Uma lição importante da crise financeira global de 2007-08 foi a necessidade de mais informações sobre o risco para tomar decisões empresariais sólidas. Consequentemente, a gestão de riscos ganhou muito mais destaque no que diz respeito a uma gestão das instituições financeiras de forma abrangente. Assim, ferramentas relevantes tiveram de ser implementadas ou melhoradas para fazer face a esta maior ênfase e para cobrir adequadamente as necessidades de gestão de riscos. Posteriormente, o Comitê de Supervisão Bancária de Basileia (Basel Committee on Banking Supervision - BCBS) forneceu uma visão abrangente sobre o foco e os objetivos dos testes de estresse (BCBS, 2009):
Fornecer avaliações de risco prospectivas;
Superar limitações de modelos e dados históricos;
Apoiar a comunicação interna e externa;
Contribuir para procedimentos de planejamento de capital e liquidez;
Informar a definição da tolerância ao risco das instituições financeiras; e
Facilitar o desenvolvimento de planos de mitigação de riscos ou de contingência numa série de condições de estresse.
A partir dos objetivos acima, o BCBS implementou uma estrutura que se tornou base para requisitos regulatórios em praticamente todas as instituições financeiras regulamentadas no mundo. Estes requisitos foram alterados e melhorados ao longo do tempo para abordar a criticidade deste elemento de gestão de risco para os bancos e se tornar uma ferramenta fundamental para a supervisão bancária e as autoridades macro prudenciais. No entanto, para o exercício dos testes de estresse exigido pela regulamentação, o foco principal das instituições financeiras sempre foi a solvência e a liquidez, uma vez que isto fornece uma indicação significativa relativamente à robustez do sistema financeiro *per se*. Somente quando a crise da Covid-19 forneceu um exemplo real de como a continuidade dos negócios pode ser perturbada e como alguns problemas relacionados podem exacerbar o risco sistêmico e levar a problemas graves para toda a indústria é que os testes de estresse de riscos não financeiros começaram a receber a atenção que mereciam.
Visão geral dos tipos e métodos de testes de estresse
A Figura 1 abaixo fornece uma visão geral dos vários aspectos relativos aos testes de estresse. Os tipos de testes de estresse são geralmente baseados em abordagens ascendentes (bottom up) ou descendentes (top down). Em termos de metodologia, são utilizadas análises de cenários e/ou análises de sensibilidade, com a primeira assumindo certas condições severas a nível macroeconômico, organizacional ou de carteira, e a segunda olhando para o estresse de determinados parâmetros ou fatores de risco.
Figura 1: Testes de Estresse - Visão Geral
Os fatores estressados são geralmente derivados historicamente e/ou hipoteticamente. Basear os testes de estresse em dados históricos tem a vantagem de incluir incidentes, eventos e a sua magnitude. No entanto, a história observada não necessariamente se repete em termos de magnitude ou mesmo tem exatamente os mesmos eventos na mesma sequência. Portanto, é vital combiná-los com suposições hipotéticas baseadas em cenários ou fatores de risco.
Normalmente, a abordagem de cima para baixo (bottom up) é aplicada para testes de estresse reverso. Aqui, o resultado do teste de estresse já está determinado e as carteiras, os segmentos de negócio e as condições organizacionais, por exemplo, são avaliados para atingir o objetivo do cenário de teste. Esse tipo de teste apoia, portanto, a detecção de áreas vulneráveis e, consequentemente, ajuda a determinar medidas de mitigação.
Outro aspecto a considerar é se os testes de estresse se baseiam em eventos e cenários relacionados com o mercado ou se são específicos da instituição (também conhecidos como eventos idiossincráticos). Eventos como a pandemia de Covid-19 têm obviamente um enorme impacto nos mercados. Porém, as características idiossincráticas também devem ser consideradas, dado que as capacidades específicas da instituição em matéria de recursos relativos a pessoal, tecnologia / comunicação e ativos físicos são vitais para resistir a tal crise.
Considerações específicas para testes de estresse relacionados a riscos não financeiros
Dado que a gestão de riscos não financeiros é orientada por fatores de risco e por eventos, tanto a análise de sensibilidade como a de cenário podem ser aplicadas para fornecer uma visão sobre as várias categorias de risco e fatores de tipo de risco relacionados. Como sabemos, o risco operacional do ponto de vista regulatório engloba as seguintes categorias de eventos:
Fraude interna;
Fraude externa;
Práticas de emprego e segurança no local de trabalho;
Clientes, produtos e práticas comerciais;
Danos a bens físicos;
Interrupções nos negócios e falhas no sistema; e
Execução, entrega e gerenciamento de processos.
Outras categorias de risco não mencionadas de forma explícita no framework de Basileia, mas que são relevantes, incluem:
Risco de conduta;
Risco cibernético;
Risco de conformidade;
Risco de tecnologia;
Risco de fornecedores e terceiros; e
Risco de modelo.
A Tabela 1 abaixo, embora não seja abrangente, fornece uma visão geral de algumas das categorias de risco anteriormente destacadas, da exposição ao risco relevante, dos fatores desencadeadores ou “gatilhos” (triggers) e das áreas afetadas pelo resultado, fornecendo uma base sobre como estruturar um teste de estresse de riscos não financeiros:
Tabela 1: Categorias de Risco Relacionadas à Testes de Estresse de Riscos Não Financeiros
A tabela acima também mostra que, por um lado, alguns dos gatilhos de materialização da exposição para cada categoria de risco estão correlacionados e, por outro, a Continuidade de Negócios é quase sempre afetada em termos de resultado e, portanto, é de grande importância para a mitigação de eventos de estresse do ponto de vista de riscos não-financeiros. Dessa forma, é importante submeter as capacidades existentes de Continuidade de Negócios a um teste de estresse específico, que confirmará a adequação ou ajudará a descobrir lacunas correspondentes. É claro que é importante que todos os fatores determinantes possíveis sejam suficientemente realçados para que seja garantida uma cobertura abrangente, caso contrário as inadequações existentes só serão reveladas durante uma crise real.
Os blocos de construção dos testes de estresse
Aqui, é importante considerar as ferramentas de gestão do risco operacional existentes que fornecerão dados e indicadores sobre as áreas abrangidas pelo teste de estresse, bem como a magnitude potencial do estresse a ser aplicado e os limiares, níveis e setores relevantes, de forma a construir uma base para se obter um teste de estresse significativo. Cada um dos blocos de construção mostrados na Figura 2 abaixo contribui para a geração de um teste de estresse abrangente:
Figura 2: Ferramentas de Gestão de Risco Operacional
Indicadores chave de risco: Os principais indicadores de risco (Key Risk Indicators - KRIs) fornecem não apenas uma visão geral para a gestão sobre tendências para potenciais áreas de preocupação, mas também uma indicação do potencial estresse ao qual a instituição pode estar exposta.
Base interna de perdas: Ter dados internos suficientes sobre perdas é sempre um desafio. No entanto, a disponibilidade de dados pode indicar fragilidades na configuração atual da organização devido ao grande número de incidentes que conduzem a perdas.
Autoavaliações de riscos e controles: Tal como acontece com os KRIs, as autoavaliações de riscos e controles (Risk and Controls Self Assessment - RCSAs) ajudam a identificar exposições que podem ser relevantes. Além de obter uma visão abrangente sobre a exposição ao risco em todos os níveis organizacionais e funcionais, a eficácia dos controles – que são uma parte essencial da autoavaliação – proporcionará um meio de salientar as áreas relevantes. Salientar os controles em vigor avaliará a sua eficácia e ajudará a identificar pontos fracos.
Mapeamento dos processos de negócio: Tudo isto anda de mãos dadas com o mapeamento de processos de negócio, onde podem ser determinados potenciais efeitos de repercussão de um processo para outro. Isto fornece, portanto, uma imagem holística da possível materialização dos eventos presumidos e da exposição subsequente.
Mapa de calor de riscos: O mapa de calor fornece uma visualização do resultado agregado do RCSA e, portanto, pode ser utilizado para verificar os pressupostos do teste de estresse em linha com os riscos registrados no dicionário de riscos da instituição.
Análise de cenários: Finalmente, com a utilização de todas essas ferramentas, a criação de cenários deverá ser significativa e atender às especificidades de cada instituição quando da definição do cenário relacionado ao teste de estresse.
Execução e avaliação do teste de estresse
Para a execução do teste de estresse, é necessária a participação das partes interessadas relevantes e os respectivos especialistas nos riscos envolvidos, garantindo a relevância do cenário e a aceitação dos resultados. Muitas vezes este ponto é ignorado, levando a objeções quando as consequências do resultado são determinadas. Dependendo da estrutura organizacional, a liderança para o desempenho do teste de estresse é geralmente da função de gestão de risco e envolve as áreas de negócios, bem como a gestão financeira e de capital.
Conforme mencionado anteriormente, no caso de riscos não financeiros, a interrupção dos negócios e os eventos relacionados precisam ser avaliados e, portanto, é fundamental garantir a participação da função responsável pela Continuidade de Negócios no teste de estresse. A função de Continuidade de Negócios faz aqui parte da segunda linha, uma vez que, em geral, a responsabilidade pela continuidade do negócio na prática cabe às divisões de negócio como donas dos processos – ou seja, a primeira linha. No entanto, a responsabilidade de segunda linha pela Continuidade de Negócios está no lado da validação para garantir uma visão abrangente dos processos envolvidos.
Por exemplo, uma das tarefas principais da Continuidade de Negócios, o objetivo do tempo de recuperação (Recovery Time Objective - RTO), só pode ser avaliada de forma significativa quando as interdependências processuais dentro da organização são transparentes e fazem parte dos testes de estresse.
O resultado do teste de estresse deve então ser avaliado no que diz respeito à necessidade de medidas de mitigação. Dado que isto normalmente implica custos e esforços adicionais, os resultados têm de ser verificados para evitar qualquer dúvida e para determinar a adequação das medidas previstas. Em geral, como resultado dos testes de estresse, além do Plano de Continuidade de Negócios, o plano de comunicação e a documentação dos RCSAs, bem como o mapeamento dos processos de negócios podem ser alterados dependendo do resultado e das conclusões específicas.
Desafios para a realização de testes de estresse relacionados a Riscos Não Financeiros
De acordo com o Stress-testing – Special Report publicado pela Risk.net em 2020 (link: https://www.risk.net/stress-testing-special-report-2020), “uma recente revisão regulatória dos programas de estresse interno das instituições financeiras encontraram deficiências como operações não mapeadas, cenários excessivamente tolerantes e uma escassez de capacidade de testes de estresse”. A mesma fonte afirmou ainda que “embora as instituições financeiras estejam relativamente melhor preparadas do que estavam antes da crise financeira anterior, o seu trabalho não está completo”. Com isso em mente e pela minha própria experiência, certas tarefas continuam a ser um desafio.
Embora os riscos financeiros abordem principalmente o impacto no capital e na liquidez, para os riscos não financeiros a ênfase principal deve ser na resiliência organizacional. Para permitir uma abordagem integrada, as ferramentas de gestão do risco operacional são, portanto, fundamentais. Assim, devem ser identificados pela administração:
As nossas ferramentas de gestão de risco operacional são apropriadas e totalmente utilizadas para testes de estresse de riscos não financeiros?
Até que ponto podemos realizar testes de estresse integrados onde os riscos financeiros e os riscos não financeiros são suficientemente abordados?
Somos capazes de captar adequadamente os efeitos secundários e de repercussão?
Nossos sistemas apoiam esta abordagem integrada e holística?
Com que rapidez podemos realizar um teste de estresse significativo com os resultados correspondentes?
A nossa estrutura funcional e organizacional garante que todas as partes interessadas relevantes participem no exercício?
Somente quando todas estas questões forem respondidas positivamente as instituições deverão ter menos dúvidas sobre se os cenários aplicados são suficientemente fortes e abrangentes.
Conclusão
Em geral, as instituições financeiras estão bem preparadas para realizar testes de estresse nas suas carteiras no que diz respeito ao impacto no capital e na liquidez. Certamente, também houve uma grande melhoria no que diz respeito a testes de estresse relacionados à Continuidade de Negócios, embora neste contexto a interação em termos de repercussões e efeitos de segunda ordem ainda seja um trabalho em progresso. Quer seja aplicada uma abordagem de cenário de estresse descendente (top down), envolvendo as partes interessadas relevantes, ou uma abordagem ascendente (bottom up), com unidades de negócio desenvolvendo cada uma um cenário de estresse que é revisto e agregado, é crucial uma visão holística com uma avaliação integrada de todas as exposições relacionadas a riscos financeiros e não financeiros.
