O que não incluir na RAS? Como vários exemplos já estão disponíveis na internet, podem ser utilizados como sugestões, tais como quais tópicos devem ser abordados e até a reprodução de alguns conceitos gerais de tipificação de riscos de domínio público.
Mas em hipótese alguma, ser uma cópia integral, pois a RAS poderá ser uma das pontas do novelo de lã a ser desfiado pela supervisão do regulador. Dedicamos essa reflexão ao que não deve ser colocado e como serão avaliados, afinal, sendo cada instituição única com suas particularidades, a RAS deve representar essa singularidade de forma proporcional.
A identificação de que o que consta na RAS não é praticado poderá influir em sua nota final atribuída pelo regulador, cujas consequências de maior impacto serão o aumento da frequência da supervisão e alocação de capital (ADD-ON), entre outros.
Individualidade na RAS de cada instituição
Em https://www.b3bee.com.br/site/2018/08/10/resolucao-4-557-ras-sua-finalidade-define-seu-conteudo/ fazemos uma analogia entre:
- RAS (*) preenchida pela instituição financeira e avaliada pelo Banco Central com;
- RCSA (**) preenchida pelas áreas operacionais e avaliada pelas áreas da segunda linha, conforme a nova conceituação do IIA (***).
Em ambos os preenchimentos:
- Prevalecerá a confiança em seu preenchimento de autoavaliação.
- As respostas poderão ser posteriormente auditadas, de forma que avaliem a fidedignidade da autoavaliação.
Daí uma recomendação de, ao invés de ‘copiar e colar’ indiscriminadamente modelos prontos obtidos da internet, relatar o que for realmente praticado pela instituição. Encontrado um ponto claramente não praticado em relação ao descrito, abrirá precedente e poderá colocar toda a RAS em dúvida pela supervisão do regulador. Melhor reconhecer pontos com necessidade de melhoria do que não os assumir e serem identificados pela supervisão do regulador.
É remota a coincidência completa entre duas instituições, a começar pela estratégia de negócios, passando pela cultura interna e estrutura organizacional, ampliando mais ainda o arco das diferenças na estrutura, processos e indicadores da gestão de riscos em cada instituição financeira.
Pode haver coincidência na escolha de indicadores mais genéricos, mas indicadores mais específicos devem refletir a situação particular de cada organização. Além da diversidade, mesmo indicadores coincidentes tendem a refletir diferentes níveis de maturidade e investimento. Por mais simétricos que sejam seus desafios até em instituições atuando no mesmo mercado-alvo, diferentes prioridades refletirão em diferentes níveis de investimento e consequente estruturação no gerenciamento de riscos.
Processo de supervisão do Banco Central
Ao longo de 8 artigos na lista https://www.b3bee.com.br/site/category/gir4557/gps-guia-de-praticas-de-supervisao-do-bc/, resumimos o GPS (****) com a nova forma de supervisão do Banco Central, onde destacamos:
- Em https://www.b3bee.com.br/site/2018/02/11/resolucoes-4-557-e-4-019-gps-guia-de-praticas-de-supervisao-do-bc-e-add-on-parte-1/, o valor adicional de alocação de capital (ADD-ON), no caso de vulnerabilidades na gestão de riscos relevantes à instituição. A proporcionalidade do que não é investido em gestão aumentará a necessidade de alocação de capital com reflexos no índice de Basileia do DLO. Esse será um vínculo direto entre o pilar II (supervisão) e pilar I (alocação de capital) dos princípios de Basileia. Será um percentual adicional aplicado sobre a exposição total RWA.
- As partes 2 a 7 dessa série de artigos resumem o manual disponibilizado pelo regulador: atribuição de notas sucessivas entre riscos inerentes de atividades significativas com respectivos controles e riscos residuais, que são sucessivamente consolidados pela metodologia SRC (Sistema de Avaliação de Riscos e Controles) do Banco Central, resultando numa nota final. A governança corporativa também é considerada nessa nota.
Além da alocação de capital adicional ADD-ON (não tem caráter punitivo, e sim preventivo, na medida que busca cobrir eventuais riscos não cobertos específicos de cada instituição financeira não capturados pelo pilar I), pode gerar insuficiência no enquadramento de limites de capital, gerando restrições previstas no artigo 9º da Resolução 4.193/13 tais como:
- “I – ao pagamento a título de remuneração variável aos diretores e membros do conselho de administração, no caso das sociedades anônimas, e aos administradores de sociedades limitadas;
- II – ao pagamento de dividendos e de juros sobre o capital próprio; …”
RAS e GPS: Não coloque o que sua organização não pratica
Não cabe à RAS detalhes excessivos, mas tendo a estratégia como ponto de partida e os indicadores o ponto de chegada, a estrutura de governança e gestão de riscos que une tais pontos no documento serão passíveis de avaliação mais detalhada por meio dos processos que os sustentam. A estratégia descrita na RAS será como uma locomotiva puxando a sequência de seus vagões para avaliação pela supervisão: mapeamento de processos relevantes alinhados com a mitigação do risco estratégico, atividades significativas, seus riscos inerentes, controles e riscos residuais como indicadores mínimos a serem acompanhados.
Os gestores operacionais podem ser convidados a discorrer sobre esses processos, de forma que não basta apenas conhecimento das áreas de apoio da segunda linha, já utilizando a nova terminologia do IIA (***): as áreas da primeira linha também contribuem com seu envolvimento na gestão de riscos e esse aculturamento de riscos por toda organização também poderá ser avaliado.
Você pode não gostar ou concordar, mas é assim que sua instituição será avaliada. E as informações de CADOC’s e a RAS são fortes candidatos para início da análise mais aprofundada pelo regulador. Portanto, não inclua pistas incorretas no mapa da mina que será apresentado ao regulador: até que se prove o contrário pela supervisão, ele ainda confiará em seu mapa, isto é, na sua RAS.
Continua na parte 3…
(*) RAS: do inglês Risk Appetite Statement, nesse contexto é o documento regulamentado pelo Banco Central pela Resolução 4.557.
(**) RCSA: do inglês Risk Control Self Assessment, nesse contexto é o questionário de Autoavaliação de Risco e Controle, onde a própria área operacional identifica e atribui notas do nível de risco inerente, respectivos controles aplicados a fim de minimizar sua ocorrência e o nível de risco residual após execução de tais controles.
(***) As três linhas de defesa foram reagrupadas e o termo ‘defesa’ eliminado no Modelo de Três Linhas do IIA (Institute of Internal Auditors), pois a antiga visão reativa de ‘defesa’ foi substituída por uma visão prospectiva da gestão de riscos na gestão de negócios, conforme https://vicenzisantiago.com/gestao-de-risco-e-o-modelo-de-tres-linhas-de-defesa/?gclid=Cj0KCQiAq7COBhC2ARIsANsPATEqys43DCUWm2SSCzI9FxFEAAWqzgD_Lmq8vMc9eGwV1aijUUw6y_8aArljEALw_wcB.
(****) GPS: Guia de Práticas de Supervisão do Banco Central, com critérios de avaliação do processo de auditoria do regulador. Resumimos nos artigos da lista https://www.b3bee.com.br/site/category/gir4557/gps-guia-de-praticas-de-supervisao-do-bc/
Yoshio Hada
Sócio administrador da B3Bee Consultoria e Sistemas, licenciando sistemas dos dados abertos (Demonstrações Financeiras, Pilar 3 e Canais de Atendimento), CADOC’s (DLI 2062, 4010, 5011, 80XX, 9011, 9800), FGC405, conversão de layouts (ETL), controle de limites, controle de obrigações (envio de arquivos regulatórios ou rotinas contábeis-administrativas).