E e F.

A abordagem dada, neste capítulo, consiste no levantamento da situação actual do processo de

gestão de risco operacional para uma vertente específica dos riscos de infra-estruturas da banca
electrónica.

4.1. Infra-Estruturas da Banca Electrónica e o Processo de sua Implementação

O sector bancário em Moçambique tem mostrado, nas últimas décadas, melhorias significativas,
caracterizadas pela inovação dos seus produtos e serviços disponibilizados com base nas
tecnologias de informação e comunicação. Esta inovação permite que os clientes tenham acesso
à esses produtos e serviços, usando canais electrónicos de forma cómoda e a qualquer hora do
dia. Esses canais electrónicos são interligados através das redes interbancárias.

Em Moçambique existem várias redes interbancárias que operam de forma isoladas, tendo a
destacar as seguintes redes associadas aos Bancos A, B, C, D, E e F: rede Ponto24, a Multirede, a
Austocash, Autobank e a rede da SIMO. Algumas dessas redes estão associadas, apenas, há uma
instituição bancária, como é o caso da Multirede, da Autocash e Autobank.

As operações bancárias realizadas nestas redes, são integradas através da rede VISA. Esta
integração possibilita, por exemplo, que o cliente do Banco A efectue operações bancárias que
terminam em qualquer outra instituição bancária sem a intervenção de um operador, isto é,
através de infra-estruturas da banca electrónica.

35
De acordo com o boletim do Banco de Moçambique (Banco de Moçambique, 2010) as infra-
estruturas da banca electrónica disponibilizadas pelas instituições bancárias são as seguintes:
Caixa Automática (ATM), Terminal de Pagamento Automático (POS), internet banking,
Telefone banking e banca móvel.

No entanto, o ATM, o POS, o Internet Banking e a banca móvel são disponibilizados pelas 6
instituições acima referidas, ao passo que o telefone banking é disponibilizado apenas pelo
Banco A.

É de salientar que, essas infra-estruturas da banca electrónica começam a ser notórias, em

Moçambique, em finais da década 90 com aparecimento dos primeiros ATM. Este cenário de
inovação surge da necessidade de modernizar o Sistema Nacional de Pagamentos – SNP (Banco
de Moçambique, 2010). Assim, a tabela 2, estabelece uma relação comparativa entre bancos que
operam em Moçambique e as infra-estruturas da banca electrónica que elas disponibilizam.

Tabela 2: Infra-estruturas da banca electrónica disponíveis em cada Banco

Infra-estruturasda banca electrónica

Designação
Internet Telefone Banca
do Banco ATM POS
banking banking Móvel
Banco A X X X X X
Banco B X X X - X
Banco C X X X - X
Banco D X X X - X
Banco E X X X - X
Banco F X X X - X
Banco G X X X - -
Banco H X X X - X
Banco I X X - - -
Banco J X X X - -
Banco K X X X - X
Banco L X X - - -
Banco M X X - -
Banco N X X - - -
Banco O X X - - -
Banco P X X X - -
Banco Q X X X - -
Banco R - - - - -

36
 Como pode-se notar, nesta Tabela 2, 17 bancos fazem o uso de pelo menos uma infra-estrutura
da banca electrónica, para disponibilizar os seus produtos e serviços. Esses dados foram
compilados a partir das páginas web desses instituições bancárias.

No entanto, as infra-estruturas de ATM e POS são as mais disponibilizadas (cerca de 733 ATM e
4731 POS) e as mais usadas segundo Banco de Moçambique (2011).

Por outro lado, observa-se ainda que no universo de 18 instituições bancárias, 17 oferecem
produtos e serviços por via de ATM e POS, sendo a infra-estrutura da banca móvel é
implementado nas 8 instituições bancárias referidas na tabela 2, de diversas maneiras através de
tecnologia SMS, USSD e Aplicativos móveis.

As secções a seguir irão detalhar o processo de execução de operações bancárias bem assim os
produtos e serviços bancários disponibilizados através de ATM, POS, internet banking, Telefone
banking e banca móvel.

4.1.1. Implementação de Caixa Automática (ATM)

O cliente para realizar as operações bancárias no ATM é identificado através do cartão e o

número de identificação pessoal (PIN). Após a verificação da autencidade dos dados do cartão e
do PIN, o cliente escolhe a operação que pretende executar, como mostra a Figura 6.

A validação dos dados do cliente (cartão e PIN) e a execução da operação bancária são
efectuadas ao nível do processador host. O processo de validação dos dados do cliente é feita
sempre que o cliente queira executar uma operação.

Validados os dados do cliente, o processador selecciona a conta bancária correspondente e

associa a um menu de operações que possam ser executadas. Assim que uma operação bancária é
executada com sucesso o processador host actualiza a conta do cliente no seu banco.

Em caso de necessidade para executar operações bancárias com cliente de uma outra rede
interbancária, o processador host efectua o roteamento do pedido para a rede do banco do cliente.
Este cenário ocorre, por exemplo, quando o cliente do Banco A pretende executar uma operação

37
no ATM dos Bancos B, C, D, E ou F. Por outro lado, os clientes dos Bancos B, E e F podem
realizar as operações em ATM desses Bancos sem rotear as operações para uma outra rede, pois,
estão em uma rede interbancária comum. Para este último cenário, o roteamento poderá ser feito
para o banco do cliente.

A comunicação entre o ATM e o processador host, o processador host e o sistema principal do

banco é efectuada através da troca de mensagens. Os mecanismos de segurança desta
comunicação são geridos, na maioria dos casos, pelo processador host.

Figura 6: Processo de execução de uma operação bancária através de ATM

A figura 6 ilustra ainda o processo de execução de qualquer operação bancária que o cliente
pretenda executar e as diferentes iterações. Como pode-se observar o processador host
desempenham um papel preponderante tanto nas comunicações como na execução da propria
operação.

38
De acordo com a análise efectuada nas 6 instituições bancárias, o ATM é usado para efectuar
operações de depósitos de numerário e, largamente usado para realizar as seguintes operações
bancárias:

 Levantamentos: onde é possível efectuar levantamentos até cinco mil meticais (Moeda
Nacional) por cada operação.

 Consultas (Saldo, Movimento, NIB): pode-se efectuar as respectivas consultas com a

opção de efectuar a impressão do recibo. O NIB pode ser usado para transferências
interbancárias.

 Transferências: pode-se efectuar transferências de fundos entre contas do mesmo banco

(intrabancária) ou ainda entre bancos diferentes (Interbancárias). Na rede Ponto 24 só é
possível realizar transferências entre contas de bancos desta rede.

 Pagamentos: pode-se efectuar pagamentos das facturas dos diversos serviços

disponibilizados pelas entidades como EDM, AdM, TDM, Instituições de ensino, TV
Cabo, DsTV, Teledata, etc.

 Compras de recargas: pode-se adquirir diversos tipos de recargas das entidades como
Mcel e Vodacom (recargas para telemóvel), Teledata e In (recargas para internet). Na
compra de recarga o ATM imprime um recibo com os detalhes da recarga.

 Pedido de cheques: pode-se efectuar o pedido de cheques.

 Adesão aos serviços como Internet banking e Banca móvel, para os bancos da rede
Ponto 24.

Deste modo, no que se refere as operações realizadas por via de ATM variam de uma rede
interbancária para outra. Por exemplo, a figura 7 mostra os menus das operações que podem ser
realizadas num ATM de duas das redes interbancárias que operam em Moçambique.

39
 Figura 7: Exemplo de menu de um ATM (webpage1, 2014& webpage2, 2014)

Abaixo aborda-se o processo de implementação detalhado de uma infra-estrutura de POS após a

sua análise.

4.1.2. Implementação de Terminal de Pagamento Automático (POS)

Estes dispositivos permitem que um indivíduo detentor do cartão de débito ou de crédito tenha
acesso em tempo-real dos fundos e informação da sua conta bancária.

No entanto, o processo de execução das operações bancárias por esta via, obedece aos critérios
similares dos descritos anteriormente para a infra-estrutura de ATM.

Esta infra-estrutura requer o fecho das operações, onde todas operações realizadas são impressas
e no mesmo instante enviadas para o processador host.

Observa-se que os POS permitem ao comerciante realizar operações bancárias tais como:

 Compras: usando o cartão de débito ou de crédito, o cliente pode pagar as suas compras.
Caso o cliente preferir o cartão de débito para pagar as suas compras, o valor será
debitado na sua conta bancária. E caso opte por pagar com cartão de crédito, o valor da
compra será deduzido do seu limite de crédito.

40
  Consulta de Saldo: permite consultar o saldo disponível de um cartão de débito.

 Compra de Recargas: pode-se comprar vários tipos de Recargas (Mcel, Vodacom,

Teledata e In). O POS imprime um Recibo com os detalhes da Recarga a utilizar.

 Adiantamentos: os clientes podem pedir ao comerciante para efectuar um

"Adiantamento em Numerário" que será debitado na conta do cliente e creditado na conta
do comerciante

 Pré-Autorização: destinada a comerciantes que prestam serviços, cuja cobrança só pode

ser efectuada após o término do serviço prestado. A pré-autorização reserva um
determinado valor do crédito do cliente, por um período específico, para que seja
confirmado após término do serviço prestado. Essa é uma operação do POS que
proporciona alguma segurança aos comerciantes que actuam na área de Hotelaria, Rent-a-
Cars, entre outros. Esta operação só pode ser executada por cartões de crédito.

 Devolução: permite ao comerciante cancelar uma compra, revertendo o valor da compra

para conta bancária do cliente.

A seguir é abordado o processo de implemntação detalhada da infra-estrutura de internet

banking.

4.1.3. Implementação de Internet Banking

Internet banking não é nada mais que serviços bancários providenciados por meio de um
navegador web usando um computador, laptop, smartphone ou tablet. O cliente deve possuir um
código de utilizador, um código de acesso e um código de autorização para poder realizar as
operações bancárias.

As instituições bancárias exigem para o acesso às operações de consultas que, o cliente forneça
apenas o código do utilizador e o código de acesso, ao passo que para a realização de operações
como transferências, pagamentos e compras requer a inserção adicional do código de
autorização.

41
O código de autorização é implementado de forma diferenciado de instituição para instituição.
Algumas instituições como o Banco A enviam o código de autorização para o telemóvel do
cliente. Este código é gerado para cada operação bancária que se pretenda efectuar. Noutras
instituições, o código de autorização é criado de forma similar ao código de acesso, que consiste
numa combinação de letras, números e caracteres especiais.

Neste caso, o cliente tem acesso as operações bancárias a partir da página web do banco que é
acedida através da internet fornecida por um providor (ISP – Internet Service Provider). Depois
do acesso a página web que permite realizar as operações bancárias, o cliente pode navegar pelos
menus existentes.

Dentre várias operações disponibilizadas através de Internet banking dos bancos que operam em
Moçambique, destacam-se as seguintes:

 Consultas (Saldos, Movimentos, Extracto, NIB, Detalhes da conta): permite visualizar

saldos, movimentos, NIB e detalhes da conta do cliente bem como retirar o extracto da
conta.

 Compras de Recarga (Internet, Telemóvel, TV): pode-se efectuar a compra de vários

tipos de recargas das entidades como Mcel, Vodacom, In, Teledata, TV-ZAP.

 Pagamentos de Serviços: pode-se efectuar pagamentos de facturas de entidades como

DsTV, Teledata, Autoridade Tributária, MCNET, etc.

 Transferências (Nacionais e Internacionais): pode-se efectuar transferências

intrabancária e interbancária, bem como transferência para contas de bancos no
estrangeiro.

 Requisição (Cheques, Cartões): pode-se efectuar a requisição de cheques e cartões bem

como cancelamentos e consulta de transacções efectuadas pelos cartões do cliente.

 Alteração de Palavra-chave: permite trocar, sempre que o cliente achar necessário, as

credências de acesso ao internet banking.

Na secção abaixo é descrito o processo de implementação da infra-estrutura da Banca móvel.

42
4.1.4. Implementação da Banca móvel (m-Banking)

Esta infra-estrutura é implementada de várias formas:

 Através da tecnologia USSD;

 Standalone Mobile Application Client;
 SMS como mostrado no capítulo 3 ou ainda;
 Para efectuar operações de transferência de uma conta bancária para um número de
telemóvel.

Esta última forma de realizar operações bancárias pode ser executada usando a tecnologia USSD
ou Infra-estrutura de ATM.

Para efectuar operações bancárias usando o m-banking, implementado através da tecnologia

USSD, o cliente envia um código para o processador host correspondente, como por exemplo:
*181#, *124# e *443#. De seguida o processador host efectua a validação do número do
telemóvel.

Após a validação do número do telemóvel, o processador host envia, por mesma via, o menú
contendo as operações bancárias que podem ser executadas. Ao escolher a operação bancária a
executar, é exigido ao cliente o seu PIN para autorização da operação.

Por outro lado, algumas instituições bancárias como Banco A, banco B, Banco C e Banco D
disponibilizam para download aplicativos standalone mobile application cliente (Aplicativo
Mobile, “Directo App”, “Smartphone banking” e “Mobileplus”) por forma a que os cliente
efectuem as suas operações bancárias.

O aplicativo só pode ser instalado num telemóvel do tipo smartphone com sistema Andoid ou
Iphone. Com base nos dispositivos com esses sistemas e com acesso à internet, o cliente envia
uma mensagem para o sistema servidor para a validação do acesso às operações bancárias.

Contrariamente ao aplicativo mobile, que requer um smartphone para a realização das operações,
na banca móvel por SMS,o cliente pode fazer o uso de qualquer tipo de telemóvel. No entanto, as
operações são executadas a partir de um comando enviado no formato texto para o processador
host. A mensagem enviada inclui os dados para autenticação do cliente. Essas mensagens são

43
enviadas para os números de telemóveis tais como 822424, 842424 ou 842400024 da instituição
bancária do cliente.

Sempre que se pretenda executar as operações bancárias a partir desta infra-estrutura, requer a
intervenção de um operador de telefonia móvel para disponibilizar a ligação entre o dipositivo do
cliente e o seu Banco.

Contudo, os principais serviços bancários oferecidos pelas instituições bancárias: Banco A, B, C,

D, E e F, através da banca móvel distacam-se os seguintes e como pode-se constatar na figura 8:

 Pagamentos de serviços: pode-se efectuar pagamentos de facturas das entidades como

EDM, TDM, TVcabo, Vodacom, instituições do ensino superior, etc.
 Consultas(saldos, movimentos, câmbios,etc): pode-se efectuar consultas de saldo,
movimentos, de NIB, etc.
 Compras de recargas: pode-se efectuar a compra de recargas para telemóvel, internet e
electricidade (Credilec)
 Requisição de cheques

Figura 8: Exemplo de menú do standalone mobile application cliente (webpage1, 2014)

Aborda-se a seguir o processo de implementação detalhado de infra-estrutura de Telefone

banking.

44
4.1.5. Implementação de Telefone Banking (Phone Banking)

Telefone banking é uma infra-estrutura disponibilizada apenas pelo Banco A que consiste na
realização de chamada usando qualquer tipo de telefone. O cliente ao ligar para o Banco é
atendido por um operador. Para efectuar as operações bancárias, o operador solicita os dados de
acesso às operações, bem como os dados de autorização, acrescido de algum historial da conta
que o cliente deve fornecer. Todas as chamadas recebidas no centro de chamadas são gravadas.

No entanto, várias operações bancárias podem ser realizadas usando este infra-estrutura da
banca electrónica:

 Consulta de saldos, movimentos da conta, NIB, etc.

 Transferências intra e interbancárias

 Requisição, activação e bloqueio de cheques.

 Pedido, activação, substituição, cancelamento e bloqueio de cartões;

 Pagamento de serviços

Diferentemente do ATM e do POS, que os mecanismos de segurança são de total

responsabilidade do processador host, para telefone banking esses mecanismos são geridos pelas
instituições bancárias.

Assim, todas essas infra-estruturas abordadas como também qualquer actividade está exposto ao
risco. A seguir é descrita a forma como é realizada a gestão de risco.

4.2 Processo de Gestão de Risco

De acordo com o aviso 04/GBM/2013 de 18 de Setembro (Banco de Moçambique, 2013), todas

instituições bancárias devem definir uma estrutura de gestão de risco, incluindo os riscos
operacionais. Este aviso indica os procedimentos mínimos que devem ser obsevados por forma a
garantir que o processo de gestão de risco operacional seja eficiente e eficaz.

45
Embora o aviso traga a obrigatoriedade de apresentação de um plano anual de gestão de risco ao
Banco de Moçambique, que faz a supervisão dessas instituições bancárias, pode-se considerar
embrionário o nível de implementação deste processo, atendendo o período da publicação deste
aviso e a sua entrada em vigor.

Por outro lado, as instituições bancárias já vinham implementando o processo de gestão dos
principais riscos que cada uma delas considerava importante gerir, sendo a gestão de risco
operacional tratada com pouca profundidade comparada com a gestão dos demais tipos de riscos
a que estão expostos.

Nota-se que o risco operacional é gerido nestas instituições numa perspectiva centralizada, sendo
tratado de forma holística e está assente na adequação do ambiente de Controlo Interno com uma
forte intervenção da função da Auditoria Interna no processo de revisão dos controlos
implementados.

Na maioria dessas instituições (5), o risco operacional é tratado por uma entidade que se dedica a
sua gestão e sendo implementado de forma diferenciada, de instituição para instituição.

Importa referir que o processo de gestão de risco operacional deve consistir em identificar os
potenciais riscos operacionais a que cada uma das infra-estruturas da banca electrónica está
exposta, efectuar a sua avaliação tendo em conta a probabilidade de ocorrência e do seu impacto,
efectuar o devido acompanhamento e controlo. Da análise efectuada observa-se ainda que, 4
instituições bancárias não fazem a identificação, a avaliação, acomapnhamento e controlo do
risco operacional, de acordo com os 3 modelos abordados nesta pesquisa.

Contudo, essas instituições bancárias têm usado alguns mecanismos de gestão de risco
operacional que consistem em assegurar a segregação de funções, definição dos papéis e linhas
de responsabilidades e respectivas autorizações, definição dos limites de tolerância e exposição
aos riscos, definição de controlos de acesso físico e lógicos, realização de reconciliações,
produção de relatórios de excepções, contratação de seguros, implementação de acções de
formação internas sobre os processos de negócio, produtos e sistemas.

A Tabela 3 ilustra a compilação das diferentes abordagens da gestão de risco nestas 6 instituições
em análise.

46
Tabela 3: Processo de Gestão de Risco Operacional nas Instituições em estudo

Instituição Abordagem de Entidade de Gestão Instrumentos de Gestão

Etapas de Gestão de Risco Operacional
Bancária Gestão de risco de Risco de Risco Operacional

 Definição e documentação de princípios e

Departamento de Política de Gestão de práticas que garantam a gestão eficiente de
Banco A Centralizada.
Risco. Risco da Instituição. risco operacional;
 Implementação de mecanismos de controlo.

 Levantamento e documentação de todos os

processos;
 Identificação e registo dos riscos
operacionais associados a cada tarefa;
Comissão Executiva,  Registo de perdas efectivas e recuperações;
Adequado ambiente de
Comité de Risco  Lançamento, recolha e tratamento de
controlo, monitorizando e
Banco B Centralizada. Operacional e questionários de autoavaliação do risco
respondendo a riscos
Unidades de operacional;
potenciais.
Negócio.  Recolha e gestão de indicadores de risco
(KRI – Key Risk Indicators);
 Gestão de ocorrências e planos de acção
para mitigação de risco operacional; e
 Relatórios de gestão de risco operacional.

47
Instituição Abordagem de Entidade de Gestão Instrumentos de Gestão
Etapas de Gestão de Risco Operacional
Bancária Gestão de risco de Risco de Risco Operacional

Banco C Centralizada. Gestor de Risco. Não identificado.  Não identificado.

 Manutenção de uma estrutura de

Conselho de governação corporativa e sistema de
Políticas de Gestão de
Banco D Centralizada. Administração e controlo interno;
Risco.
Gestor de Risco.  Intervenção da Auditoria Interna na Revisão
dos Controlos.

Comissão Executiva,
Sistema de Controlo
Banco E Centralizada. Comité de Risco, Controlo e Vigilância.
Interno.
Comité de Auditoria.

 Manutenção de uma estrutura de

Gestores Seniores governação corporativa e sistema de
Procedimentos formais e
Banco F Dispersa. das Unidades de controlo interno;
informais.
Negócio.  Intervenção da Auditoria Interna na Revisão
dos Controlos.

48
Pode-se observar da análise efectuada a documentação disponibilizada que a estratégia adoptada
por essas instituições permite, de acordo com entendimento destas instituições, assegurar a
eficácia e a eficiência das operações executadas, bem assim a observância das leis e
regulamentos instituidos através de mecanismos de controlo interno.

Entretanto, nem todos os controlos, que as instituições implementam, poderão estar

formalizados, não garantindo assim uma implementação efectiva, podendo estar a funcionar com
deficiências ou ainda não estarem totalmente implementados.

Observa-se também que as 6 instituições não abordam de forma clara nem específica as técnicas
e métodos usados no processo de gestão de risco operacional, limitando-se numa abordagem
mais genérica e focada ao ambiente de controlo interno.

4.4 SUMÁRIO

Para cada infra-estrutura da banca electrónica, nomeadamente Caixa Automática (ATM),

Terminal de Pagamento Automático (POS), Internet Banking, Banca Móvel e Telefone banking,
é abordado o processo de sua implentação, bem como os principais serviços e produtos
disponibilizados através desses canais.

Essas infra-estruturas da banca electrónica possibilitam a realização, dentre várais, as seguintes

operações bancárias: levantamento de dinheiro, pagamento de serviços, compra de recargas,
transferência de fundos.

É feito, também neste capítulo, o levantamento da implementação do processo de gestão de risco

operacional ao nível nos Bancos A, B, C, D, E e F, escolhidos para a realização da presente
pesquisa.

49
CAPITULO 5 – ANÁLISE E DISCUSSÃO DE RESULTADOS

Neste capítulo, é feita a confrontação da situação actual e do referencial teórico sobre o processo
de gestão de risco operacional. Para tal, são considerados três modelos de gestão de risco,
nomeadamente COSO ERM, ISO 31000 e o Aviso 04/GBM/2013. Com base nos pressupostos
colhidos das entrevistas e das consultas da documentação bem como dos três modelos, foi
desenvolvido um modelo conceptual de gestão de risco operacional e uma proposta para a sua
implementação. Por último, é feita a confrontação das constatações e das contribuições do
modelo conceptual proposto.

5.1. Infra-estruturas da banca electrónica nas Instituições Bancárias

Um dos critérios usado na selecção da amostra foi a identificação de instituições bancárias que
disponibilizam pelo menos 4 infra-estruturas da banca electrónica. Assim, foram seleccionadas 6
instituições bancárias, designadamente Bancos A, B, C, D, E e F. Estas instituições têm vindo a
implementar diferentes infra-estruturas da banca electrónica, como ATM, POS, Internet banking,
Banca Móvel e Telefone Banking para disponibilização de produtos e serviços inovadores.

De todas essas infra-estruturas, apenas o Telefone banking é implementado pelo Banco A.

Contudo, as restantes instituições bancárias possuem um centro de atendimento ao cliente, onde
são resolvidas as anomalias detectadas pelos clientes.

As infra-estruturas da banca electrónica são implementadas de diferentes formas, variando de

instituição para instituição. Algumas instituições, como Banco A, Banco C e Banco D possuem o
seu próprio processador host que faz a intermediação bancária e é gerido internamente. As outras
instituições partilham pelo menos um mesmo processador host.

O processador host faz com que as mensagens enviadas ao banco, através das infra-estruturas
como ATM, POS, Internet Banking e Banca Móvel sejam, muitas vezes, por si validadas e
executadas. De seguida, este envia mensagem para actualização dos dados no sistema principal
do banco do cliente. Em caso de operações que afectam com contas bancárias de instituições que

50
pertencem à redes interbancárias diferentes, o processador efectua o devido roteamento da
mensagem.

Todas essas instituições bancárias estão interligadas a partir da mesma rede interbancária VISA,
que é uma empresa mudial de tecnologia de pagamentos e apoia os clientes dos bancos a
realizarem pagamentos electrónicos.

No entanto, serão abordados a seguir os diferentes modelos que podem ser usados na gestão de
risco operacional de infra-estrutura banca electrónica.

5.2. Modelos de Gestão de Risco Operacional

A gestão de risco operacional é um processo interactivo e cíclico que contribui para o

desenvolvimento contínuo da instituição. Como pode-se observar no capítulo 3, vários modelos
podem ser aplicados no processo de gestão de risco operacional em instituições bancárias.

Os modelos de gestão do risco mais divulgados e implementados, COSO ERM e ISO 31000, são
compostos por diferentes etapas que devem ser seguidas por forma a se alcançar o resultado
desejado.

As etapas constituem elementos fundamentais para o alcance dos objectivos do processo de

gestão de risco operacional. Deste modo, os modelos de referência para esta pesquisa,
nomeadamente COSO ERM e ISO 31000 são constituidos respectivamente por 8 e 7 etapas
essenciais para o processo de gestão de risco operacional.

Por outro lado, o Aviso 04/GBM/2013 de 18 de Setembro, define as directrizes de gestão de

risco operacional em instituições bancárias em Moçambique, considerando as seguintes etapas
fundamentais do processo de gestão de risco operacional: a Identificação e Avaliação de Risco, o
Acompanhamento do Risco e Sistema de Informação de Gestão, a Mitigação/Controlo de Risco e
ambiente de controlo interno robusto.

51
Os modelos COSO ERM e ISO 31000, bem assim as directrizes de gestão de risco operacional
abordam o processo de gestão de risco de forma muito genérica e num contexto de gestão global
da instituição.

Para o caso das 6 instituições bancárias identificadas para o presente estudo, nota-se algum
interesse no processo de gestão de risco operacional. Entretanto, em algumas instituições como
Banco A e Banco B, implementam ferramentas para identificar, avaliar a exposição ao risco
operacional, avaliar o sistema de prevenção e controlo, e a mitigação dos riscos operacionais.

Para tal, essas instituições utilizam a ferramenta para a Auto-avaliação de Risco e Controlos
(Risk and Controls Self-assessment – RCSA), que lhes permita efectuarem a medição do risco
operacional considerando várias categorias.

O Banco A e o Banco B consideram 7 categorias de fontes de risco operacional que lhes servem
de base para classificar, medir a exposição e as perdas, nomeadamente Fraudes Internas, Fraudes
Externa, Práticas de emprego e segurança no local de trabalho, Práticas com clientes, produtos e
práticas de negócio, danos em activos físicos, interrupções das actividades e falhas de sistemas, e
execução, concretização e gestão de processos.

Para a medição dos riscos operacionais, as duas instituições têm em conta a 3 classes de risco:
inerente (risco sem ter em consideração aos controlos e estratégias de mitigação implementadas),
residual (risco remanescente depois de adicionar os controlos e implementar as estratégias de
mitigação) e objectivo (nível de risco que a instituição aceita correr).

Nem todas instituições possuem uma ferramenta que lhes permitam identificar, avaliar, medir e
controlar os riscos operacionais a que estão expostas. Diferentemente do Banco A e Banco B, a
gestão de risco operacional nas restantes instituições está centrada na avaliação dos controlos.
Esta avaliação tem como principal interveniente a área de Auditoria Interna, sendo que não
existe uma estrutura específica de gestão de risco operacional.

No entanto, uma estrutura de gestão de risco operacional permitiria as instituições bancárias

definirem as etapas necessárias (Identificação de risco, Avaliação de risco, Acompanhamento e
controlo) para execução deste processo (discutido na secção 3.6).

52
Depois da abordagem das diferentes formas que instituições bancárias adoptam para a gestão de
risco operacional e os seus constragimentos, constituindo assim bases importantes para o
desenvolvimento do modelo conceptual de gestão de risco operacional. Os detalhes do modelo
conceptual proposto para a gestão de risco operacional são apresentados a seguir.

5.3. Modelo Conceptual de Gestão de Risco Operacional em Infra-estruturas da

banca electrônica

A figura 9 ilustra o modelo de gestão de risco operacional composto por 4 etapas essenciais. Este
modelo foi desenvolvido a partir dos fundamentos teóricos e da análise dos dados, sendo alguns
dados obtidos nas entrevistas e nos documentos consultados não poder ser referenciados de
forma explícita, dada a sua natureza confidencial.

O modelo irá proporcionar as instituições bancárias que operam em Moçambique, uma estrutura
de gestão de risco operacional que lhes permita controlar eficientemente os níveis de exposição
ao risco para cada tipo de infra-estrutura da banca electrónica.

Figura 9: Processo de Gestão de Risco (adaptado – ISO, 2009 e COSO, )

Este modelo define os principais elementos do processo de gestão de risco operacional,

nomeadamente: Estabelecimento do Contexto das infra-estruturas da banca electrónica,

53
Avaliação de Riscos (que inclui a identificação e mensuração de risco), Comunicação e Reporte,
Monitorização e Revisão, que são caracterizados nas secções a seguir.

5.3.1. Estabelecimento do Contexto

Nesta fase, são definidos parâmetros externos e internos a serem levados em consideração ao se
efectuar a gestão de risco operacional. É feita, também a categorização específica sobre o tipo de
risco operacional, factores de risco, probabilidade e o impacto. Esta categorização proporciona
uma linguagem clara e comum para a globalidade dos riscos operacionais.

A categorização deve ser utilizada de forma sistemática em todas fases do ciclo de gestão de
risco operacional. O contexto deve ser dividido em contexto interno e externo em relação a
organização. No contexto interno deve-se analisar sua estrutura organizacional, funções e
responsabilidades, os sistemas de informação que suportam a infra-estrutura da banca
electrónica.

No contexto externo, as questões como o ambiente legal, social, cultural, político, financeiro,
tecnológico, económico, dentre outros, devem ser analisados e avaliados.

5.3.2. Avaliação de Riscos

A avaliação de riscos consiste na sua identificação e mensuração. Os riscos são avaliados ao

nível das diferentes infra-estruturas da banca electrónica, usando diferentes ferramentas e
técnicas.

Esta avaliação providencia um entendimento sobre os riscos, a sua causa, o impacto e a sua
probabilidade de ocorrência. A tabela 4 mostra a estrutura de mapeamento dos riscos que pode
ser utilizada para registar e mensurar o nível de exposição de cada infra-estrutura da banca
electrónica.

54
 a. Identificação de Riscos

Na fase de identificação de riscos devem ser feitas as seguintes questões: O que pode
comprometer o alcance das metas do negócio, do serviço ou produto, ou da infra-estrutura? E o
que origina esse evento adverso?

Achando as respostas a essas questões, estará identificado o risco potencial e a respectiva causa.
Nesta fase, devem ser analisados os eventos internos e externos de cada infra-estrutura. Na
identificação de risco operacional deve-se ter em conta, também aos factores como pessoas,
processo, tecnologia e eventos externos que estão associados a cada infra-estrutura.

Existem várias técnicas e métodos que podem ser usados para identificar os riscos operacionais
(Anexo 3). Com base em entrevistas e consultas aos entendidos em matérias da banca electrónica
realizadas junto as instituições bancárias em análise, foi possível identificar para cada infra-
estrutura, alguns potenciais eventos de risco operacional, como é apresentado a seguir.

Caixa Automática (ATM)

Vários riscos podem ser identificados em infra-estrutura de ATM, contudo, a que considerar
alguns exemplos que representam potenciais evnetos de riscos operacionais:

 Falhas de comunicação em ATM;

 Erro ou falha dos componetes do ATM;

 Erros ou falhas na imputação dos movimentos efectuados pelos clientes;

 Erros ou falhas na regularização dos movimentos efectuados pelos clientes;

 Furto dos dados bancários dos clientes;

 Alteração das características do ATM através de incorporação de dispositivos como

skimmers e câmaras.

Terminal de Pagamento Automático (POS)

Para a infra-estrutura de POS, podem ser considerados como potenciais eventos riscos
operacionais os seguintes:

55
  Deficiências de POS;

 Invasão de segurança de POS;

 Erros ou falhas no sistema de autenticação;

 Violação de segurança de dados;

 Erros ou falhas de comunicações em POS.

Internet banking

Para a infra-estrutura de Internet Banking, foram identificados os seguintes potenciais eventos de

riscos operacionais:

 Erros ou falhas na visualização dos movimentos da conta;

 Indisponibilidade da página de internet banking;

 Violação das credenciais de acesso à conta do cliente;

 Alteração do conteúdo da página por pessoas não autorizadas;

 Vandalização da página de internet banking.

Banca Móvel

Quanto a infra-estrutura da banca móvel, podem ser considerados os seguintes potenciais eventos
de riscos operacionais:

 Violação de mensagens enviadas;

 Furto dos dados de contas dos clientes;

 Erros ou falhas de envio de mensagens;

 Erros ou falhas nas telecomunicações;

Telefone Banking

Para a infra-estrutura de Telefone banking, foram identificados os seguintes potenciais eventos

de riscos operacionais:

56
  Indisponibilidade do pessoal de atendimento;

 Indisponibilidade das linhas de comunicação;

 Erros ou falhas de comunicações;

 Fornecimento de informação bancária de clientes à pessoas não autorizadas;

 Mau atendimento aos clientes.

b. Medição de Risco

A medição consiste na definição do nível de exposição ou magnitude do risco de infra-estrutura

da banca electrónica. O nível de exposição pode ser qualitativo ou quantitativo, onde técnicas e
modelos qualitativos e quantitativos são usados.

Pode-se usar, também outras medidas para definir o nível do risco tais como: Indicadores Chave
de Risco (KRI) e a Matriz de Risco que inclua a classificação qualitativa ou semi-qualitativa
(Tabela 4). A medição do nível de risco visa, fundamentalmente, definir a estratégia de
mitigação dos risco, seleccionar e/ou classificar os riscos.

Tabela 4: Exemplo de Mapeamento de risco

57
O modelo de medição aqui apresentado, inclui também a classificação dos tipos de risco e os
factores de risco, que podem variar de uma instituição para outra, de acordo com as actividades
desenvolvidas e o seu tamanho.

Esta tabela ilustra ainda alguns exemplos que podem ser adoptados para o tipo de risco (risco de
transacção, risco de fraude, risco de indisponibilidade, risco de recursos humanos, risco de
outsourcing, risco de irregularidade e outros) e para factores de riscos (pessoas, sistemas,
governança ou processo de negócio e eventos externos).

5.3.3. Estratégia de Mitigação de Riscos

Nesta fase, são implementadas acções que visam reduzir a probabilidade de ocorrência do risco,
remover a fonte de risco, partilhar com terceiros, evitar a realização de actividades cujo impacto
mostre-se negativo para a infra-estrutura.

Por outro lado, as estratégias envolvem a selecção e implementação de uma ou mais opções para
modificar os riscos. A estratégia de mitigação pode fornecer novos controlos ou modificação dos
já existentes.

As estratégias de mitigação devem ser comunicadas e reportadas, o que permite a monitoria de

sua implementação, assim como a sua revisão.

5.3.4. Comunicação e Reporte

A comunicação visa assegurar que todos interessados tenham acesso a informação relevante e
tenham uma visão adequada sobre o nível de exposição ao risco operacional. Deve-se assegurar,
também nesta fase, uma estrutura de comunicação de incidentes por forma a que sejam tomadas
medidas necessárias e oportunas para o seu tratamento.

Por outro lado, o reporte deve ser feito de forma regular e consistente, dando a informação sobre
o nível de exposição ao risco operacional e estratégias de mitigação estabelecidas.

58
O reporte deve constituir elemento essencial do processo de gestão de risco operacional da
instituição.

5.3.5. Monitoria e Revisão

A monitoria e revisão dos riscos operacionais ocorre de forma contínua ao longo do processo de
sua gestão. As causas de riscos, a frequência e o impacto dos e riscos poderão ser alterados e
novas ocorrências poderão surgir a incrementar o mapa de riscos que deverão ser considerados.

O contexto interno e externo podem sofrer alterações e a instituição aprender com seus sucessos
e falhas. Deste modo, deve-se assegurar uma monitoria e revisão dos riscos identificados, bem
assim do tratamento dos incidentes.

5.4. Estratégia de Implementação do Modelo Conceptual

Qualquer projecto, dentro de uma instituição, requer apoio da gestão do topo para alcançar os
objectivos definidos. Esta ideia também é sustentada nas directrizes de gestão de risco
operacional, onde são definidas as responsabilidades da gestão do topo pela criação da cultura de
gestão de risco operacional na instituição de uma forma holística.

As entrevistas conseguidas junto dos gestores e quadros seniores das instituições em análise,
proporcionaram algum entendimento sobre o compromisso que é assumido pela gestão do topo
com relação ao processo de gestão de risco operacional. Foi possível observar o envolvimento da
gestão executiva ou de um comité de gestão ou ainda do conselho de administração das
instituições bancárias no processo de gestão de risco operacional (Tabela 3).

Para além do envolvimento ou compromisso da gestão do topo, o processo de gestão de risco

operacional requer também, a adopção de estratégia que permitam as instituições bancárias
efectuarem a troca de experiência.

É notório que, muitas instituições bancárias partilham ou usam tecnologias similares na

realização das operações, através da banca electrónica. É preciso notar ainda que, as instituições

59
bancárias em análise, possuem todas as suas sedes na capital do País. Estas estão numa
envolvente externa similar, sujeitas as mesmas situações de exposição ao risco operacional.

A constituição de um fórum de gestão de risco operacional das instituições bancárias que operam
em Moçambique poderiam partilhar suas experiências deste processo, métodos e técnicas que
podem ser aplicados, bem assim a identificação de champions do processo de gestão de risco
operacional em cada infra-estrutura da banca electrónica, seria uma alternativa viável.

Independentemente da estrutura e do tamanho da instituição, o fórum permitiria colmatar

algumas lacunas e melhorar a abordagem de implemtação do processo, bem assim antecipação
de novos fenómenos que vão surgindo.

5.5. Análise comparativa da estrutura de gestão de risco operacional em infra-estrutura

da banca electrónica

Como foi definido no capítulo 1, o objectivo desta pesquisa é desenvolver um modelo conceptual
de gestão do risco operacional conciderando o ambiente de implementação das infra-estruturas
da banca electrónica em instituições bancárias que operam em Moçambique.

Para isso, foram consideradas 5 infra-estruturas, nomeadamente ATM, POS, Internet Banking,
Telefone Banking e Banca Móvel que são disponibilizadas por 6 instituições bancárias
designadamente Banco A, Banco B, Banco C, Banco D, Banco E e Banco F.

Quanto ao modelo gestão de risco operacional proposto consiste em 5 etapas essenciais,

nomeadamente: estabelecimento do contexto, avaliação de risco (inclui a identificação e a
mensuração), estratégia de mitigação dos riscos, comunicação e reporte, Monitoria e Revisão.

Cada instituição bancária, de acordo com a sua estrutura, organiza o processo de gestão de risco
operacional constituindo órgãos e funções que auxiliam o desenvolvimento e monitoria dos
controlos bem assim a avaliação da adequacidade desses controlos.

60
Na perspectiva do modelo proposto, cada uma das 5 estapas, que o compõe, a que considerar
vários aspectos para a gestão de risco operacional. A tabela 5 apresenta os principais aspectos
que devem ser considerados numa estrutura de gestão de risco operacional.

Tabela 5: Comparação dos principais aspectos de gestão de risco

Como pode-se observar, na tabela 5, Banco C e Banco F ainda não estabeleceram um órgão para
a supervisão do processo de gestão de risco operacional. Este órgão é fundamental para permitir
uma visão holística do processo de gestão de risco operacional bem assim tomar decisões
estratégicas sobre o processo de mitigação e os instrumentos necessários (a política e o
framework específicos).

Observa-se ainda na tabela 5, apenas que o Banco B faz a avaliação do contexto, onde procura
assegurar o levantamento e documentação de todos os processos de negócio. O levantamento
permite que se obtenha uma visão clara de como os processos de negócio estão estruturados e
implementados bem assim avaliar o ambiente fora de controlo da instituição bancária.

61
Apenas o Banco A e Banco B fazem a identificação e registo dos riscos operacionais associados
a cada tarefa, registo de perdas e recuperações bem assim a identificação de indicadores chave de
risco (KRI). A identificação e registo dos riscos operacionais providenciam o entendimento das
suas causas e origem, o que ajuda no processo de tomada de acções sobre o risco. Por outro lado,
os KRIs também ajudam na tomada de decisões sobre quais os riscos devem ser tratados
primeiro e que estratégias devem ser tomadas para sua mitigação.

Com relação as estratégias de mitigação de risco operacional apenas o Banco B adopta um plano
de acção para dar resposta aos riscos identificados. Um plano de acção devem incluir critérios
que permitam considerar, em primeiro lugar, os riscos com elevado nível de exposição mas não
deixar de lado os riscos considerados insignificantes. Contudo, o plano de acção nesta instituição
visa fundamentalmente modificar ou introduzir controlos para os eventos de risco operacional
considerados críticos.

De forma periódica o Banco A e Banco B apresentam aos respectivos comités e ou comissão

executiva o reporte sobre o nível de exposição ao risco operacional associada a cada tarefa. O
reporte regular irá permitir que acções de mitigação de risco sejam tomada de forma tempestiva e
ajuda o planeamento das acções futuras.

A figura 10 apresenta em termos estatisticos, a relação entre as instituições bancárias e os

principais aspectos de gestão de risco operacional.

Figura 10: Relação entre Aspectos de Gestão de Risco Operacional e as Instituições

bancárias.

Aspectos de Gestão de Risco Operacional

6
5
4
3
2
1
0
A B C D E F G H I J K L M

Totais de Instituições Bancárias

62
No entanto, observa-se que 5 instituições bancárias possuem uma entidade independente que se
dedica a gestão de risco operacional, o que pode traduzir o interesse dessas instituições em
possuir uma estrutura de gestão de risco opercional. É importante o estabelecimento de entidade
independente de gestão de risco operacional que vela pelos riscos de toda instituição.

Para além dessas entidades independentes, existem 5 instituições bancárias que adoptam como
medida de mitigação a introdução e melhoramento do ambiente de controlo interno. O ambiente
de controlo interno é fundamental na mitigação de risco mas é necessários adoptar estratégias de
gestão de risco operacional tais como avaliação do contexto, avaliação de risco, medidas de
mitigação, comunicação e reporte bem assim monitoria e revisão dos riscos.

A gestão de risco operacional deve ser considerada como um processo contínuo e que faça parte
das tarefas diárias dos gestores, embora tenha-se constatado que não se deslumbra alguma acção
de monitoria de riscos operacionais nessas instituições ou seja a monitoria é tida como
responsabilidade da Auditoria Interna.

Observa-se também na figura 10 que 4 instituições bancárias já têm implementado um órgão de

supervisão do processo de gestão de risco operacional. Essas instituições consideram a gestão de
risco operacional um processo holístico.

Por outro lado, as incertezas com impacto negativo em infra-estrutura da banca electrónica são
avaliadas a partir do controlo interno, sendo que o controlo interno por si só não permite
assegurar a anticipação, monitoria e ou modificação das exposições ao risco operacional.

Um outro aspecto importante referir é a definição de política de gestão de risco operacional que
dá as directrizes e responsabilidades de como o risco operacional deve ser gerido na instituição.
A política de gestão de risco constitui um dos elementos essenciais na sustentação do processo
de gestão de risco de uma organização.

Embora note-se algum interesse no processo de gestão de risco operacional, este instrumento é
adoptado em apenas 2 instituições do universo das instituições em estudo.

63
 5.6 SUMÁRIO

Os modelos de gestão do risco, COSO ERM e ISO 31000, são compostos por etapas que devem
ser seguidas e que constituem elementos fundamentais para o processo de gestão de risco
operacional. Para além desses modelos, as directrizes de gestão de risco operacional em
instituições bancárias proporcionam também, elementos fundamentais para este processo.

Tanto os modelos COSO ERM e ISO 31000 como as directrizes de gestão de risco operacional
abordam este processo num contexto de gestão global de risco operacional. Este cenário constitui
uma base para o desenvolvimento de um modelo de gestão de risco operacional num ambiente
em que este processo é tratado ao nível do ambiente de controlo interno.

O modelo de gestão de risco operacional, aqui apresentado, define os seguintes elementos:

Estabelecimento do Contexto das infra-estruturas da banca electrónica, Avaliação de Riscos (que
inclui a identificação e mensuração de risco), Comunicação e Reporte, Monitorização e Revisão.
Como estrutura de sua implementação, é abordado neste capítulo, a necessidade de obter o apoio
da gestão do topo, bem assim a criação de um fórum onde as instituições bancárias que operam
em Moçambique partilham as suas experiências com relação ao processo de gestão do risco
operacional.

64
CAPÍTULO 6 – CONCLUSÕES, LIMITAÇÕES E RECOMENDAÇÕES
Este capítulo aborda as principais conclusões, limitações e recomendações da pesquisa
efectuada. A pesquisa teve como o principal foco, o processo de gestão de risco operacional para
infra-estruturas da banca electrónica, concretamente ATM, POS, Internet banking, Banca móvel
e Telefone banking.

6.1. Conclusões

As principais conclusões a que se chega nesta pesquisa são as seguintes:

 As infra-estruturas da banca electrónica implementadas nas 6 instituições bancárias em

estudo, nomeadamente Banco A, Banco B, Banco C, Banco D, Banco E e Banco F,
disponibilizam produtos e serviços similares, como levantamento de dinheiro,
transferências de fundos, consultas de movimentos, compras de recargas, pagamentos de
serviços, realização de diversos pedidos.

 Várias redes interbancárias operam no sistema financeiro Moçambicano, sendo a destacar

para as 6 instituições pesquisadas, a rede Ponto 24 (Banco B, Banco D, Banco F, Banco
E), a Multirede (Banco A), a Austocash (Banco C), Autobank (Banco D) e SIMO (Banco
D e Banco E). As operações bancárias realizadas em cada uma dessas infra-estruturas da
banca electrónica podem ser roteiada de uma instituição bancária para outra, através da
rede VISA que integra as 6 instituições estudadas.

 O processo de gestão de risco operacional nas instituições bancárias que operam em

Moçambique é orientado através das directrizes específicas que constam do Aviso
04/GBM/2013. As directrizes foram divulgadas no segundo semestre de 2013 o que
permite justificar, de certa forma, o estágio embrionário em que se encontra esse
processo. As instituições bancárias efectuam a gestão de risco operacional através da
implementação de procedimentos de controlo interno, que é um dos componentes do
processo de gestão de risco operacional.

65
  Os modelos de gestão de risco operacional, designadamente COSO ERM, ISO 31000 e
Aviso 04/GBM/2013, apresentam-se muito genéricos podendo ser aplicados em qualquer
instituição, independentemente do tamanho ou actividade desenvolvida. Esses modelos
abordam o processo de gestão de risco operacional num contexto de gestão global do
risco.

 O modelo de gestão de risco operacional proposto neste estudo, consiste nos seguintes
elementos: estabelecimento do contexto das infra-estruturas da banca electrónica,
avaliação de riscos (que inclui a identificação e mensuração de risco), comunicação e
reporte, monitorização e revisão. Este modelo estabelece uma estrutura simplificada, que
inclui a definição de parâmetros externos e internos, a categorização específica sobre o
tipo de risco operacional, factores de risco, probabilidade e o impacto, para além da
descrição de causas do risco.

 Como qualquer projecto de uma instituição necessita de apoio da gestão do topo, o

processo de gestão de risco operacional alcançará os resultados esperados se tiver esse
apoio. O outro ponto importante a considerar na estratégia de implementação do modelo
nessas instituições é a criação de um fórum de discussão do processo de gestão de risco
operacional.

6.2. Recomendações

Existem vários modelos de gestão de risco operacional, como COSO ERM e ISO 31000
apresentados anteriormente, que são implementados em muitas instituições de diferentes ramos
de activiodade. O presente estudo faz análise desses modelos de gestão de risco operacional de
infra-estrutura da banca electrónica tendo em conta a realidade Moçambicana.

Contudo, qualquer estudo contém lacunas e este não seria excepção. Assim sendo, recomenda-se
para trabalhos futuros a se ter em consideração aos seguintes aspectos:

 O processo de gestão de risco operacional ainda não é largamente discutido ao nível das
instituições, deste modo, a necessidade de se desenvolver mais pesquisas que analisam o

66
 risco operacional, não só numa perspectiva qualitativa, como também uma análise
quantitativa para dar uma visão do nível de perdas ou danos que podem ser causados.

 A identificação de riscos operacionais tem sido um processo complexo, onde diferentes

riscos estão inter-relacionados. Deste modo, tratando-se de matéria ainda no seu estágio
inicial no nosso país, é importante que as instituições procurem conhecer e controlar os
diversos tipos de riscos operacionais.

 As instituições devem melhorar os procedimentos usados para gerir risco operacional,

tendo em conta as diversas etapas necessárias para esse processo. Não é necessariamente
que se implemente todas etapas, mas se assegure que os riscos estão sendo identificados e
medidos correctamente, através de técnicas e métodos testados.

6.3. Limitações da pesquisa

Como limitações desta pesquisa destacam-se as seguintes:

 Indisponibilidade das instituições bancárias em responder os questionários e as que

respondiam, faziam-no parcialmente.

 Das 6 instituições bancárias em estudo, apenas 4 aceitaram conceder entrevistas. Embora

os entrevistados tenham mostrado uma certa abertura em partilhar suas experiências
profissionais, alguns aspectos não foram cobertos por várias razões. Em alguns casos, os
entrevistados não podiam fornecer a informação alegando estarem a iniciar as suas
actividades, noutros casos, alegava-se que a informação era de consumo interno e não
deveria ser divulgada.

67
REFERÊNCIAS BIBLIOGRAFICAS

Alagheband, P., 2006. Adoption of Electronic Banking Services by Iranian Customers. s.l.:Lulea
University of Technology.

Araújo, C. et al., 2008. Universidade do Minho: Estudo de Caso. [Online] Disponível em:
http://grupo4te.com.sapo.pt/estudo_caso.pdf. [Acedido 29 Setembro 2014].

Ayo, C. K., Adewoye, J. & Oni, A., 2010. The State of e-Banking Implementation in Nigeria: A
Post-Consolidation Review. Journal of Emerging Trends in Economics and Management
Sciences, pp. 37-45.

Babatunde, I. G. & Charles, A. O., 2013. A Fingerprint-based Authentication Framework for

ATM Machines. Journal of Computer Engineering & Information Technology, 1(3), pp. 1-8.

Banco de Moçambique, 2010. Boletim do Sistema Nacional de Pagamentos,Maputo: BM.

Banco de Moçambique, 2011. Boletim do Sistema Nacional de Pagamentos, Maputo: BM.

Banco de Moçambique, 2013b. Aviso nº4/GBM/2013 - Estabelece as Directrizes de Gestão de

Risco. Boletim da República, 18 Setembro, pp. 607-657.

Banco de Moçambique, 2013. Desafios da Inclusão Financeira em Moçambique. Uma

Abordagem do Lado da Oferta, Pemba: Banco de Moçambique.

Banerjee, K., Rana, M. M., Mahfuz, M. M. & Khan, M. A., 2011. Mobile Banking and Payment
System Using Bluetooth Media. International Journal of Video & Image Processing and
Network Security IJVIPNS, October.pp. 1-8.

Barnard, S., 2013. Internet Banking Riches. s.l.:s.n.

Baten, M. A. & Kamil, A. A., 2010. E-Banking of Economical Prospects in Bangladesh. Journal
of Internet Banking and Commerce, August, 15(2), pp. 1-10.

Bećirović, S., Bajramović, D. & Ahmatović, A., 2011. The Role of Mobile Banking in
Enhancing Economic Development. Berane, FMSK, pp. 89-98.

Bessis, J., 2010. Risk Management in Banking. United Kindom: John Wiley.

68
Bhargava, D. & Chouhan, B., 2007. Risk Management Principle in Electronic Banking. In:
Emerging Financial Markets. New Delhy: Anurag Jain, pp. 247-254.

BIS, 2003. Basel Committee on Banking Supervision: Risk Management Principles for
Electronic Banking. Washington DC: Bank for International Settlements.

Boateng, R. & Molla, A., 2006. Developing E-banking Capabilities in a Ghanaian Bank:
Preliminary Lessons. Journal of Internet Banking and Commerce, pp. 1-11.

Cernev, A. K., 2010. Mobile Banking no Brasil: eventos críticos, trajetória e cenários esperados.
São Paulo: s.n.

Chovanová, P. I. A., 2006. Forms of Electronic Banking. BIATEC, pp. 22-25.

COSO, 2004. Enterprise Risk Management – Integrated Framework. [Online]

Disponívelem: http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf
[Acedido: Junho 2013].

COSO, 2007. Gerenciamento de Riscos Corporativos – Estrutura Integrada.[Online] Disponível

at: ttp://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf. [Acedido:
Junho 2013].

COSO, 2010. Developing Key Risk Indicators to Strengthen Enterprise Risk Management..
[Online] Disponível em: http://www.coso.org/documents/COSOKRIPaperFull-
FINALforWebPostingDec110.pdf. [Acedido: 19 Junho 2013].

Curran, K. & King, D., 2008. Investigating the Human Computer Interaction Problems with
Automated Teller Machine (ATM) Navigation Menus. Computer and Information Science, 1(2),
pp. 34-51.

DALFOVO, M. S., LANA, R. A. & SILVEIRA, A., 2008. Métodos quantitativos e qualitativos:
um resgate teórico. Revista Interdisciplinar Científica Aplicada, 2(4), pp. 1-13.

Dashore, P. & Jain, S. K., 2009. Fuzzy Rule Based System and Metagraph for Risk Management
in Electronic Banking Activities. International Journal of Engineering and Technology, pp. 97-
101.

69
Dixit, N. & K., D. S., 2010. Acceptance of E-banking among Adult Customers: An Empirical
Investigation in India. Journal of Internet Banking and Commerce, August , 15(2), pp. 1-17.

Emmanuel, A., 2007. Mobile Banking in Developing Countries: Secure Framework for Delivery
of SMS-banking Services.Nijmegen: Radboud University Nijmegen.

Estrada, M. M. P., 2005. A Internet Banking no Brasil, na América Latina e na Europa. Revista
do Programa de Mestrado em Direito do UniCEUB, pp. 138-166.

Ferreira, L. B., Torrecilha, N. & Machado, S. H. S., 2012. A Técnica de Observação em Estudos
de Administração. Rio de Janeiro, ANPAD.

FFIEC, 2003. E-Banking: IT Examination Handbook. s.l.:Federal Financial Institutions

Examination Council.

Gonçalves, Á. H. M., 2008. Gerenciamento do Risco Operacional e Melhoria dos Processos de

Tesouraria de uma Instituição Financeira. São Paulo: Universidade de São Paulo.

Hanseth, O., 2002. From systems and tools to networks and infrastructures – From design to
cultivation. Towards a theory of ICT solutions and its design methodology implications.
[Online]. Disponível em: http://heim.ifi.uio.no/~oleha/Publications/ib_ISR_3rd_resubm2.html.
[Acedido: 20 Julho 2014].

Haque, A., Tarofder, A. K., Rahman, S. & Raquib, M. A., 2009. Electronic Transaction of
Internet Banking and its Perception of Malaysian online Customers. African Journal of Business
Management, June.pp. 248-259.

Harun-Ur-Rashid, A. K. M., 2011. E-Banking Services. A study of the computer based banking
services.. Saarbruchen: Lap Lambert.

Huertas, J. R., 2012. Procedimentos de análise não-linear para previsão de respostas sísmica em
geoestruturas.Rio de Janeiro: PUC-Rio.

IIA, 2008. Normas Internacionais para a Prática Profissional de Auditoria Interna.Florida: The
Institute of Internal Auditors.

70
IIA, 2013. The Three Lines of Defense in Efective Risk Management and Control. s.l.:IIA
POSITION PAPER.

ISO, 2009. ISO 31000 Risk Management - Principles and guidelines. Geneva: ISO.

Joshua, A. J. & Koshy, M. P., 2011. Usage Patterns of Electronic Banking Services by Urban
Educated Customers: Glimpses from India. Journal of Internet Banking and Commerce, April,
16(1), pp. 1-12.

Junior, E. H. P., 2010. Um Processo de Gestão por Processo para Micro e Pequena
Empresas.Ponta Grossa: Universidade Tecnológica Federal do Paraná.

Khalifa, S. S. M. & Saadan, K., 2013. The Formal Design Model of an Automatic Teller
Machine (ATM). Lecture Notes on Information Theory, 1(1), pp. 56-59.

Kiran, K., Sharmila, S. & Abhishek, T., 2014. Risk Management in E-Banking. International
Journal of Latest Trends in Engineering and Technology (IJLTET), pp. 279-280.

Kondabagil, J., 2007. Risk management in electronic banking: concepts and best
practices.Singapore: John Wiley & Sons Asia.

Kondabagil, J., 2007. Risk Management in Electronic Banking: Concepts and Best Practices.
Asia: John Wiley & Son.

Kumar, D. C. R., 2008. Reasearch Methodology. New Delhi: S.B. Nagia.

Kumar, R., 2011. Research Methodology: a step-by-step guide for beginners.3th ed. Los
Angeles: SAGE.

Laan, S., 2011. IT Infrastructure Architecture - Infrastructure Building Blocks and

Concepts.s.l.:Lulu Press Inc.

Lastres, H. & Albagli, S., 1999. INFORMAÇÃO E GLOBALIZAÇÃO NA ERA DO

CONHECIMENTO. RJ: Editora Campus.

Lemos, C., 1999. Inovação na Era do Conhecimento. In: INFORMAÇÃO E GLOBALIZAÇÃO

NA ERA DO CONHECIMENTO. Rio de Janeiro: Editora Campus Ltda, pp. 122-144.

71
Maimbo, S., Saranga, T., Strychaczand & Nicholas, 2010. Facilitating Cross-Border Mobile
Banking in Southern Africa. POVERTY REDUCTION AND ECONOMIC MANAGEMENT
(PREM) NETWORK, August, Volume 26, pp. 1-5.

Martins, J. C. L. & Belfo, F., 2009. MÉTODOS DE INVESTIGAÇÃO QUALITATIVA

ESTUDOS DE CASOS NA INVESTIGAÇÃO EM SISTEMAS DE INFORMAÇÃO. Proelium
– Revista da Academia Militar, pp. 39-71.

Matos, M., 2013. http://bancario.pt/internet-banking-e-banking/. [Online]. Disponível em:

http://bancario.pt. [Acedido: 21 Abril 2014].

Mendonça, M. J. F. C., 2004. ACTUALIZAÇÃO SEGURA DE APLICAÇÕES EM SISTEMAS

POS. Lisboa: Universidade de Lisboa.

MILAN, D. N., JELENA, V. & SAVA, S., 2011. ELECTRONIC BANKING MODELS.
International journal of economics and law, pp. 24-37.

Mobarek, D. A., 2007. E-BANKING PRACTICES AND CUSTOMER SATISFACTION- A CASE

STUDY IN BOTSWANA. Gaborone: University of Botswana.

MONSHOUWER, E.-J. & VALVERDE, R. V., 2011. ARCHITECTURE FOR INTEGRATION

OF POINT OF SALE TERMINALS WITH FINANCIAL INSTITUTIONS THROUGH WEB
SERVICES. Jornal of Theorical and Applied Information Technology, 25(1), pp. 10-27.

Nascimento, N. J. d., 2013. Portal Educação. [Online]. Disponível em:

http://www.portaleducacao.com.br/educacao/artigos/48819/ameacas-e-vulnerabilidades-da-
informacao-como-precaver. [Acedido: 27 Junho 2014].

Ndlovu, I. & Sigola, M., 2013. Benefits and Risks of E-Banking: Case of Commercial Banking
In Zimbabwe. The International Journal Of Engineering And Science, 15 April, 2(4), pp. 34-40.

NITSURE, R. R., 2004. E-banking: Challenges and Opportunities. Economic and Political
Weekly, pp. 5377-5381.

Oliveira, A. A. d., 2010. OBSERVAÇÃO E ENTREVISTA EM PESQUISA QUALITATIVA.

Revista FACEVV, Volume 4, pp. 22-27.

72
Pareek, M., 2011. Technology Risk Measurement and Reporting. ISACA Journal, Volume 6, pp.
26-31.

Pinheiro, J. M. d. S., 2007. Ameaças e ataques aos sistemas de informação. Prevenir e Anticipar.
Cadernos da UniFOA, Volume 5, pp. 11-21.

Pouchain, A. d. M., 2007. Gestão de Riscos Aplicada ao Ambiente Internet Banking das
Instituições Financeiras do Brasil. Brasília: Universidade de Brasília.

Ramakrishnan, G., 2001. Risk Management for Internet Banking. Information Systems Control
Journal, pp. 48-50.

ROGERS, E. M., 2003. Diffusion of Innovation. New York: Free Press.

Saldaña, J., 2011. Fundamentals of Qualitative research. New York: Oxford University Press.

SALEHI, M. & ALIPOUR, M., 2010. E-Banking in Emerging Economy: Empirical Evidence of
Iran. International Journal of Economics and Finance, February, 2(1), pp. 201-209.

SHARMA, A., 2011. MOBILE BANKING AS TECHNOLOGY ADOPTION AND

CHALLENGES. International Journal of Multidisciplinary Research, October, 1(6), pp. 147-
157.

Silva, E. L. & Menezes, E. M., 2005. Metodologia da Pesquisa e Elaboração de Dissertação. 4

ed. Florianópolis: UFSC.

Simoni, C. A. C. & Baranauskas, M. C. C., 2003. Pesquisa Qualitativa em Sistemas de

informação, s.l.: Universidade Estadual de Campinas.

SOLANKI, V. S., 2012. RISKS IN E-BANKING AND THEIR MANAGEMENT. International

Journal of Marketing, Financial Services & Management Research, September, 1(9), pp. 164-
178.

Souza, J. S., 2011. Modelo para Identificação e Gerenciamento do Grau de Risco de Empresas -
MIGGRI. Porto Alegre: Universidade do Rio Grande do Sul.

73
Teixeira, E. B., 2003. A Análise de Dados na Pesquisa Científica. importância e desafios em
estudos organizacionais. In: DESENVOLVIMENTO EM QUESTÃO. Rio Grande do Norte:
Editora Unijuí, pp. 177-201.

Tidd, J. & Bessant, J., 2009. Managing Innovation: Integrating Technological, Market and
Organizational Change. Chichester: John Wiley & Sons Ltd.

Tidd, J., Bessant, J. & Pavitt, K., 2005. Managing Innovation: Integrating Technological, Market
and Organizational Change. Chichester: John Wiley & Sons Ltd.

webpage1, 2014. Operações Disponíveis. [Online] . Disponível em:

https://www.ponto24.co.mz/. [Acedido: Julho 2014].

webpage2, 2014. Millennium SMS iPhone. [Online]. Disponível em:

http://ind.millenniumbim.co.mz/pt/public/Mobile/Paginas/iPhone.aspx. [Acedido: Setembro
2014].

74
ANEXOS

75
Anexo 1 – Questionário para Recolha de Dados

QUESTIONÁRIO PARA RECOLHA DE DADOS

O presente questionário destina-se a recolha de dados sobre o processo de gestão de risco na banca
electrónica (e-banking) em Moçambique, no âmbito da elaboração da dissertação de Mestrado em
Sistemas de Informação. Os dados e informação sobre a instituição a serem colhidos serão usados
para fins estritamente académicos e não serão publicados para quaisquer outros objectivos.

Assim, agradeço sua especial atenção e cooperação, respondendo com sinceridade as questões
apresentadas

Sector:____________________________________________________________________________

Função: ____________________________________________________________________________

Banca electónica (ATM, POS, Internet banking, Telefone banking, sms banking, banca móvel)

1. Quais os serviços da banca electronica que o banco disponivbiliza aos seus clientes?
a. ATM

b. Internet Banking

c. POS

d. Telefone banking

e. Banca móvel (sms banking)

f. Outros______________________

2. Para cada uma das opções escolhida na pergunta 1, indique a quanto tempo este serviço da
banca electrónica é disponibilizado?

Serviço da Banca Disponibilizado :

Electrónica Entre 0 -2 ano Entre 2 a 5 anos Entre 5 a 8 anos A mais de 8 anos
ATM
Internet Banking
POS
Telefone banking
Banca móvel (sms
Banking)

76
3. Assinale os serviços de ebanking mais procurado pelos clientes?

a. ATM

b. Internet Banking

c. POS

d. Telefone banking

e. Banca móvel (sms banking)

f. Outros:______________________________

4. O banco tem identificados os tipos de risco inerentes a banca electrónica?

a. Sim

b. Não

4.1 Se respondeu SIM, indique os tipos de riscos:

________________________________________________________________________
_________________________________________________________________________

5. Existe na estrutura do Banco uma área que trata com assuntos relacionados com a gestão de
risco?
a. Sim

b. Não

5.1. Se respondeu SIM, indique a designação:

________________________________________________________________________

6. O processo de gestão de risco é executado com base em um framework especícifo?

a. Sim

b. Não

6.1. Se respondeu SIM, indique a designação do framework

77
 ________________________________________________________________________

7. Indique as fases seguidas no processo de gestão de risco:

________________________________________________________________________
_________________________________________________________________________

8. O banco trata do risco operacional de forma diferente a dos demais riscos inerentes a sua
actividade?

a. Sim

b. Não

9. Indique as categorias do risco operacional inerente a banca electrónica:

a. Risco humano

b. Risco de processo

c. Risco de tecnologia

d. Risco legal e complaince

e. Outros:________________________________________________________________

_________________________________________________________________

10. Indique os infra-estruturas da banca electrónica que e ebanking mais procurado pelos clientes?

c. ATM

d. Internet Banking

e. POS

f. Telefone banking

g. Banca móvel (sms banking)

Outros:______________________________

78
Anexo 2 – Guião de Entrevistas

I - Também gostaria de saber se a sua Instituição:

1. faz a gestão interna de ATM, POS, Internet banking e SMS banking (banca móvel)?
2. possui estratégia de continuidade de negócio (particularmente para TI),
3. faz o levantamento (identificação), avaliação, tratamento e monitoria dos riscos inerentes
a ATM, POS, Internet banking e SMS banking (banca móvel)?
4. Que tipos de riscos forma identificados no sistema da banca electrónica na sua
instituição?
5. Que tipos de riscos tem sido tomados em conta(consideração) na e-banking?
6. possui um framework ou metodologia específica de gestão de risco. De forma sumária
como é implementado?
7. possui uma ferramenta/software de gestão de risco? se sim qual?
8. Existe uma política de informática? Se sim, esta politica prevê dentre vários aspectos a
segurança da informação e dados dos clientes?
9. Nos canais de comunicação usados para as várias operações em e-banking, foram
definidos os protocolos que a sua instituiçãoadoptar? E são de conhecimento dos técnicos
que fazem as configurações?
10. Toda infraestrutura de suporte aos sistemas da banca electrónica é usada e gerida pelos
técnicos internos?

II - Aspectos gerais
1. quantos utilizadores tem acesso a ATM, POS, internet banking e sms banking? (ser
possível a evolução dos últimos três anos)
2. Quantos balcões existem na sua instituição
3. quantos terminais ATM e POS a sua instituição possui

79
Anexo 3 – Ferramentas e Técnicas aplicadas para a Identificação de Risco. (ISO, 2009b)

Ferramentas e
Descrição
Técnicas

Permite estimar e incentivar grupos de discussão, onde pessoas com

conhecimento para identificar falhas potenciais e perigos associados,
riscos, critérios de decisão e/ou opção de tratamento. As discussões
envolvem técnicas específicas para garantir que a imaginação dos membros
Brainstorming
do grupo seja desencadeada pelos pensamentos e pronunciamento de
outros membros. Nesta técnica é importante a presença de um moderador
para assegurar que o grupo aborde aspectos de áreas relevantes e permitir a
captação de questões que surgem do debate.

Na entrevista estruturada, os entrevistados são solicitados individualmente

a responderem um conjunto de perguntas preparadas numa folha,
encorajando-os a ter uma visão da situação a partir de diferentes
perspectivas e daí identificarem os riscos desta perspectiva. A entrevista
semiestruturada é similar a anterior e permite maior liberdade para uma
Entrevistas conversa que explora situações que forem surgindo. As entrevistas
estruturadas e estruturadas e semiestruturadas são úteis para situações em que é difícil
semiestruturadas encontrar um grupo de pessoas para uma sessão de brainstorming ou onde
o debate fluido em grupo não é apropriado para a situação ou para as
pessoas envolvidas. Essas técnicas são muitas vezes utilizadas para
identificar riscos ou avaliar a efectividade dos controlos existentes como
uma parte da análise de risco. Estas técnicas requerem a criação de um
conjunto de perguntas relevantes para orientar o entrevistador.

80
 Ferramentas e
Descrição
Técnicas

A técnica Delphi é um procedimento para obter um consenso fiável de

opiniões de um grupo de especialistas. Actualmente, o termo é muitas
vezes utilizado para significar qualquer forma de brainstorming. A
característica essencial desta técnica, é de que os especialistas expressam
as suas opiniões individual e anonimamente quando tem acesso aos pontos
de vista de outros especialistas à medida que o processo evolui. Esta
Delphi
técnica pode ser usada em qualquer estágio do processo de gestão de risco.
Nesta técnica aplica-se o questionário semiestruturado que é enviado aos
membros do grupo de especialistas seleccionado, podendo ser um ou mais
grupos específicos. Os membros do grupo respondem até que o consenso
seja alcançado. Esta técnica necessita de uma equipa para realizar e
monitorar o processo.

Checklist é uma lista de perigos, riscos ou falhas de controlos que foi

desenvolvida a partir de experiências, seja como resultado de uma
avaliação de riscos ou como resultado de falhas passadas. Um checklist
pode ser usado para identificar perigos e riscos ou para avaliar a
Checklist efectividade dos controlos em qualquer estágio do ciclo de vida do
processo, produto ou sistema. Esta técnica pode ser usada como parte de
outras técnicas de avaliação de risco. Requer a definição do escopo de
actividades, a selecção cuidadosa de uma lista que cobre adequadamente o
escopo.

Pode ser utilizado para identificar riscos, considerando possíveis

desenvolvimentos futuros e explorando suas implicações. Os conjuntos de
Análise de cenários do "melhor caso, pior caso e caso esperado" podem ser utilizados
Cenários para analisar consequências e suas probabilidades para cada cenário como
uma forma de análise de sensibilidade quando é analisado o risco. A
análise de cenário pode ser utilizada para auxiliar na tomada de decisões

81
 Ferramentas e
Descrição
Técnicas
políticas e no planeamento estratégico bem como considerar as actividades
existentes. A análise de cenários pode ser utilizado ainda para antecipar as
ameaças e as oportunidades, podem ser utilizada para todo tipo de risco de
curto ou longo prazo.

A análise cause e efeito é método estruturado para identificar as possíveis

causas de um evento indesejado ou problema. Consiste na organização dos
factores de modo que as todas hipóteses possam ser consideradas. A
análise de causa e efeito fornece uma visualização gráfica estruturada da
Análise Causa e lista das causas de efeitos específicos. O efeito pode ser positivo (um
Efeito objectivo) ou negativo (um problema) dependendo do contexto. Este
método é utilizado para permitir a consideração de todos cenários e causas
possíveis gerados por uma equipa de especialistas e permitir estabelecer
consenso com a causa que pode ser testado empiricamente ou avaliado com
os dados disponíveis.

82