Queria comentar hoje sobre o tema da gestão dos riscos operacionais, e falar um pouco mais sobre os princípios introduzidos e revistos pelo Comitê de Basiléia.
Queria começar então contando sobre esta história e como isto foi evoluindo e melhorando, fechando gaps com o tempo. Inicialmente lançados lá atrás de forma ainda muito qualitativa em 2003, há 20 anos, mas que foram subsequentemente revistos em 2011, até para incorporar lições aprendidas da crise financeira de 2007 a 2009. Mas depois disto uma nova revisão destes princípios foi feita em 2014 com três objetivos específicos: avaliar o nível de implementação nas instituições bancárias, identificar lacunas significativas na implantação e evidenciar práticas emergentes e notáveis de gerenciamento de riscos operacionais.
Queria falar mais desta revisão de 2014, pois com o passar do tempo, revelou alguns problemas e falhas em várias áreas, entre elas podemos destacar a necessidade de orientação adicional em ferramentas de identificação e avaliação de riscos, incluindo os indicadores de risco chave (Key Risk Indicators) e as autoavaliações de risco e controle (Risk and Control Self-Assessments - RCSAs). O mercado logo viu ainda necessidade de melhorias nos programas e processos de gerenciamento de mudanças, na implementação das três linhas de defesa (e os auditores agora querem tirar esta palavra, deixando as linhas soltas), e na supervisão por parte do conselho de administração e alta administração.
O Comitê também reconheceu que os princípios revistos em 2011 não abordavam adequadamente fontes importantes de risco operacional, como os riscos de Tecnologia da Informação e Comunicação.
Posteriormente, levando em conta o potencial crescente para interrupções significativas nas operações bancárias decorrentes de pandemias, desastres naturais e incidentes cibernéticos, foram desenvolvidos princípios adicionais voltados para a resiliência operacional. Esses novos princípios foram desenhados para se alinhar com as diretrizes já estabelecidas em relação ao gerenciamento de riscos operacionais.
Os princípios atuais para instituições bancárias abordam tópicos como governança; o ambiente de gerenciamento de riscos; tecnologia da informação e comunicação; planejamento de continuidade de negócios; e o papel da divulgação. Vale ressaltar que esses assuntos não devem ser vistos de forma isolada, mas sim eles são temas integrados no gerenciamento de riscos operacionais, e obviamente no gerenciamento de riscos de forma geral da empresa. Diria que a palavra do momento neste sentido é a chamada: resiliência operacional.
O risco operacional é definido como o risco de perdas resultantes de processos internos inadequados ou falhos, pessoas e sistemas, ou de eventos externos. Este conceito engloba risco legal, mas exclui riscos estratégicos e de reputação. É inerente a todos os produtos, atividades, processos e sistemas bancários, tornando sua gestão eficaz uma necessidade e obrigação regulatória.
Bom dizer de que o sucesso na gestão de riscos operacionais é um reflexo da eficácia da diretoria e da alta administração no gerenciamento de seu portfólio de produtos, atividades, processos e sistemas. A governança interna robusta é a base de um quadro eficaz de gestão de riscos operacionais.
Embora a gestão de riscos operacionais e a resiliência operacional tenham objetivos distintos, são estreitamente interconectados. Um sistema eficaz de gestão de riscos operacionais e um robusto nível de resiliência operacional atuam conjuntamente para reduzir a frequência e o impacto de eventos de risco operacional.
As instituições bancárias comumente confiam em três linhas de defesa (vou continuar usando esta palavra): para começar na primeira linha a gestão da unidade de negócios, depois como segunda a função de gestão de riscos operacionais corporativos independente, e por fim como terceira a auditoria interna também independente. Não preciso nem dizer de que essas linhas devem ser adequadamente financiadas em termos de orçamento, ferramentas e pessoal, e cada uma deve ter papéis e responsabilidades claramente definidos.
A revisão de 2014 do Comitê de Basileia destacou que vários princípios não foram adequadamente implementados, exigindo mais orientação em áreas como identificação e avaliação de riscos, monitoramento eficaz de programas e processos de gestão de mudanças, e implementação das três linhas de defesa. Além disso, a revisão apontou a necessidade de abordar fontes significativas de risco operacional, como o risco de tecnologia da informação e comunicação.
É muita informação, por isto vou preparar um novo post separado a seguir amanhã falando de cada um destes princípios de Basiléia para riscos operacionais, que constam no relatório do Comitê de Basileia para Supervisão Bancária de 2014 sobre os "Princípios para a sólida gestão de riscos operacionais".