Como o próprio regulador implementou a estrutura que exigirá nas instituições financeiras? A resolução possui conceitos alinhados a sua forma de trabalho, e nada melhor do que se espelhar em quem tem o poder de fiscalização.
Dentre as 3 horas no evento realizado com a participação do Ministério da Fazenda e do Banco Central (links no final do texto), destacamos alguns tópicos relativos ao BC numerados conforme o diagrama (não exaustivo e nem obrigatoriamente na mesma sequência da narrativa):
1-O que ‘norteia o trabalho no Banco Central’ é o foco do risco inversamente proporcional ao nível hierárquico: quanto mais operacional, o risco está mais associado à defesa da eficiência na execução de seus processos; quanto mais gerencial, o risco está associado ao apoio à eficácia da tomada de decisões. A instituição combina referências do COSO, ligado a controles internos e evitar fraudes (*), e referências da ISO 31000, ligada a influenciar decisões buscando o futuro.
2-A área de riscos nasceu como uma divisão em 1997, evoluiu para uma gerência em 2006 e para um departamento a partir de 2011, num processo de evolução conforme ampliação de sua atuação. Também é nomeado um AGR (agente de gestão de risco) dentro de cada departamento ou regional, a fim de serem os multiplicadores da cultura de risco dentro de sua unidade.
3-Pesquisa internacional divulgada em 2012 cita como maior causa dentre todas o risco estratégico na tomada de decisões, superando os riscos operacionais, financeiros e externos. Outra conclusão foi de 90% delas serem uma combinação entre diferentes tipos de risco, daí a necessidade de evoluir para uma visão abrangente e holística envolvendo vários tipos de riscos. O banco desconhece metodologia aceita internacionalmente que mensure a relação entre os riscos de forma integrada. Por enquanto é feito relacionamento entre eles, sem atribuição de métricas.
4-Foi iniciado mapeando processos em cada unidade isolada e depois evoluiu seu refinamento enquadrando-as dentro de uma cadeia de valor. A partir de cada processo é aplicado o RCSA onde é coletada a percepção do gestor da unidade de negócio utilizando taxonomia de riscos da Basileia. Esse é o momento de provocar questionamentos, apresentar estatísticas de organizações semelhantes ou histórico interno para refinar a correta percepção. A essência é coletar demandas reais para construir uma cultura de risco de documentar o processo de tomada de decisões sucessivas.
5-RHE – Registro histórico de todos eventos e quase eventos tem objetivo de reduzir a subjetividade das causas. O desafio é estimular seu registro pelas unidades de negócio, onde a auditoria reforça essa necessidade. Não existe o ‘de repente’: qualquer evento exigiu tempo de maturação para se materializar.
6-ICR – Indicadores chaves de riscos preferencialmente devem ter alimentação automática para contínuo monitoramento. Ao longo do tempo, mostrando-se robustos e representando adequadamente o risco avaliado, é possível estabelecer limites, gerando alertas no momento do desempenho de algum deles superar esse respectivo limite. Deve existir uma metodologia para sua construção.
7-Dimensões de risco operacional: impactos financeiro, reputacional e no negócio.
8-Todos riscos identificados na matriz devem ter um tratamento, independentemente de sua criticidade. O tratamento a ser dado é definido pelo chefe da unidade e confirmado por seu respectivo diretor. Motivo: um risco baixo pode ser possível reduzir mais ainda com uma iniciativa simples. A aceitação do risco deve ser formalizada pelos gestores, pois sua combinação com outros riscos pode tomar maiores proporções ainda não identificadas. Noutro extremo, um risco maior nem sempre pode ter tratamento, ora por estar dentro do apetite ao risco, ora pelo custo de mitigação ser proibitivo.
9-Com o mapeamento de todos os riscos da organização, adequa-se a comunicação entre os diferentes níveis hierárquicos (áreas de negócio -> unidade de risco -> diretoria colegiada), consolidando seus principais riscos para a diretoria colegiada priorizar ações.
10-A partir das priorizações definidas, comunicações adequadas às áreas de suporte permitem que elas planejem dentro de seus recursos a forma de implementar o Plano de Mitigação de Riscos (PMR), por exemplo envolvendo treinamentos ou uma lista de ajustes em sistemas. Esses planos também devem ser monitorados até sua conclusão.
11-Ferramentas são necessárias para suportar o volume de dados, o dinamismo para monitoramento de fatos de diferentes tipos ocorrendo simultaneamente por toda organização, cruzamento entre riscos e informações agregadas para a alta administração. No caso do BC, os sistemas foram desenvolvidos internamente desde a ficha de risco, monitoramento, registro histórico de eventos, acompanhamento do PMR e modelos estatísticos, entre outras funcionalidades. O ideal é modelar o ferramental e não ter de se modelar ao ferramental. Risco estratégico ainda é um item em desenvolvimento no BC.
12- Risco deve anteceder a decisão, abastecendo-a com informações que auxiliem a reduzir a subjetividade da análise. Além disso, seu gerenciamento fortalece o uso das demais ferramentas de gestão, por exemplo, a mesma cadeia de valor mapeada e sua priorização de risco será base para decisão em quais Planos de Continuidade de Negócios investir tempo de detalhamento. A gestão de riscos detém informações transversais, isto é, comportamentos comuns em processos de diferentes áreas, onde cada área individualmente não tem condição de avaliar sua recorrência por toda organização.
13-Desafios: Identificação de riscos baseada na cadeia de valor, construção da cultura de riscos, capacitação dos AGR’s, levantamento de informações detalhadas, workshop de RCSA, construção de base de dados uniforme, construção de ICR’s, registro dos incidentes, ferramentas (armazenamento e monitoramento das informações) e comunicação.
14-O que se espera da área e da gestão de risco: a governança com responsabilidades claras da gestão de cada risco, modelos robustos e ferramentas adequadas, comunicação adequada entre os diferentes níveis hierárquicos, compreensão dos modelos e experiência, tudo em prol de gerar informações que auxiliem a tomada de decisões: o risco deve ser utilizado ANTES da tomada de decisão, utilizando as melhores informações disponíveis.
15-Etapas para implantação: Aprovar governança e mapeamento da cadeia de valor, definir metodologia e ferramenta para mapeamento e monitoramento dos riscos operacionais, incluir outras dimensões de risco. O ideal é ao invés de rapidez, estabelecer etapas para estruturar algo que realmente funcione e agregue valor à organização no longo prazo, pois o tempo de existência da instituição excede o tempo do colaborador na instituição. Não buscar a conformidade pela conformidade.
(*) Nota do autor desse artigo: pela cronologia, pode se tratar de versões anteriores ao COSO 2017 (com ênfase também em estratégia).
ENAP (Escola Nacional de Administração Pública): http://www.enap.gov.br , em ‘Vídeos’.
Vídeo no link https://www.youtube.com/watch?v=Qvc-PoPxNyQ&t=7809s
Apresentações Power Point (em PDF) no link http://bit.ly/2vZx2rn
ou links https://pt.slideshare.net/CgceEnap/apresentao-francisco-eduardo-de-holanda-bessa
https://pt.slideshare.net/CgceEnap/apresentao-isabela-ribeiro-damaso-maia
Fonte: B3bee, em 11.01.2018.