Resolução CMN 4.557/17 é o marco regulatório para a gestão de riscos nas instituições financeiras brasileiras. Ao estabelecer uma estrutura abrangente para identificar, medir, monitorar e mitigar riscos, essa norma visa fortalecer a resiliência do sistema financeiro. Neste artigo, vamos desvendar os principais requisitos da estrutura de gerenciamento de riscos e apresentar um guia prático para sua implementação eficaz, auxiliando as instituições a protegerem seu patrimônio e a garantirem a continuidade de seus negócios.
Compreendendo o Artigo 6º da Resolução - Estrutura de gerenciamento de riscos
O artigo 6º da resolução estabelece um conjunto robusto de requisitos para a estrutura de gerenciamento de riscos de uma instituição financeira. Essa estrutura deve ser capaz de identificar, medir, avaliar, monitorar, reportar, controlar e mitigar os principais tipos de riscos aos quais a instituição está exposta.
Os principais riscos abordados na resolução são:
- Risco de Crédito: Relacionado à possibilidade de uma contraparte (cliente, fornecedor, etc.) não honrar suas obrigações financeiras;
- Risco de Mercado: Decorrente de flutuações nos preços de mercado (ações, títulos, commodities, etc.), taxas de câmbio e taxas de juros;
- Risco de Taxa de Juros (IRRBB): Associado à variação das taxas de juros sobre os instrumentos financeiros da carteira bancária;
- Risco Operacional: Resultante de falhas nos processos internos, pessoas e sistemas, ou eventos externos;
- Risco de Liquidez: Relacionado à capacidade da instituição de honrar suas obrigações financeiras à vista ou em curto prazo
- Risco Social: Relacionado a temas como tratamento igualitário, direitos humanos e combate a trabalho escravo;
- Risco Ambiental: Oriundo de impactos ambientais nos produtos e serviços ou como esses podem impactar o meio ambiente;
- Risco Climático: Decorrente dos impactos climáticos de longo prazo através de mudanças perenes; e
- Risco País e de transferência.
Um ponto essencial que a norma trás é que esses riscos não devem ser analisados de forma individual e segregada, já que muitas vezes vamos ver que um processo, serviço ou produto não abrange apenas um risco, mas sim uma comunhão de impactos com diferentes pesos e abordagens. Portanto, o gerenciamento de riscos deve ser integrado, holístico e dinâmico.
Vamos abaixo entender um pouco mais destes conceitos:
Holística: Abrangência e Visão Sistêmica
- Todos os aspectos do negócio: A gestão de riscos não se limita a áreas específicas, como finanças. Deve englobar todas as operações, desde a cadeia de suprimentos até a gestão de pessoas;
- Interconexões: É preciso considerar como os diferentes riscos se interligam e se amplificam mutuamente. Por exemplo, um problema operacional pode gerar um risco de reputação, que por sua vez pode afetar o crédito da empresa; e
- Cenários complexos: A estrutura deve ser capaz de lidar com cenários complexos e interdependentes, como crises globais ou mudanças climáticas.
Dinâmica: Flexibilidade e Adaptabilidade
- Evolução constante: Os riscos emergem e se transformam rapidamente. A estrutura de gerenciamento deve ser ágil para acompanhar essas mudanças;
- Monitoramento contínuo: É fundamental monitorar o ambiente interno e externo da empresa de forma contínua para identificar novos riscos e reavaliar os existentes; e
- Atualização periódica: A estrutura deve ser revisada e atualizada periodicamente para garantir sua adequação às novas realidades.
Integrada: Alinhamento com os Processos de Negócio
- Incorporação aos processos: A gestão de riscos não deve ser um processo isolado. Deve estar integrada aos processos de planejamento, execução e controle da empresa;
- Cultura organizacional: É essencial que a gestão de riscos seja parte da cultura organizacional, com todos os colaboradores engajados na identificação e mitigação de riscos;
- Tomada de decisão: A gestão de riscos deve influenciar as decisões estratégicas e operacionais da empresa.
Políticas e Estratégias de Gerenciamento de Riscos
- Documentação clara: A documentação deve ser precisa e concisa, detalhando os procedimentos a serem seguidos em cada etapa do processo de gestão de riscos;
- Limites e procedimentos: A definição de limites claros para cada tipo de risco é fundamental para garantir que a exposição da organização esteja dentro do aceitável. Os procedimentos devem descrever como esses limites serão monitorados e como agir em caso de desvios; e
- Alinhamento com a RAS (Declaração de Apetite a Risco): Todas as políticas e estratégias devem estar alinhadas com a RAS, que define o nível de risco que a organização está disposta a assumir.
Processos Efetivos de Rastreamento e Reporte
- Rastreamento contínuo: A instituição deve monitorar continuamente os riscos, utilizando indicadores e métricas relevantes;
- Exceções: Qualquer desvio em relação aos limites e políticas estabelecidos deve ser considerado uma exceção e reportado imediatamente;
- Relatórios tempestivos: Os relatórios sobre a exposição aos riscos devem ser gerados com frequência e distribuídos para os responsáveis pela tomada de decisão; e
- Escalonamento: Deve existir um processo claro para escalonar as exceções aos níveis adequados de gestão.
Sistemas, Rotinas e Procedimentos
- Ferramentas e tecnologias: Abrange a utilização de softwares, sistemas e ferramentas específicas para identificar, medir, monitorar e controlar os riscos;
- Processos: São os fluxos de trabalho e as atividades que compõem o ciclo de gestão de riscos, desde a identificação até o tratamento dos riscos; e
- Procedimentos: São as instruções detalhadas para a execução de cada atividade dentro dos processos.
Avaliação Periódica
- Revisão contínua: A estrutura de gerenciamento de riscos não é estática e deve ser revisada periodicamente para garantir sua adequação às mudanças do ambiente de negócios e às novas regulamentações; e
- Identificação de deficiências: A avaliação deve identificar as falhas e as oportunidades de melhoria na estrutura de gerenciamento de riscos.
Identificação Prévia de Riscos
- Novos produtos e serviços: A avaliação dos riscos associados a novos produtos e serviços é fundamental para evitar surpresas e minimizar perdas;
- Mudanças significativas: Qualquer alteração nos processos, sistemas ou modelo de negócio pode gerar novos riscos ou intensificar os riscos existentes;
- Estratégias de proteção: As estratégias de hedge e as iniciativas de assunção de riscos devem ser cuidadosamente analisadas quanto aos seus potenciais riscos e benefícios;
- Reorganizações societárias: As fusões, aquisições e outras reorganizações societárias podem gerar novos riscos e devem ser devidamente avaliadas; e
- Alterações macroeconômicas: As mudanças no cenário econômico podem impactar significativamente os negócios da instituição e devem ser monitoradas de perto.
Papéis e Responsabilidades
- Definição de papéis: Cada membro da equipe deve ter suas responsabilidades claramente definidas em relação à gestão de riscos.
- Prestação de serviços terceirizados: Os prestadores de serviços terceirizados também devem ter suas responsabilidades definidas e devem ser integrados ao processo de gestão de riscos.
Programa de Testes de Estresse
- Cenários adversos: Os testes de estresse simulam cenários adversos para avaliar a resiliência da instituição e identificar as áreas mais vulneráveis.
Avaliação Contínua da Eficácia
- Resultados dos testes de estresse: Os resultados dos testes de estresse são uma importante fonte de informação para avaliar a eficácia das estratégias de mitigação de riscos.
- Outros indicadores: Além dos testes de estresse, outros indicadores de desempenho podem ser utilizados para avaliar a eficácia da gestão de riscos.
Gestão da Continuidade de Negócios
- Planos de contingência: A instituição deve ter planos de contingência para lidar com eventos que possam interromper suas operações.
Relatórios Gerenciais
- Transparência: Os relatórios gerenciais devem fornecer uma visão clara e transparente da exposição aos riscos da instituição.
- Tomada de decisão: Os relatórios devem ser utilizados para informar a diretoria, o comitê de riscos e o conselho de administração e subsidiar a tomada de decisões.
Conclusão
Em resumo, a resolução estabelece um framework sólido para a gestão de riscos, visando proteger a instituição, seus clientes e seus stakeholders. Ao cumprir esses requisitos, as instituições financeiras demonstram um compromisso com a solidez e a sustentabilidade do negócio.
A resolução institui um arcabouço normativo abrangente para a gestão de riscos, objetivando preservar a integridade institucional, a confiança dos clientes e o valor para os stakeholders.
O cumprimento dos requisitos estabelecidos pela resolução atesta o compromisso das instituições financeiras com a solidez patrimonial, a continuidade operacional e a sustentabilidade a longo prazo.
Ao adotar a estrutura de gestão de riscos proposta, as instituições financeiras demonstram proatividade na mitigação de riscos, alinhamento com as melhores práticas de mercado e fortalecimento da governança corporativa.
