Uma Declaração de Apetite a Riscos, mais conhecida como RAS, que é a sigla em inglês para: "Risk Appetite Statement", representa um dos pilares mais relevantes da governança de riscos de uma instituição financeira, particularmente de um banco, ao estabelecer formalmente os limites qualitativos e quantitativos dos riscos que a instituição está disposta a aceitar para alcançar seus objetivos estratégicos.
Mais do que um documento técnico a RAS é uma ferramenta integradora que articula o planejamento estratégico, a alocação de capital, o perfil de risco e os controles internos, influenciando diretamente as decisões do Conselho de Administração, dos comitês de risco, das áreas de negócios e da diretoria executiva.
Vou tentar então falar um pouco mais de como ela deve ser estruturada de forma genérica.
A primeira seção da RAS deve apresentar sua finalidade institucional., afinal este documento existe para exatamente definir os parâmetros de risco aceitáveis pela instituição em cada uma de suas atividades, considerando o nível de tolerância a perdas financeiras, a capacidade de capital e liquidez, os requisitos regulatórios, os objetivos estratégicos e a cultura de riscos desejada. Ele é feito para permitir que o banco se beneficie de oportunidades de crescimento, inovação e geração de valor de forma responsável, prudente e compatível com sua resiliência financeira. A RAS deve ser aprovada pelo Conselho de Administração, com anuência e participação ativa do comitê de riscos (CoRis), em parceria com o Chief Risk Officer (CRO), e deve ser revisada ao menos anualmente, sendo considerada documento vinculante para todos os níveis da empresa.
O documento precisa depois deixar bem claro quais são os princípios fundamentais que orientam o apetite a riscos da instituição. Primeiramente reconhecer de que assumir riscos é inerente a atividade bancária e necessário para a geração de valor, mas que a exposição a riscos deve estar sempre limitada aquilo que a instituição compreende, mensura, monitora e controla. Os riscos devem ser compatíveis com o modelo de negócios, o perfil dos produtos, o posicionamento estratégico, o ambiente regulatório e a capacidade financeira do banco. Além disso o apetite deve considerar a proteção da reputação institucional, a estabilidade das métricas financeiras e o alinhamento com os compromissos sociais, ambientais e éticos do banco. A definição do apetite deve servir tanto para orientar decisões estratégicas, como por exemplo a expansão para novas geografias ou o lançamento de produtos inovadores, quanto decisões táticas e operacionais, como a aprovação de limites de crédito ou a aceitação de novos clientes.
O próximo elemento essencial da RAS é a descrição da arquitetura de governança de riscos. A estrutura deve ser baseada no modelo das três linhas de defesa. A primeira linha é composta pelas áreas de negócio, responsáveis diretas por identificar, mitigar e operar dentro dos limites de risco estabelecidos. A segunda linha compreende a função de Riscos e Compliance, com independência operacional e autoridade para revisar, monitorar, desafiar decisões e reportar exposições fora do apetite ao Conselho e Comitês. A terceira linha é formada pela Auditoria Interna, responsável por avaliar de forma independente a eficácia do sistema de controle interno, dos processos de risco e da própria governança. O CRO deve integrar o Comitê Executivo e possuir acesso direto ao Comitê de Riscos do Conselho, além de liderar comitês internos especializados como os comitês de risco de crédito, de risco de mercado, de risco operacional, de produtos, de modelos, de continuidade de negócios e de riscos emergentes.
Um dos componentes centrais da RAS é o estabelecimento dos limiares de tolerância a perdas financeiras. Estes limiares representam os valores máximos de perdas que o banco aceita sofrer, sob cenários adversos definidos, antes de ser compelido a revisar sua estratégia, ajustar sua alocação de capital ou modificar seus negócios. Os principais limites envolvem o consumo de capital sob estresse, os prejuízos contábeis líquidos e a deterioração da liquidez. Por exemplo o banco pode estabelecer que mesmo em um cenário extremo de estresse com probabilidade de ocorrência de 1 em 25 anos, o índice de capital regulatório não deve cair abaixo de 12%, e o prejuízo líquido anual não pode ultrapassar determinado valor pré-definido. Tais limites devem ser testados anualmente através de testes de estresse conduzidos com base no plano estratégico da instituição e revistos sempre que houver mudanças relevantes no ambiente econômico ou regulatório.
A RAS deve então abordar o apetite da instituição a riscos de capital, alavancagem e liquidez. O banco deve definir parâmetros claros que assegurem a manutenção de sua solidez patrimonial e de sua capacidade de atender obrigações mesmo em situações de mercado adversas. O apetite a risco de capital envolve a definição de níveis mínimos de capital regulatório, como um índice de capital de nível 1 superior a 11% e um índice de capital total acima de 13%, além de buffers adicionais estabelecidos no ICAAP (Internal Capital Adequacy Assessment Process). O apetite a risco de alavancagem estabelece limites para o crescimento da carteira de ativos em relação ao capital base, evitando ciclos de expansão excessiva sem respaldo patrimonial. Já o apetite a risco de liquidez define a capacidade da instituição de sobreviver a choques de liquidez sem acessar mercados de funding, mantendo indicadores como LCR (Liquidity Coverage Ratio) e NSFR (Net Stable Funding Ratio) acima de 120%, bem como métricas internas que garantam capacidade de sobrevivência por pelo menos 12 meses em cenário extremo.
No que se refere ao apetite a risco de crédito a RAS deve descrever com profundidade os limites e diretrizes para aceitação de riscos associados à concessão de crédito e exposições a contrapartes. Isso abrange tanto o livro bancário, onde estão os créditos a clientes, quanto no livro de tesouraria, onde estão os ativos de mercado. Para o livro bancário o apetite pode incluir limites por tomador, por grupo econômico, por setor e por país, definindo níveis máximos de concentração e ratings mínimos aceitos. A estrutura de limites deve estar integrada aos modelos internos de classificação de risco e ser ajustada dinamicamente conforme mudanças no ambiente macroeconômico. No livro de tesouraria o apetite a risco deve estar centrado na preservação da liquidez e da qualidade de crédito da carteira, admitindo apenas contrapartes investment grade e aplicando limites estritos de exposição, como o valor em risco de default (DVaR) e a exposição a derivativos com base em colaterais e ratings internos.
Quanto ao apetite a risco de mercado a RAS deve incluir os riscos de variação de taxas de juros, câmbio, preços de ações e commodities, spreads de crédito e volatilidade. Para o banco o risco de mercado pode emergir tanto do livro de negociação quanto de posições estruturais no balanço. A RAS deve estabelecer limites baseados em métricas como Value at Risk (VaR), Expected Shortfall (eVaR) e stress testing. O uso de derivativos para hedge deve ser descrito com clareza, e a exposição a ativos de maior volatilidade, como ações em carteira própria, deve ser compatível com a tolerância a perdas contábeis descrita nos limites.
O risco de modelagem merece um capítulo próprio na RAS, especialmente em instituições que utilizam modelos internos para cálculo de capital, precificação, score de crédito, ALM e risco de mercado, e agora modelos de IA. O banco deve descrever sua estrutura de governança de modelos, a classificação dos modelos por criticidade, as diretrizes para validação independente e os critérios de aceitação de modelos com incertezas elevadas. O apetite a risco de modelo deve ser classificado como baixo, moderado ou alto conforme a proporção de modelos com falhas ou incertezas relevantes. A política deve incluir um inventário completo de modelos, critérios de aprovação, ciclos de revalidação e processos para substituição ou retirada de modelos obsoletos.
Em relação ao risco climático a RAS deve refletir os compromissos ambientais e de sustentabilidade do banco, incluindo metas de financiamento verde, exclusão de setores carboníferos e integração de risco climático à avaliação de crédito. O apetite pode estabelecer por exemplo que o banco não financiará projetos ligados à extração de carvão ou petróleo não convencional e buscará alocar pelo menos 40% da nova carteira de crédito em atividades alinhadas ao Acordo de Paris. Devem ser considerados tanto riscos físicos como eventos climáticos extremos que afetam ativos e garantias, quanto riscos de transição como mudanças regulatórias e precificação de carbono que impactam empresas com alto footprint ambiental.
A RAS também deve tratar do apetite a risco operacional e reputacional. O risco operacional abrange perdas por falhas de processos, pessoas, sistemas ou eventos externos, e deve ser endereçado por uma estrutura abrangente de controles internos, indicadores-chave de risco (KRIs), relatórios de incidentes e planos de continuidade. A exposição a fraudes, falhas sistêmicas, erros de processamento, ataques cibernéticos e falhas de terceiros deve ser limitada por critérios claros e sistemas de prevenção e detecção. A reputação institucional deve ser protegida por meio de um apetite conservador a eventos que possam causar dano a imagem do banco, com políticas de conduta, integridade, relacionamento com stakeholders e gestão de crises reputacionais. O banco pode adotar apetite zero para fraudes internas, lavagem de dinheiro, financiamento do terrorismo e não conformidade deliberada com normas regulatórias.
Por fim uma RAS moderna deve incorporar riscos emergentes e não tradicionais, como riscos tecnológicos decorrentes de adoção de inteligência artificial e blockchain, riscos associados a parceiros do ecossistema (APIs, fintechs, BaaS), riscos de decisão algorítmica (com vieses e falta de explicabilidade), riscos geopolíticos e de sanções, riscos de ESG e sustentabilidade, e riscos de privacidade e uso de dados, como os regulados pela LGPD. Cada novo risco deve ser acompanhado de sua avaliação de materialidade, metodologia de medição, processos de mitigação e, quando aplicável, limites e controles compatíveis com a postura da instituição.
Uma Declaração de Apetite a Riscos eficaz deve funcionar como uma constituição prática do gerenciamento de riscos, integrando todos os pilares da estrutura de governança da instituição. Ela precisa ser viva, dinâmica, compreensível e operacionalizável. Sua elaboração deve envolver as áreas de risco, compliance, finanças, auditoria, negócios, tecnologia e jurídica, e sua aplicação deve estar presente em todas as fases do ciclo de vida do risco, desde a concepção de produtos até o encerramento de exposições. Uma RAS bem construída é acima de tudo um instrumento de responsabilidade institucional, compromisso com a resiliência e catalisador de uma cultura de riscos madura e eficaz.
