Muitas das dificuldades observadas para a implementação de uma estrutura de riscos eficiente em uma organização vêm do esquecimento (ou da falta de entendimento) de uma noção extremamente básica: os riscos devem ser geridos onde surgem – ou seja, ao nível de cada operação ou de cada transação do negócio. Isto quer dizer que a gestão de riscos é de responsabilidade da 1ª Linha de Defesa!
É por isso que eu prefiro o termo “função de risco” a “gestão de risco”. “Função de risco” se refere a um papel dentro da organização, enquanto que “gestão de risco” se refere a uma atividade, atividade essa que deve ser desempenhada pelas áreas de negócio.
Função de Risco – As Três Atribuições Fundamentais
Fundamentalmente, a função de risco possui três atribuições em uma organização: (1) auxiliar na definição do apetite ao risco do negócio e do conselho de administração; (2) monitorar a exposição ao risco dentro do apetite ao risco e ser a responsável pela estrutura de gestão de risco e; (3) desafiar e aconselhar sobre decisões estratégicas de negócios relativas à tomada de riscos. Nada mais do que isso.
No entanto, estas três atribuições requerem conhecimentos especializados em aspectos conceituais e técnicos de identificação, avaliação, mitigação e monitoramento de riscos por parte de profissionais de risco. Necessitam também de um excelente conhecimento das exigências regulamentares para garantir a conformidade do negócio e, por último, devem compreender os processos do negócio, a sua capacidade, restrições e vulnerabilidades.
Atribuição fundamental nº 1 - Definir o apetite ao risco
Tenham isso sempre em mente: a primeira e mais importante responsabilidade da função de risco é estabelecer um processo que permita à organização definir o seu apetite ao risco. Uma gestão adequada de riscos só pode ocorrer quando o apetite para esses riscos está estabelecido. É isso que define todos os demais parâmetros de gestão de risco de uma organização. E definir um apetite ao risco relevante, específico e acionável requer um processo maduro de gestão de riscos.
A avaliação dos riscos que uma empresa está disposta a assumir e a manutenção de sistemas de gestão de riscos e de controle interno para garantir que as exposições a esses riscos fiquem dentro dos limites definidos pelo apetite exigem a identificação dos principais riscos que podem impactar negativamente os objetivos do negócio, a avaliação da exposição atual a esses riscos e a definição de controles adicionais, caso esta exposição for considerada excessiva.
Para que isso ocorra de maneira eficiente, a proporcionalidade e o equilíbrio são fundamentais: uma gestão de riscos voltada ao negócio não implica na ausência de riscos ou controles a todo custo. Da mesma forma, uma boa cultura de risco não significa necessariamente uma maior aversão ao risco. É necessário equilibrar a exposição ao risco e os respectivos controles, com o que estes implicam em termos de custos adicionais, restrições e impactos em processos.
Atribuição fundamental nº 2 - Monitorar a exposição ao risco
Também é atribuição fundamental da função de risco fornecer uma visão consolidada do perfil de risco do negócio, e é sua responsabilidade informar a Comitê Executivo sobre o grau em que o negócio está respeitando – ou violando – os limites definidos pelo apetite ao risco.
Isso exige que a função de risco tenha grande visibilidade sobre a condução das operações no negócio e uma grande compreensão dos fatores de risco que impactam o negócio, bem como das possíveis métricas usadas para medir esses fatores de risco. Somente assim é possível implementar um programa de indicadores chave de risco bem-sucedido. Os indicadores chave de risco são uma forma muito eficaz de controlar o apetite ao risco no nível operacional, alinhando seu limite com as prioridades de negócios e as declarações de tolerância ao risco.
Lembrando que o monitoramento de riscos não se limita aos processos diários de negócio: ele deve se estender aos riscos e ameaças futuras, incluindo as decorrentes de mudanças significativas no ambiente empresarial, sejam elas competitivas, tecnológicas, regulamentares, sociais ou políticas. O monitoramento constante do ambiente regulatório, das tendências futuras e dos pontos de atenção do regulador, do público em geral e dos meios de comunicação social, pode ser de primordial importância na identificação precoce – e mitigação – de potenciais ameaças.
Atribuição fundamental nº 3 – Desafiar e aconselhar
A terceira atribuição fundamental da função de risco é atuar como caixa de ressonância do negócio em relação a decisões que possam alterar o perfil de risco da organização. Tais decisões empresariais podem dizer respeito a novos empreendimentos, acordos comerciais ou aquisições, novos produtos ou novos mercados, investimentos ou desinvestimentos.
Porém, para cumprir o seu papel de desafiar o negócio, a função de risco precisa de ter autoridade delegada suficiente para congelar decisões da organização que possam contradizer os requisitos regulamentares ou um possível escrutínio regulamentar futuro, ou exceder o apetite risco, sem o devido reconhecimento do aconselhamento.
A Estrutura Invisível de Gestão de Riscos
As três atribuições da função de risco são, portanto, importantes e complexas, até pela sua posição transversal em toda a organização, tendo que coordenar vários negócios e personalidades de gestão, e convencendo os indivíduos sobre os benefícios de executar uma gestão de risco eficiente e alinhada ao seu apetite de riscos. E para conseguir executar essas atribuições de maneira eficaz, a função de risco deve definir e implementar uma estrutura de gestão de risco adequada.
As estruturas de gestão de risco nada mais são que arcabouços técnicos que ajudam os profissionais de risco a compreender como os riscos e os controles funcionam ou deveriam operar dentro de uma organização. Mas essas estruturas não precisam e nem devem ser uma preocupação ou um fardo para o negócio. Pelo contrário: os profissionais de risco que são capazes de alcançar com sucesso as suas atribuições fundamentais estão na verdade operando uma “estrutura invisível”.
E o que é uma estrutura invisível? Uma estrutura invisível nada mais é que o conteúdo sobre a forma, ou seja: o conteúdo e a intenção da gestão de risco substituem termos e ferramentas técnicas, para chegar a um ponto em que todos os colaboradores façam a gestão do seu risco implicitamente, como parte das suas atividades diárias, sem necessariamente pensar nisso. Em outras palavras, trata-se de uma estrutura que permite aos especialistas em risco atingir níveis suficientes de conhecimento e conforto na manipulação de conceitos e técnicas de gestão de riscos para que possam comunicar seus requisitos e prioridades ao negócio sem o peso do jargão e da técnica, tornando efetivamente a estrutura de gestão de riscos “invisível”.
Três atitudes conscientes da função de risco podem ajudar as organizações a operar uma estrutura invisível de gestão de riscos: (1) utilizar a linguagem do negócio; (2) alavancar processos e práticas existentes e; (3) fornecer orientação e usar sistemas para coletar e analisar informações.
Utilizar a linguagem do negócio
Muitas vezes a utilização de jargão e vocabulário técnico específico de risco acaba atrapalhando um relacionamento construtivo entre a função de risco e os executivos de negócios, reforçando ainda mais a falsa (e comum) impressão de que a gestão de riscos é uma atribuição da função de risco. Não há necessidade de sobrecarregar o negócio com linguagem específica de risco. Aliás, é um desafio interessante tentar falar sobre gestão de riscos sem mencionar o termo “risco”.
Sem chegar a esse extremo, há muitas maneiras de traduzir terminologias de risco em questões concretas orientadas para os negócios. “Quais são os seus principais riscos?” pode, por exemplo, ser transformado em “O que poderia acontecer que poderia impactar o alcance de seus objetivos?” ou “Quais são as suas principais preocupações para o seu negócio?”
Workshops de cenários poderiam começar com “Quais são os maiores incidentes que você sofreu nos últimos anos?” e “Quais são as piores coisas que podem acontecer ao seu negócio?” As discussões sobre limites de apetite ao risco poderiam ser traduzidas em “Com o que você se sente confortável?” ou “Quanto dinheiro você está pronto para colocar em jogo?”
Mesmo que os gestores seniores estejam frequentemente familiarizados com a maior parte da linguagem do risco, muitos dos demais colaboradores não estão. Traduzir termos técnicos para discussões da vida real é uma forma poderosa de obter informações relevantes.
Aproveitar as práticas existentes
Sendo a função de risco uma função de suporte, ela será melhor aceita se tender a se ajustar às preocupações do negócio e não o contrário. As práticas de gestão de risco mais bem sucedidas, aceitas e incorporadas são aquelas que abrangem as prioridades e preocupações do negócio, e não aquelas que tentam adaptar o negócio às opiniões e preocupações da função de risco.
A operacionalização de uma estrutura invisível exige capacidades avançadas da função de risco, não apenas na sua disciplina central (risco), mas também na demonstração de compreensão suficiente do negócio de forma a se colocarem no lugar dos seus pares na 1ª linha e se relacionarem com as suas prioridades.
Por exemplo, a razão para completar um reporte de incidente não é tanto a conformidade regulamentar, mas sim a proteção dos ativos da empresa, dos objetivos de lucros e perdas e da entrega da estratégia. A análise de cenários surge muito mais da necessidade de proteção contra grandes perdas potenciais do que da necessidade de cálculos de capital. A conformidade com os regulamentos é importante, mas não deve estar na vanguarda do argumento da função de riscos. Proteger os ativos e objetivos da empresa é uma meta principal melhor para o gerenciamento de riscos.
Fornecer orientação e suporte via sistemas
Todos precisamos estarmos dispostos e sermos capazes de agir: orientação é tão importante quanto motivação e inspiração para influenciar comportamentos. Quando os especialistas em risco exigem que a organização “monitore os seus riscos” ou “avalie os seus riscos” sem explicar adequadamente o que isso significa, como fazê-lo concretamente e apoiá-los ao longo do processo, é muito provável que esse processo resulte em pouco valor.
Numa estrutura invisível de gestão de risco, tarefas como a realização de workshops de identificação de riscos, autoavaliação de riscos e controles e análise de cenários não são simplesmente delegadas para a 1ª linha. Elas são facilitadas pela função de risco – com o envolvimento do negócio, claro, mas com orientação, preparação e informação de base suficientes da função de risco.
Além disso, a tecnologia integrada, o suporte via sistemas e, em particular, a estrutura de comunicação de riscos e incidentes são de primordial importância para garantir um processo de comunicação contínuo sobre eventos, riscos e controles. Aqui, novamente, quaisquer requisitos de relatórios e informações que aproveitem usos pré-existentes pela organização têm muito mais probabilidade de serem adotados com sucesso, destacando os benefícios de uma estrutura invisível.
Conclusão
Eu realmente acredito que a função de risco tem muito mais chances de ser aceita e respeitada se mantiver a estrutura de risco entre suas próprias preocupações e interagir com o negócio em seu próprio terreno, adotando sua perspectiva e linguagem sem perder de vista o objetivo final: um negócio mais seguro, com excelência operacional e rentabilidade à longo prazo. Ao operar uma estrutura invisível, os profissionais de risco podem manter os seus aspectos técnicos para si e fornecer assistência eficaz e de valor agregado às linhas de negócio, melhorando a adesão, a cultura de risco e a conformidade.
