{"id":508,"date":"2018-08-10T12:14:36","date_gmt":"2018-08-10T15:14:36","guid":{"rendered":"http:\/\/b3bee.com.br\/site\/?p=508"},"modified":"2021-12-28T18:38:27","modified_gmt":"2021-12-28T21:38:27","slug":"resolucao-4-557-ras-sua-finalidade-define-seu-conteudo","status":"publish","type":"post","link":"https:\/\/www.b3bee.com.br\/site\/2018\/08\/10\/resolucao-4-557-ras-sua-finalidade-define-seu-conteudo\/","title":{"rendered":"Resolu\u00e7\u00e3o 4.557- RAS: sua finalidade define seu conte\u00fado"},"content":{"rendered":"<figure id=\"attachment_509\" aria-describedby=\"caption-attachment-509\" style=\"width: 864px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-509\" src=\"http:\/\/www.b3bee.com.br\/site\/wp-content\/uploads\/2018\/08\/26-RASsuaFinalidade_0.png\" alt=\"\" width=\"864\" height=\"903\" srcset=\"https:\/\/www.b3bee.com.br\/site\/wp-content\/uploads\/2018\/08\/26-RASsuaFinalidade_0.png 864w, https:\/\/www.b3bee.com.br\/site\/wp-content\/uploads\/2018\/08\/26-RASsuaFinalidade_0-287x300.png 287w, https:\/\/www.b3bee.com.br\/site\/wp-content\/uploads\/2018\/08\/26-RASsuaFinalidade_0-768x803.png 768w\" sizes=\"auto, (max-width: 864px) 100vw, 864px\" \/><figcaption id=\"caption-attachment-509\" class=\"wp-caption-text\">RAS: Sua finalidade define seu conte\u00fado<\/figcaption><\/figure>\n<p>RAS (Declara\u00e7\u00e3o de Apetite por Riscos): qual sua finalidade? Talvez a resposta a essa pergunta ajude a definir o conte\u00fado a ser descrito nela, buscando no bom senso antecipar seu poss\u00edvel papel dentro do processo de supervis\u00e3o do Banco Central. Partindo de um fluxo interno j\u00e1 conhecido, faremos uma analogia trocando os pap\u00e9is da \u00e1rea de gest\u00e3o de riscos com a supervis\u00e3o do regulador. E com isso justificar nossa recomenda\u00e7\u00e3o do que certamente n\u00e3o incluir na RAS.<\/p>\n<p>&nbsp;<\/p>\n<p><strong>A primeira vez<\/strong><\/p>\n<p>Pode-se aplicar nessa primeira vers\u00e3o da RAS o slogan de uma antiga propaganda \u2018a primeira v*l*s*r*e a gente nunca esquece\u2019, em fun\u00e7\u00e3o do n\u00edvel de d\u00favidas no mercado em como elabor\u00e1-la. Ap\u00f3s sua primeira avalia\u00e7\u00e3o, as demais vers\u00f5es dever\u00e3o ter um melhor direcionamento sugerido pela supervis\u00e3o do regulador. Os limites de apetite por risco devem estar documentados nessa declara\u00e7\u00e3o conforme o artigo 5\u00ba, bem como seus respectivos processos e governan\u00e7a alinhados conforme o artigo 7\u00ba, cabendo breve descritivo de ambos. Convidamos a considerar um cen\u00e1rio esperado do uso da \u2018RAS\u2019 por meio de uma analogia com um fluxo j\u00e1 conhecido internamente.<\/p>\n<p>&nbsp;<\/p>\n<p><strong>Fluxo j\u00e1 conhecido: Gerenciamento de Riscos dentro da Institui\u00e7\u00e3o Financeira<\/strong><\/p>\n<p>Seguindo a numera\u00e7\u00e3o da \u2018primeira vers\u00e3o da hist\u00f3ria\u2019 da figura que abre o artigo num simplificado processo de gerenciamento de riscos:<\/p>\n<ul>\n<li>1-\u00c1rea operacional atendendo sua demanda de tarefas da melhor forma poss\u00edvel, dentro de seus limites de recursos humanos, financeiros e materiais dispon\u00edveis.<\/li>\n<li>2-Seu gestor operacional conhece o fluxo de informa\u00e7\u00f5es, rotina de trabalho, bem como suas potenciais vulnerabilidades com ou sem cobertura de controles para reduzir a incid\u00eancia de erros que impe\u00e7am que seus objetivos setoriais sejam atendidos.<\/li>\n<li>3-Esse gestor reporta periodicamente num question\u00e1rio de RCSA (<em>Risk and Control Self Assessment<\/em>) a situa\u00e7\u00e3o ou ajustes desses controles dentro dos seus processos em rela\u00e7\u00e3o \u00e0 pen\u00faltima revis\u00e3o.<\/li>\n<li>4-As \u00e1reas de controles internos e\/ou riscos atualizam seu mapeamento de processos centralizado (Cadeia de Valor), n\u00edveis de risco e respectivas mitiga\u00e7\u00f5es esperadas, tanto departamentais como no escopo corporativo.<\/li>\n<li>5-A auditoria interna pode compartilhar parte desse material e periodicamente validar se tais controles e processos s\u00e3o executados da forma descrita. Lembrando que s\u00e3o processos e controles descritos pelas pr\u00f3prias \u00e1reas operacionais dentro do question\u00e1rio RCSA. A auditoria pesquisar\u00e1 evid\u00eancias dessa coer\u00eancia entre pr\u00e1tica e descri\u00e7\u00e3o, al\u00e9m de riscos potenciais n\u00e3o previstos e nem tratados.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><strong>As aventuras de Pi: Supervis\u00e3o do Banco Central na Institui\u00e7\u00e3o Financeira<\/strong><\/p>\n<p>Acostumados a avaliar a efic\u00e1cia dos controles das demais \u00e1reas na busca de efici\u00eancia e efic\u00e1cia em seus processos, o pr\u00f3prio processo da \u00e1rea de gerenciamento de riscos pode estar com poucos recursos humanos, sem documenta\u00e7\u00e3o e \u2018na cabe\u00e7a\u2019 dos colaboradores, ferramental inadequado e sem tempo h\u00e1bil para aplicar seus ciclos de revis\u00e3o. No filme \u2018As aventuras de Pi\u2019 (premiado com 4 estatuetas no \u2018Oscar\u2019, no mesmo ano em que Jeniffer Laurence trope\u00e7ou para buscar a sua de melhor atriz), o protagonista conta duas vers\u00f5es da hist\u00f3ria de sobreviv\u00eancia de um naufr\u00e1gio substituindo os personagens. Vamos trocar os personagens do mesmo fluxo anterior para gerar essa analogia na \u2018segunda vers\u00e3o da hist\u00f3ria\u2019 da mesma figura:<\/p>\n<ul>\n<li>11-A \u00e1rea operacional \u00e9 substitu\u00edda pela \u00e1rea de gest\u00e3o de riscos: o processo de coleta de informa\u00e7\u00f5es \u00e9 feito por meio de planilhas, arquivos compartilhados, e-mails e telefonemas. Depois, essas informa\u00e7\u00f5es seguem diferentes linhas paralelas por conta de diferentes crit\u00e9rios de consolida\u00e7\u00e3o. Um dos maiores receios \u00e9 suas totaliza\u00e7\u00f5es n\u00e3o coincidirem entre si ao final do processo, quando apresentadas conjuntamente \u00e0 diretoria. Enfim, a \u00e1rea faz o que pode com os recursos dispon\u00edveis.<\/li>\n<li>12-O gestor da \u00e1rea operacional \u00e9 substitu\u00eddo pelo gestor da \u00e1rea de riscos: o gestor de riscos integrados conhece os colaboradores que calculam e consolidam informa\u00e7\u00f5es dos riscos de forma segregada, uma vez que exigem conhecimentos espec\u00edficos completamente distintos entre si. Conhece tamb\u00e9m em linhas gerais como funciona o fluxo de informa\u00e7\u00f5es. Mas na aus\u00eancia de um desses colaboradores, ningu\u00e9m mais sabe em qual diret\u00f3rio fica o arquivo compartilhado ou n\u00e3o faz a m\u00ednima ideia dos ajustes nas f\u00f3rmulas ou par\u00e2metros que devem ser preenchidos a cada novo m\u00eas base para rec\u00e1lculo.<\/li>\n<li>13-O question\u00e1rio RCSA \u00e9 substitu\u00eddo pela RAS (semelhan\u00e7a de sigla): o gestor de riscos necessita preencher a estrutura de governan\u00e7a, linhas gerais de como funciona o processo de gerenciamento de riscos, grandes objetivos, principais indicadores com monitoramento de limites de toler\u00e2ncia e apetite por risco. J\u00e1 com imensas dificuldades em definir esses dois limites, o de capacidade nem ser\u00e1 tratado nessa primeira etapa. Esse momento \u00e9 importante, mas ainda n\u00e3o \u00e9 o cr\u00edtico, pois o conte\u00fado redigido n\u00e3o ser\u00e1 questionado, confiando-se na veracidade das informa\u00e7\u00f5es redigidas.<\/li>\n<li>14-A \u00e1rea de controles internos e riscos \u00e9 substitu\u00edda pela supervis\u00e3o do regulador: a RAS deve ser disponibilizada para consulta do regulador, a partir do qual ele ter\u00e1 condi\u00e7\u00f5es de avaliar se o n\u00edvel de maturidade da institui\u00e7\u00e3o est\u00e1 compat\u00edvel com o porte e complexidade de seus produtos e servi\u00e7os. Por esse motivo, simplifica\u00e7\u00f5es na estrutura de gerenciamento de riscos deve estar justificada com a devida proporcionalidade em rela\u00e7\u00e3o \u00e0s condi\u00e7\u00f5es de opera\u00e7\u00e3o do neg\u00f3cio da organiza\u00e7\u00e3o.<\/li>\n<li>15-A auditoria interna \u00e9 substitu\u00edda pela visita da auditoria do regulador: enfim, se a RAS representa fidedignamente o processo de gerenciamento de riscos da organiza\u00e7\u00e3o, a supervis\u00e3o do regulador buscar\u00e1 evid\u00eancias que comprovem sua execu\u00e7\u00e3o. Como n\u00e3o \u00e9 inten\u00e7\u00e3o da RAS ser um documento detalhado, durante a auditoria poder\u00e1 haver necessidade de possuir um mapeamento desses processos e ter clareza na defini\u00e7\u00e3o e distribui\u00e7\u00e3o de responsabilidades. Quanto menos documentado, mais dever\u00e1 estar \u2018na cabe\u00e7a\u2019 do gestor de riscos. E torcer para que \u2018essa cabe\u00e7a\u2019 n\u00e3o esteja de f\u00e9rias ou licen\u00e7a no momento dessa auditoria, al\u00e9m dela ter uma enorme capacidade de memoriza\u00e7\u00e3o dos processos e colaboradores respons\u00e1veis para serem eventualmente convocados tamb\u00e9m.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><strong>Escopo e n\u00e3o escopo<\/strong><\/p>\n<p>Em TI, especifica\u00e7\u00f5es possuem \u2018escopo\u2019, que \u00e9 o conte\u00fado objeto do projeto a ser implementado. Mas \u00e9 igualmente importante definir o \u2018n\u00e3o escopo\u2019, declarando textualmente o que n\u00e3o ser\u00e1 feito. Isso evita que a n\u00e3o men\u00e7\u00e3o a algum assunto seja objeto de contesta\u00e7\u00e3o do que \u2018deveria ser feito\u2019, ou ainda que o assunto seja colocado em pauta de negocia\u00e7\u00e3o para ser inclu\u00eddo no projeto, migrando-o para o \u2018escopo\u2019, pois n\u00e3o havia sido atentado sobre sua import\u00e2ncia.<\/p>\n<p>A RAS n\u00e3o necessita do \u2018n\u00e3o escopo\u2019, mas cabe ent\u00e3o limitar o \u2018escopo\u2019 \u00e0 pr\u00e1tica fidedigna do processo de gerenciamento de risco da organiza\u00e7\u00e3o. A primeira vers\u00e3o desse documento ser\u00e1 o mapeamento inicial para o primeiro ciclo de melhoria cont\u00ednua. Caso sejam feitos \u2018copiar e colar\u2019 para elabora\u00e7\u00e3o da RAS, recomendamos uma revis\u00e3o no documento final para evitar descrever:<\/p>\n<ul>\n<li>Governan\u00e7a e processos n\u00e3o praticados, pois os respons\u00e1veis neles descritos poder\u00e3o ser convocados para explicar sobre suas atividades, al\u00e9m da falta de evid\u00eancias de sua pr\u00e1tica inevitavelmente vindo \u00e0 tona durante o processo de auditoria do regulador. Pior que n\u00e3o descrever, \u00e9 descrever o que n\u00e3o \u00e9 praticado. Basta um item incoerente para colocar todos os demais itens sob suspeita de estarem descritos \u2018para ingl\u00eas ver\u2019, podendo prejudicar a nota da institui\u00e7\u00e3o, conforme descrito nos artigos <a href=\"http:\/\/b3bee.com.br\/site\/2018\/02\/11\/resolucoes-4-557-e-4-019-gps-guia-de-praticas-de-supervisao-do-bc-e-add-on-parte-1\/\">GPS (Guia de Pr\u00e1ticas de Supervis\u00e3o do BC) e ADD-ON<\/a> e <a href=\"http:\/\/b3bee.com.br\/site\/2018\/02\/22\/resolucao-4-557-gps-guia-de-praticas-de-supervisao-do-bc-a-metodologia-src-parte-2\/\">GPS e a metodologia SRC<\/a>.<\/li>\n<li>Indicadores cujo processo de captura, consolida\u00e7\u00e3o e crit\u00e9rios de c\u00e1lculo n\u00e3o estejam documentados ou que n\u00e3o sejam de dom\u00ednio suficiente para explicar como e porque s\u00e3o feitos. Esse desconhecimento s\u00f3 refor\u00e7a a falta de confian\u00e7a na utiliza\u00e7\u00e3o desses indicadores como instrumentos de tomada de decis\u00e3o. E sem confian\u00e7a, esses indicadores n\u00e3o far\u00e3o sentido algum serem objeto de controle de limite de apetite por risco, caso tenham sido mencionados com essa finalidade dentro da RAS.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><strong>Indicadores para tomada de decis\u00f5es: limites regulamentares e apetite por riscos<\/strong><\/p>\n<p>A diversidade no modelo de neg\u00f3cios e cultura organizacional de cada institui\u00e7\u00e3o gerar\u00e1 \u2018RAS\u2019 dos mais variados n\u00edveis de profundidade, est\u00e1gios de maturidade e volume de informa\u00e7\u00f5es, n\u00e3o havendo uma receita m\u00e1gica. Um ponto de partida pode ser a compila\u00e7\u00e3o de processos descritos nos anteriores relat\u00f3rios de gerenciamento de risco disponibilizados pelas institui\u00e7\u00f5es na internet, acrescidos de informa\u00e7\u00f5es internas de governan\u00e7a e indicadores utilizados na tomada de decis\u00f5es. Quanto aos indicadores, mesmo que eles ainda n\u00e3o possuam limites de apetite por risco definidos, conforme nosso artigo <a href=\"http:\/\/b3bee.com.br\/site\/2018\/07\/20\/resolucao-4-557-gerenciamento-de-riscos-melhoria-continua-e-iso-31000\/\">Gerenciamento de Riscos, melhoria cont\u00ednua e ISO 31000<\/a>, um processo de melhoria cont\u00ednua pode ser exatamente estudar o hist\u00f3rico desses indicadores para que tais limites sejam definidos com crit\u00e9rios justific\u00e1veis. Indicadores efetivamente considerados para tomada de decis\u00f5es s\u00e3o mais importantes que indicadores com limites definidos, mas sem peso algum na tomada de decis\u00f5es, pois tender\u00e3o ao ostracismo. Certamente h\u00e1 indicadores b\u00e1sicos essenciais, tais como os de enquadramento regulamentar. Seus limites de toler\u00e2ncia j\u00e1 s\u00e3o estabelecidos pelos reguladores e estabelecer limites de apetite por risco preventivos aos primeiros \u00e9 um racioc\u00ednio imediato e de r\u00e1pida defini\u00e7\u00e3o.<\/p>\n<p>&nbsp;<\/p>\n<p><strong>Muitas d\u00favidas, mas uma certeza<\/strong><\/p>\n<p>A inten\u00e7\u00e3o foi apenas de contribuir com um racioc\u00ednio de alerta para evolu\u00e7\u00e3o sobre o assunto, resumindo-o em: \u2018Temos d\u00favidas do que e como colocar na RAS. A \u00fanica certeza que temos \u00e9 evitar colocar o que n\u00e3o se pratica ou n\u00e3o se consegue explicar\u2019. Evitem incluir o \u2018n\u00e3o escopo\u2019 dentro do \u2018escopo\u2019, para que n\u00e3o naufraguem no momento de serem auditados e nenhum sobrevivente possa contar hist\u00f3ria alguma, qualquer que seja a vers\u00e3o. E se ainda deseja uma ideia de uma RAS, recomendamos a leitura da estrutura do pr\u00f3prio Banco Central disponibilizado em PDF, dispon\u00edvel em <a href=\"https:\/\/www.bcb.gov.br\/htms\/getriscos\/Gestao-Integrada-de-Riscos.pdf\">Gerenciamento de Riscos no Banco Central do Brasil<\/a>. Se precisasse, seria um belo in\u00edcio para ele iniciar sua \u2018RAS\u2019.<\/p>\n<p>&nbsp;<\/p>\n<p>Um bom fim de semana a todos.<\/p>\n<p>&nbsp;<\/p>\n<p>Yoshio Hada<\/p>\n<p><a href=\"mailto:yoshio.hada@basileia3.com.br\">yoshio.hada@basileia3.com.br<\/a><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>Fontes<\/p>\n<p>Resolu\u00e7\u00e3o 4.557\/17 \u2013 Gerenciamento integrado de riscos<\/p>\n<p><a href=\"http:\/\/www.bcb.gov.br\/pre\/normativos\/busca\/normativo.asp?numero=4557&amp;tipo=Resolu%C3%A7%C3%A3o&amp;data=23\/2\/2017\">http:\/\/www.bcb.gov.br\/pre\/normativos\/busca\/normativo.asp?numero=4557&amp;tipo=Resolu%C3%A7%C3%A3o&amp;data=23\/2\/2017<\/a><\/p>\n<p>Gest\u00e3o de Riscos no Banco Central do Brasil<\/p>\n<p><a href=\"https:\/\/www.bcb.gov.br\/htms\/getriscos\/Gestao-Integrada-de-Riscos.pdf\">https:\/\/www.bcb.gov.br\/htms\/getriscos\/Gestao-Integrada-de-Riscos.pdf<\/a><\/p>\n<p>Artigos anteriores \u2013 \u00cdndice de artigos<\/p>\n<p><a href=\"http:\/\/b3bee.com.br\/site\/2018\/07\/02\/resolucao-4-553-e-4-557-gerenciamento-integrado-de-riscos-indice-de-artigos\/\">http:\/\/b3bee.com.br\/site\/2018\/07\/02\/resolucao-4-553-e-4-557-gerenciamento-integrado-de-riscos-indice-de-artigos\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>RAS (Declara\u00e7\u00e3o de Apetite por Riscos): qual sua finalidade? Talvez a resposta a essa pergunta ajude a definir o conte\u00fado a ser descrito nela, buscando no bom senso antecipar seu &#8230;<\/p>\n","protected":false},"author":2,"featured_media":509,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[221],"tags":[12,30,21,19,23,20,4,10,11],"class_list":["post-508","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ras-declaracao-de-apetite-por-riscos","tag-12","tag-abordagem-grafos-gri","tag-apetite-por-risco","tag-banco-central","tag-basileia","tag-ras","tag-resolucao-4-557","tag-risco","tag-riscos"],"_links":{"self":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts\/508","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/comments?post=508"}],"version-history":[{"count":6,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts\/508\/revisions"}],"predecessor-version":[{"id":515,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts\/508\/revisions\/515"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/media\/509"}],"wp:attachment":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/media?parent=508"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/categories?post=508"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/tags?post=508"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}