RAS (Declaração de Apetite por Riscos): qual sua finalidade? Talvez a resposta a essa pergunta ajude a definir o conteúdo a ser descrito nela, buscando no bom senso antecipar seu possível papel dentro do processo de supervisão do Banco Central. Partindo de um fluxo interno já conhecido, faremos uma analogia trocando os papéis da área de gestão de riscos com a supervisão do regulador. E com isso justificar nossa recomendação do que certamente não incluir na RAS.
A primeira vez
Pode-se aplicar nessa primeira versão da RAS o slogan de uma antiga propaganda ‘a primeira v*l*s*r*e a gente nunca esquece’, em função do nível de dúvidas no mercado em como elaborá-la. Após sua primeira avaliação, as demais versões deverão ter um melhor direcionamento sugerido pela supervisão do regulador. Os limites de apetite por risco devem estar documentados nessa declaração conforme o artigo 5º, bem como seus respectivos processos e governança alinhados conforme o artigo 7º, cabendo breve descritivo de ambos. Convidamos a considerar um cenário esperado do uso da ‘RAS’ por meio de uma analogia com um fluxo já conhecido internamente.
Fluxo já conhecido: Gerenciamento de Riscos dentro da Instituição Financeira
Seguindo a numeração da ‘primeira versão da história’ da figura que abre o artigo num simplificado processo de gerenciamento de riscos:
- 1-Área operacional atendendo sua demanda de tarefas da melhor forma possível, dentro de seus limites de recursos humanos, financeiros e materiais disponíveis.
- 2-Seu gestor operacional conhece o fluxo de informações, rotina de trabalho, bem como suas potenciais vulnerabilidades com ou sem cobertura de controles para reduzir a incidência de erros que impeçam que seus objetivos setoriais sejam atendidos.
- 3-Esse gestor reporta periodicamente num questionário de RCSA (Risk and Control Self Assessment) a situação ou ajustes desses controles dentro dos seus processos em relação à penúltima revisão.
- 4-As áreas de controles internos e/ou riscos atualizam seu mapeamento de processos centralizado (Cadeia de Valor), níveis de risco e respectivas mitigações esperadas, tanto departamentais como no escopo corporativo.
- 5-A auditoria interna pode compartilhar parte desse material e periodicamente validar se tais controles e processos são executados da forma descrita. Lembrando que são processos e controles descritos pelas próprias áreas operacionais dentro do questionário RCSA. A auditoria pesquisará evidências dessa coerência entre prática e descrição, além de riscos potenciais não previstos e nem tratados.
As aventuras de Pi: Supervisão do Banco Central na Instituição Financeira
Acostumados a avaliar a eficácia dos controles das demais áreas na busca de eficiência e eficácia em seus processos, o próprio processo da área de gerenciamento de riscos pode estar com poucos recursos humanos, sem documentação e ‘na cabeça’ dos colaboradores, ferramental inadequado e sem tempo hábil para aplicar seus ciclos de revisão. No filme ‘As aventuras de Pi’ (premiado com 4 estatuetas no ‘Oscar’, no mesmo ano em que Jeniffer Laurence tropeçou para buscar a sua de melhor atriz), o protagonista conta duas versões da história de sobrevivência de um naufrágio substituindo os personagens. Vamos trocar os personagens do mesmo fluxo anterior para gerar essa analogia na ‘segunda versão da história’ da mesma figura:
- 11-A área operacional é substituída pela área de gestão de riscos: o processo de coleta de informações é feito por meio de planilhas, arquivos compartilhados, e-mails e telefonemas. Depois, essas informações seguem diferentes linhas paralelas por conta de diferentes critérios de consolidação. Um dos maiores receios é suas totalizações não coincidirem entre si ao final do processo, quando apresentadas conjuntamente à diretoria. Enfim, a área faz o que pode com os recursos disponíveis.
- 12-O gestor da área operacional é substituído pelo gestor da área de riscos: o gestor de riscos integrados conhece os colaboradores que calculam e consolidam informações dos riscos de forma segregada, uma vez que exigem conhecimentos específicos completamente distintos entre si. Conhece também em linhas gerais como funciona o fluxo de informações. Mas na ausência de um desses colaboradores, ninguém mais sabe em qual diretório fica o arquivo compartilhado ou não faz a mínima ideia dos ajustes nas fórmulas ou parâmetros que devem ser preenchidos a cada novo mês base para recálculo.
- 13-O questionário RCSA é substituído pela RAS (semelhança de sigla): o gestor de riscos necessita preencher a estrutura de governança, linhas gerais de como funciona o processo de gerenciamento de riscos, grandes objetivos, principais indicadores com monitoramento de limites de tolerância e apetite por risco. Já com imensas dificuldades em definir esses dois limites, o de capacidade nem será tratado nessa primeira etapa. Esse momento é importante, mas ainda não é o crítico, pois o conteúdo redigido não será questionado, confiando-se na veracidade das informações redigidas.
- 14-A área de controles internos e riscos é substituída pela supervisão do regulador: a RAS deve ser disponibilizada para consulta do regulador, a partir do qual ele terá condições de avaliar se o nível de maturidade da instituição está compatível com o porte e complexidade de seus produtos e serviços. Por esse motivo, simplificações na estrutura de gerenciamento de riscos deve estar justificada com a devida proporcionalidade em relação às condições de operação do negócio da organização.
- 15-A auditoria interna é substituída pela visita da auditoria do regulador: enfim, se a RAS representa fidedignamente o processo de gerenciamento de riscos da organização, a supervisão do regulador buscará evidências que comprovem sua execução. Como não é intenção da RAS ser um documento detalhado, durante a auditoria poderá haver necessidade de possuir um mapeamento desses processos e ter clareza na definição e distribuição de responsabilidades. Quanto menos documentado, mais deverá estar ‘na cabeça’ do gestor de riscos. E torcer para que ‘essa cabeça’ não esteja de férias ou licença no momento dessa auditoria, além dela ter uma enorme capacidade de memorização dos processos e colaboradores responsáveis para serem eventualmente convocados também.
Escopo e não escopo
Em TI, especificações possuem ‘escopo’, que é o conteúdo objeto do projeto a ser implementado. Mas é igualmente importante definir o ‘não escopo’, declarando textualmente o que não será feito. Isso evita que a não menção a algum assunto seja objeto de contestação do que ‘deveria ser feito’, ou ainda que o assunto seja colocado em pauta de negociação para ser incluído no projeto, migrando-o para o ‘escopo’, pois não havia sido atentado sobre sua importância.
A RAS não necessita do ‘não escopo’, mas cabe então limitar o ‘escopo’ à prática fidedigna do processo de gerenciamento de risco da organização. A primeira versão desse documento será o mapeamento inicial para o primeiro ciclo de melhoria contínua. Caso sejam feitos ‘copiar e colar’ para elaboração da RAS, recomendamos uma revisão no documento final para evitar descrever:
- Governança e processos não praticados, pois os responsáveis neles descritos poderão ser convocados para explicar sobre suas atividades, além da falta de evidências de sua prática inevitavelmente vindo à tona durante o processo de auditoria do regulador. Pior que não descrever, é descrever o que não é praticado. Basta um item incoerente para colocar todos os demais itens sob suspeita de estarem descritos ‘para inglês ver’, podendo prejudicar a nota da instituição, conforme descrito nos artigos GPS (Guia de Práticas de Supervisão do BC) e ADD-ON e GPS e a metodologia SRC.
- Indicadores cujo processo de captura, consolidação e critérios de cálculo não estejam documentados ou que não sejam de domínio suficiente para explicar como e porque são feitos. Esse desconhecimento só reforça a falta de confiança na utilização desses indicadores como instrumentos de tomada de decisão. E sem confiança, esses indicadores não farão sentido algum serem objeto de controle de limite de apetite por risco, caso tenham sido mencionados com essa finalidade dentro da RAS.
Indicadores para tomada de decisões: limites regulamentares e apetite por riscos
A diversidade no modelo de negócios e cultura organizacional de cada instituição gerará ‘RAS’ dos mais variados níveis de profundidade, estágios de maturidade e volume de informações, não havendo uma receita mágica. Um ponto de partida pode ser a compilação de processos descritos nos anteriores relatórios de gerenciamento de risco disponibilizados pelas instituições na internet, acrescidos de informações internas de governança e indicadores utilizados na tomada de decisões. Quanto aos indicadores, mesmo que eles ainda não possuam limites de apetite por risco definidos, conforme nosso artigo Gerenciamento de Riscos, melhoria contínua e ISO 31000, um processo de melhoria contínua pode ser exatamente estudar o histórico desses indicadores para que tais limites sejam definidos com critérios justificáveis. Indicadores efetivamente considerados para tomada de decisões são mais importantes que indicadores com limites definidos, mas sem peso algum na tomada de decisões, pois tenderão ao ostracismo. Certamente há indicadores básicos essenciais, tais como os de enquadramento regulamentar. Seus limites de tolerância já são estabelecidos pelos reguladores e estabelecer limites de apetite por risco preventivos aos primeiros é um raciocínio imediato e de rápida definição.
Muitas dúvidas, mas uma certeza
A intenção foi apenas de contribuir com um raciocínio de alerta para evolução sobre o assunto, resumindo-o em: ‘Temos dúvidas do que e como colocar na RAS. A única certeza que temos é evitar colocar o que não se pratica ou não se consegue explicar’. Evitem incluir o ‘não escopo’ dentro do ‘escopo’, para que não naufraguem no momento de serem auditados e nenhum sobrevivente possa contar história alguma, qualquer que seja a versão. E se ainda deseja uma ideia de uma RAS, recomendamos a leitura da estrutura do próprio Banco Central disponibilizado em PDF, disponível em Gerenciamento de Riscos no Banco Central do Brasil. Se precisasse, seria um belo início para ele iniciar sua ‘RAS’.
Um bom fim de semana a todos.
Yoshio Hada
Fontes
Resolução 4.557/17 – Gerenciamento integrado de riscos
Gestão de Riscos no Banco Central do Brasil
https://www.bcb.gov.br/htms/getriscos/Gestao-Integrada-de-Riscos.pdf
Artigos anteriores – Índice de artigos