Gerenciamento integrado de riscos: qual significado de ‘integração’ para você? Ao invés da simetria e rigidez das colunas gregas, em que os ‘3 pilares da Basileia’ (*) são representados, a resolução de gerenciamento de riscos estaria mais para os ‘3 pés da mesa’, adaptável ao terreno irregular e assimétrico das mais diferentes organizações.
A mesa de 3 pés e a segmentação
Num piso irregular, uma mesa de 4 pés tem grandes chances de ficar com 1 ou 2 pés ‘bambas’, dando sustos ao colocar peso maior sobre esse(s) pé(s) mais ‘curto(s)’. Já numa mesa de 3 pés, há uma acomodação maior por não exigir esse paralelismo, obviamente com o ônus de sua superfície não ficar nivelada, acompanhando o desnível do piso. O artigo 2º da resolução 4.557 reforça essa orientação de proporcionalidade da estrutura de gerenciamento de riscos ao porte e complexidade da organização:
“…§ 1º As estruturas de gerenciamento de que trata o caput devem ser:
I – compatíveis com o modelo de negócio, com a natureza das operações e com a complexidade dos produtos, dos serviços, das atividades e dos processos da instituição;
II – proporcionais à dimensão e à relevância da exposição aos riscos, segundo critérios definidos pela instituição;
III – adequadas ao perfil de riscos e à importância sistêmica da instituição; …”.
Assim, são esperados diferentes níveis de maturidade PROPORCIONAIS à organização. A estrutura de gerenciamento de riscos (nivelamento e tamanho da superfície da mesa) deve ser proporcional à complexidade e porte da instituição (irregularidade do piso).
Diferentes estruturas de gerenciamento de riscos
Faz sentido terem sua estrutura de gerenciamento de riscos com maior musculatura nos assuntos mais importantes ao seu negócio. O gerenciamento integrado de riscos respeita essa priorização, mas também estimula que os demais riscos sejam considerados e vinculados entre si. Debruçando nos requisitos para desenvolvimento de ferramental alinhados à resolução 4.557, procuramos iniciar definindo o significado de ‘integrado’, uma vez que o gerenciamento de risco de forma isolada não era novidade alguma. Enumeramos 3 deles, não apenas, não exaustivo e nem definitivos, conforme a figura acima: 1- vincular diferentes riscos, cujos efeitos devem ser estudados de forma combinada; 2-integrar o próprio processo de gerenciamento de riscos entre as várias áreas e colaboradores envolvidos; 3-estudo de riscos ser baseado num misto de dados quantitativos com julgamentos qualitativos para desenvolvimento de um futuro teste de estresse integrado.
1-Estudar o efeito combinado entre os riscos
No artigo 14, “Os testes de estresse devem:
I – ser realizados de forma integrada para os diversos riscos e unidades de negócios da instituição…
II – considerar os efeitos adversos resultantes das interações entre os riscos … “.
Para isso, é necessário mapear a dependência e motricidade entre os riscos, isto é, a relação de causa e efeito entre eles. Na forma anterior à resolução, o mapeamento de riscos de forma isolada contribui, mas não captura o efeito ‘tsunami’, onde a probabilidade de desvio de um dos objetivos pode afetar outros riscos em efeito cascata. A grande questão é como modelar e representar essa sequência de fatos do mundo real. Para isso elaboramos nossa abordagem Grafos-GRI, conforme artigos anteriores Grafos GRI-Modelagem e identificação de riscos integrados-parte 1, Parte 2 e Parte 3. Certamente não será uma tarefa fácil, visto que até o DLO do pilar I (*) ainda atribui a exposição aos riscos de forma segregada, sendo somadas apenas nos últimos estágios do cálculo. Por exemplo, a mesma carteira de ativo pode alocar capital pelas 3 exposições de forma direta ou indireta: possível inadimplência (risco de crédito), sua moeda ou indexador de correção (risco de mercado) e seu lucro líquido (risco operacional). Alguns itens já sinalizam essa necessidade de integração, ainda que de forma simplificada: o efeito do tempo, indexador e moeda na apuração do ganho potencial futuro em derivativos e o prazo nos limites ainda não concedidos, preocupações de risco de mercado e liquidez, citando alguns exemplos dentro da apuração da parcela do risco de crédito.
2-Integrar o processo de gerenciamento de riscos
O artigo 6º “identificar, mensurar, avaliar, monitorar, reportar, controlar e mitigar” nos inspirou a adotar etapas da norma ISO 31000, aplicáveis ao gerenciamento das diferentes categorias de risco dos incisos I a VII: “risco de crédito, …risco de mercado, … risco de variação de taxas de juros …na carteira bancária (IRRBB), …risco operacional, …risco de liquidez, …risco socioambiental, …demais riscos relevantes …”. Como a mensuração dessas diferentes categorias exigem conhecimentos especializados, não é raro que colaboradores ou até equipes distintas realizem seus estudos de forma estanque, com ferramentas ou critérios segregados. Numa gestão integrada, o fluxo de informações entre esses profissionais ou áreas é claramente definido e documentado, oferecendo uma visão abrangente e de conhecimento corporativo, não ficando apenas ‘na cabeça’ de alguns colaboradores e permitindo normalizar a linguagem e métricas num processo de melhoria contínua.
O inciso VI do artigo 7º, “papéis e responsabilidades para fins do gerenciamento de riscos, claramente documentados, que estabeleçam atribuições ao pessoal da instituição em seus diversos níveis… § 3º O reporte produzido pelos sistemas de informação de que trata o § 2º deve: … II – estar disponível, periodicamente e de forma adequada ao uso, para a diretoria e para o conselho de administração, quando existente;”, sinaliza que, além do fluxo horizontal, essas mesmas informações devem ser disponibilizadas no nível vertical, oferecendo consolidações adequadas aos diversos níveis hierárquicos da organização, alinhado ao cubo do COSO ERM, onde uma de suas faces era envolver toda escala hierárquica e funcional. Consideramos esses requisitos para montar o fluxo de informações do processo com ampla possibilidade de reaproveitamento, consolidação e segregação de visibilidade, garantindo que as informações partem sempre da mesma base de dados, quaisquer que fossem os consumidores e níveis hierárquicos.
3-Decisões qualitativas a partir de informações quantitativas
No parágrafo único do artigo 12, “Na realização do programa de testes de estresse, deve ser considerada a contribuição de especialistas das áreas relevantes da instituição, incluindo as de assunção de riscos, a de gerenciamento de riscos, a econômica, a de finanças e a de gerenciamento de capital” e no artigo 15 “§ 2º A baixa probabilidade da ocorrência de um cenário não deve necessariamente implicar sua exclusão do programa de testes de estresse.”, destacamos a visão holística do gerenciamento integrado de riscos. Isso significa que os testes não devem ser baseados apenas em dados históricos, mas também em potenciais eventos ainda não ocorridos na instituição, sugeridos pela experiência pessoal e julgamento de profissionais especializados, externos ou internos da organização.
Por outro lado, para calibrar melhor a modelagem de integração entre os riscos, quanto mais informação de eventos históricos possuir, facilita-se estimar o futuro a partir da correlação com variáveis simétricas ou assimétricas, conforme o mesmo artigo 15 “No processo de elaboração de cenários, quando utilizada a metodologia de análise de cenários, devem ser considerados, quando relevantes: I – elementos históricos e hipotéticos…”. Consideramos vincular a modelagem qualitativa com fácil acesso às informações quantitativas diretamente vinculadas à causa ou consequência estudada, parametrizável pelo gestor. Essa será a espinha dorsal de um futuro modelo de teste de estresse integrado. Em se tratando de instituições financeiras, inevitavelmente convergirá futuramente ao risco de liquidez, que por sua vez afetará o gerenciamento de capital, envolvendo, portanto, variáveis financeiras.
Investimentos em TI como parte da melhoria contínua
Enfim, esperamos ter contribuído para uma avaliação prática do estágio de maturidade e de interpretações ainda não observadas pela organização nesse assunto. Tratando de uma imensa base de informações históricas, capacidade de documentar a evolução, envolver diversas áreas nos mais diferentes níveis horizontais da Cadeia de Valor e níveis verticais da hierarquia, migrar o conhecimento e a cobrança da agenda do nível pessoal para o institucional, deve-se incluir no radar o envolvimento da TI em algum momento. Qualquer que seja seu estado de maturidade, certamente deve estar dentro de um processo de melhoria contínua, prevista na resolução, conforme nosso artigo Gerenciamento de Riscos, melhoria contínua e ISO 31000.
Estrutura de TI em instituições de pequeno e médio porte
Na maioria das vezes com soluções de TI terceirizadas, a essa altura do campeonato, deve haver aquelas com estruturas já adequadas ao seu negócio (número 4 da figura), mas necessitando planejar as próximas etapas de uma melhoria contínua. Outras com pacotes fixos com uma das pernas ‘bambas’, sem possibilidade de ajustes (5 e 6). Seu desafio é adaptar suas ferramentas com as novas necessidades ou incluir outras que complementem e se integrem com as já existentes. Talvez quem esteja baseado em planilhas e e-mails até tenha o conforto de buscar uma solução completamente nova, às vezes mais fácil que costurar com as várias já existentes, mas necessário, em função de cultura e investimentos já feitos no passado.
Convite para compartilhamento de ideias
Trabalhamos para oferecer uma solução adaptável ao piso organizacional de cada instituição (7), buscando alinhar nossa abordagem com o estágio de maturidade em pequenas e médias instituições financeiras, onde temos maior capacidade de contribuição, mas sendo possível fazermos paralelos com outros setores ou portes de organização. Ficamos disponíveis para troca de experiências e ideias, a partir do qual esperamos realizar mais uma rodada de melhorias em nossa ferramenta, já implementadas e inspiradas por meio de conversas anteriores.
Encerro com um de nossos valores, de que a soma de todas ideias compartilhadas torna nossa execução melhor do que baseada apenas em poucas.
Uma boa semana a todos.
Yoshio Hada
www.basileia3.com.br
(*). Resumidamente, os pilares do Acordo da Basileia são I: alocação de capital a partir de cálculos da situação contábil e de exposição aos riscos, II: supervisão do processo de gestão de riscos, e III: transparência, com divulgação de dados ao público.
Fontes
Resolução 4.557/17 – Gerenciamento integrado de riscos
Artigos anteriores – Índice de artigos