Outro dia fiz um post com dicas sobre o processo de construção do relatório de apetite a riscos (RAS), que queria complementar trazendo mais informações e dicas, mas desta vez sobre o monitoramento.
Ter um bom painel de controle de apetite ao risco é uma ferramenta importante que vai lhe permitir ter uma visão mais consolidada das exposições aos riscos, e o grau em que esses riscos estão alinhados com os limites de tolerância estabelecidos pela empresa.
O formato e a periodicidade para o monitoramento da RAS variarão com base no perfil e riscos do negócio, e do nível de governança e cultura organizacional.
Por exemplo, o departamento de TI pode monitorar métricas de risco tático e alertas em tempo real em seu "war room", onde indicadores de desempenho e risco de TI são exibidos em várias telas interativas. A área de riscos pode monitorar métricas de negócios e riscos chave semanalmente, com revisões mais formais mensais ou trimestrais. Enquanto que a alta administração e o conselho podem monitorar a RAS com base em seus cronogramas de comitês, que são normalmente mensais.
Um processo eficaz de acompanhamento da RAS deve ser estruturado para produzir relatórios diretos e objetivos com uma boa quantidade e tipos de métricas, que normalmente varia de acordo com quem deseja atingir e envolver, que normalmente são separadas por categorias de risco principais, como por exemplo: estratégico/negócios, financeiro, operacional, conformidade e reputacional, onde cada categoria de risco possui suas próprias métricas, que são atribuídas a uma tolerância ao risco ou intervalo que atua como limites ou diretrizes para exposições ao risco aceitáveis.
É importante entender que normalmente a RAS tem como objetivo capturar apenas os riscos mais críticos, pois caso contrário, seria excessivamente complexo para ser eficaz. Assim, ao identificar as métricas de risco mais úteis, a RAS visa fornecer uma visão geral e mais ampla e estratégica do perfil de risco da empresa.
Uma RAS eficaz deve fornecer uma estrutura "cascata" de exposições e limites de risco nos níveis de conselho, gestão executiva e unidade de negócios. Essa estrutura permite a análise detalhada de exposições subjacentes e a agregação de exposições no nível de negócios para o nível empresarial. O nível de detalhe visível para cada métrica depende das necessidades do público específico (ou seja, conselho, gestão corporativa ou unidade de negócios). Como mostrado, o RAS seria mais dinâmico no nível de negócios, onde os gerentes podem optar por fazer mudanças com base em oportunidades de risco/retorno, respeitando as tolerâncias ao risco dos níveis de conselho e gestão.
Certos tipos de métricas de risco podem ser agregados facilmente em toda a empresa, enquanto outros são únicos para unidades de negócios e operacionais específicas.
Dito isto, queria agora dar alguns exemplos práticos de métricas que podem ser usadas nas suas declarações de apetite ao risco, focando desde o desempenho, até nos riscos, assim como nos níveis de tolerância ao risco para diferentes categorias, incluindo risco em nível empresarial, risco estratégico, risco financeiro, risco operacional, risco legal/conformidade e risco reputacional.
Para simplificação, cada declaração de apetite ao risco é acompanhada por uma ou duas métricas de exemplo e níveis de tolerância ao risco. Na prática, pode haver várias métricas e tolerâncias de risco para cada declaração de apetite ao risco.
1) Gestão de Risco da Empresa:
Objetivo do programa de gestão de riscos é sempre tentar minimizar a volatilidade inesperada dos lucros e maximizar o valor para os acionistas.
- Objetivos de Negócio: Exemplo: Integrar o programa de gestão de riscos nas decisões de negócios para aumentar a probabilidade de alcançar os objetivos de negócios. Métrica: A diferença entre o desempenho real e o esperado dos principais objetivos estratégicos será inferior a 10%.
- Rating da empresa: Exemplo: Manter a adequação de capital e cobertura de dívida para alcançar um rating de grau de investimento. Métrica: Ratings de dívida de pelo menos grau de investimento; Capital excedente e reservas de liquidez superiores a 15% do total de requisitos.
- Volatilidade Inesperada de Lucros: Exemplo: Realizar análises de lucros em risco (ex-ante) e atribuição de lucros (ex-post), visando manter a variação inesperada de lucros como uma porção razoável da variação total de lucros. Métrica: A volatilidade mensal inesperada de lucros será inferior a 20% da variação total de lucros.
2) Gestão de Risco Estratégico
O objetivo aqui é tentar diversificar o portfólio de negócios para mitigar exposições a mudanças macroeconômicas.
- Diversificação Corporativa: Exemplo: formular estratégias de crescimento para criar valor econômico e benefício de diversificação. Métrica: O benefício de diversificação excederá 30%.
- Experiência do Cliente: Exemplo: oferecer uma experiência superior ao cliente tanto online quanto em centros de serviços. Métrica: Satisfação do cliente será superior a 80% em ambos os canais.
3) Gestão de Risco Financeiro
O objetivo aqui é assumir riscos financeiros para apoiar as atividades de negócio centrais, sem especulação de mercado.
- Risco de Taxa de Juros: Exemplo: gerenciar o risco de taxa de juros dentro dos limites aprovados pelo conselho. Métrica: Impacto máximo na renda dado um deslocamento paralelo de 100bp nas taxas é de 7%.
- Risco de Crédito: Exemplo: Basear as atividades de empréstimo em padrões rigorosos de subscrição. Métrica: Perdas líquidas de crédito serão inferiores a 1% dos saldos médios dos empréstimos.
4) Gestão de Risco Operacional
O objetivo aqui é estabelecer e testar sistemas de controle interno para prevenir, detectar e mitigar exposições a riscos operacionais.
- Perdas Operacionais: Exemplo: medir e rastrear perdas operacionais para identificar causas raízes. Métrica: A relação entre perda operacional e receita será inferior a 1% para todas as unidades de negócio.
5) Gestão de Risco Legal/Conformidade
O objetivo aqui é conduzir negócios dentro dos limites de todas as leis e regulamentos.
- Política de Ética: Exemplo: tolerância zero para violações da política de ética corporativa. Métrica: Todas as exceções à política de ética corporativa serão repreendidas.
6) Gestão de Risco Reputacional
O objetivo aqui é proteger e melhorar a reputação da empresa.
- Perspectiva do Cliente: Exemplo: melhorar a experiência do cliente e resolver questões de forma oportuna. Métrica: Reconhecer reclamações de clientes dentro de 24 horas e resolver queixas legítimas dentro de cinco dias úteis.
Esses são apenas alguns dos muitos exemplos que demonstram a importância de estabelecer declarações de apetite ao risco claras e mensuráveis, juntamente com métricas específicas e níveis de tolerância ao risco para diversos aspectos dos negócios. A adoção dessas práticas permite às empresas monitorarem e gerenciarem eficazmente os riscos em alinhamento com seus objetivos estratégicos e operacionais.