No contexto de gestão de riscos corporativos, a Declaração do Apetite ao Risco (RAS) consiste em um componente fundamental, entrelaçando a estratégia organizacional e a capacidade de operar eficazmente sob incertezas, oferecendo uma estrutura através da qual conselheiros e gestores podem sistematizar a abordagem aos riscos aceitáveis em alinhamento com os objetivos da empresa.
A gestão de riscos surgiu como resposta às incertezas e crises enfrentadas pelas empresas, sejam elas estratégicas, operacionais, financeiras, legais, de conformidade ou reputacionais. A gestão dos riscos então tem como seu enfoque a identificação, depois a quantificação e avaliação, medição e por fim a gestão propriamente dita destes riscos.
As diversas crises mostraram que infelizmente muitas empresas foram surpreendidas por riscos não identificados ou subnotificados, e os prejuízos financeiros e impactos foram grandes, sem falar no chamado risco sistêmico associado. E como sempre depois da porteira escancarada, em resposta os reguladores e governos começaram a impor padrões regulatórios mais rígidos e requisitos de capital mais elevados, acelerando o investimento e atenção em gestão de riscos.
Foi então que surgiu a exigência de implementação de uma RAS bem-definida é uma prática recomendada, proporcionando métricas de risco relevantes, limites de exposição, e processos de governança e supervisão para assegurar que os riscos em toda a empresa estejam em níveis aceitáveis e gerenciáveis.
A RAS facilita o endereçamento de questões fundamentais relacionadas à estratégia, gestão de riscos e operações, permitindo as empresas estabelecerem claramente os seguintes pontos abaixo:
- As estratégias para a empresa como um todo e para as unidades de negócio individualmente, incluindo as suposições chave que as sustentam.
- Os riscos significativos e os níveis agregados de risco que a empresa está disposta a aceitar para alcançar seus objetivos de negócios.
- As estruturas de governança e políticas de gestão de riscos para supervisionar e controlar esses riscos.
- A avaliação e quantificação dos riscos relevantes, estabelecendo tolerâncias de risco apropriadas em vista dos objetivos de negócios, oportunidades de lucro e crescimento, e requisitos regulatórios.
- A integração do apetite ao risco na tomada de decisões estratégicas e táticas para otimizar o perfil de risco.
- A criação de uma área de gestão de riscos corporativos e criação e divulgação de relatórios eficazes para a alta gestão e conselho.
Para a efetiva implementação de uma RAS, a empresa deve seguir algumas etapas como: a definição do apetite ao risco, e estabelecer as responsabilidades do conselho, da alta gestão, e das próprias unidades de negócios e operacionais. Além disso, é preciso monitorar e reportar os processos, incluindo as ligações entre as métricas da RAS em diferentes níveis da empresa, com métricas e níveis de tolerância ao risco por riscos relevantes.
Um modelo de maturidade para RAS também pode ser empregado para ajudar a empresa a avaliar seu estado atual de implementação da RAS e fornecer benchmarks úteis para desenvolvimento futuro. Uma RAS bem desenvolvida é um elemento importante no processo da gestão dos riscos, alinhada com a estratégia de negócios e expressa com tolerâncias de risco quantitativas, reforça a cultura de risco desejada pela empresa e melhora o desempenho ajustado ao risco do negócio,
A RAS, como parte integrante da abordagem do apetite a riscos, envolve a política aprovada pelo conselho que define os tipos e níveis agregados de risco que uma organização está disposta a aceitar na perseguição de seus objetivos de negócio. Ele contém declarações e diretrizes qualitativas, assim como métricas quantitativas e limites de exposição.
Dito isto, queria falar de alguns conceitos de gestão de riscos básicos mas importantes, que nem sempre estão claros para todos, então aqui vai:
- Capacidade de Risco: Representa a capacidade geral da empresa de absorver potenciais perdas. Pode ser medida em termos de caixa e equivalentes de caixa para atender demandas de liquidez e em termos de capital e reservas para cobrir perdas potenciais.
- Perfil de Risco: É uma foto da lista de riscos de uma empresa em um ponto específico no tempo e deve estar alinhado com o modelo de negócios e estratégia da empresa. O perfil de risco atual é determinado por todos os riscos subjacentes embutidos nas atividades de negócios.
- Retorno Ajustado ao Risco: Fornece a justificativa comercial e econômica para determinar quanto risco uma empresa deve estar disposta a aceitar. Uma empresa não deveria aceitar qualquer risco se não for compensada adequadamente.
- Apetite a Risco: Representa os tipos e níveis agregados de risco que uma empresa está disposta a assumir para ativamente perseguir seus objetivos estratégicos. Deve estar dentro do guarda-chuva mais amplo da capacidade de risco.
- Tolerância a Risco: Diferentemente do apetite a risco, a tolerância a risco são os limiares quantitativos que alocam o apetite a risco da empresa a tipos específicos de risco, unidades de negócios, segmentos de produto e cliente e outros níveis.
Veja um passo a passo dos pontos que precisa definir e passar para seguir para conseguir estabelecer níveis de tolerância a risco:
- Julgamento do conselho e da alta gestão.
- Percentual de ganhos ou capital próprio.
- Requerimentos regulatórios ou benchmarks do setor.
- Impacto na conquista de objetivos de negócios.
- Requisitos ou expectativas dos stakeholders.
- Baseado em estatísticas (por exemplo, nível de confiança de 95% com base em dados históricos no estilo VaR).
- Orientado por modelos (por exemplo, capital econômico (EVA), análise de cenário, testes de estresse).
Isto vai poder ajudar a empresa a determinar como vai medir e estabelecer seus limites internos para aceitação de risco. O estabelecimento destas tolerâncias a risco é um dos maiores desafios deste processo da RAS, mas é fundamental para o seu sucesso. Pode-se usar uma abordagem combinada para determinar níveis de tolerância a risco, ajustando-os de acordo com o julgamento da gestão após uma análise estatística inicial.
Além de estabelecer limites para o risco, a RAS traz outros benefícios importantes, tais como o desenvolvimento de um entendimento e linguagem comuns sobre risco, a promoção da conscientização sobre risco e a aplicação da cultura de risco desejada, o alinhamento da estratégia de negócios com a gestão de riscos, quantificação, monitoramento e relatório de riscos, a integração de avaliações de risco e análise de risco/retorno em decisões estratégicas, de negócios e operacionais, e a integração do apetite a risco com outras ferramentas de gestão de riscos.
A implementação da RAS varia conforme o tamanho e a complexidade da empresa, o ambiente de negócios e regulatório em que opera e a maturidade de seu programa de gestão de riscos. Segue abaixo algumas dicas neste sentido:
- Avaliar Requisitos Regulatórios e Expectativas: A RAS oferece mais valor do que simplesmente atender a requisitos regulatórios. No entanto, ajudar a atender a esses requisitos é um benefício significativo. A RAS oferece uma abordagem sistemática e visão mais ampla e estratégica para controlar exposições e concentrações de risco.
- Comunicar os Benefícios do RAS para as áreas de Negócio e a Gestão de Riscos: A alta gestão deve estabelecer o "tom no topo" e comunicar o papel importante que a RAS desempenha no processo de gestão de riscos. Essa comunicação deve vir do CEO, CFO, CRO e de outros gestores.
- Organizar uma Série de Workshops para Desenvolver a RAS: Com a comunicação e o treinamento apropriados em andamento, a empresa está então pronta para desenvolver a RAS. Neste momento, quem estiver patrocinando este processo, que normalmente é o gestor de riscos (CRO) a mando do Conselho e CEO, deve organizar uma série de workshops com os "proprietários dos riscos" para desenvolver as métricas de apetite a risco adequadas para cada um.
- Desenvolver e Socializar um Protótipo de RAS e Relatório de Painel: Como resultado destas conversas, já deve conseguir preparar um draft, um documento ou protótipo para a RAS, para assim, com algo mais concreto, conseguir gerar discussão e iniciar um processo iterativo de ajustes e melhorias até chegar na versão final.
- Obter Aprovação da Gestão Executiva: Neste estágio, a RAS está pronta para considerações e sugestões da alta gestão, que deve discutir e avaliar a RAS profundamente, e aprovar a versão final para a discussão no Conselho.
- Obter Aprovação do Conselho: A RAS deve ser sempre revisada pelo conselho de administração, que irá discuti-la e desafiá-la, normalmente com ajuda técnica do Comitê de Riscos. O objetivo nesta etapa é conseguir estabelecer um conjunto conciso de métricas de apetite a risco e níveis de tolerância a risco apropriados para a supervisão e relatórios em nível de conselho.
- Comunicar o RAS, incluindo Papéis e Responsabilidades: Após a aprovação da gestão e do conselho, a RAS deve ser comunicada a todos os funcionários. Fazer um evento e ampla divulgação mostrando o apoio do conselho e diretoria sempre ajuda. Cuidado para fazer algo didático em uma linguagem que todos entendam.
- Revisar e Atualizar Planos de Negócios Atuais e Políticas de Risco: Idealmente, a RAS estaria alinhada com o desenvolvimento de planos de negócios e políticas de riscos.
- Fornecer Monitoramento e Relatório Contínuos: Para que o conselho e a alta gestão consigam ter uma governança e supervisão eficazes da RAS, a equipe de gestão de riscos deve estabelecer relatórios destes riscos e um processo de monitoramento e divulgação do mesmo periódica.
- Fornecer Revisão Anual e Melhoria Contínua: Além da revisão periódica, a empresa deve realizar pelo menos uma revisão formal da RAS pelo menos uma vez por ano. Bem saudável. Normalmente depois que a estratégia, o planejamento e orçamento estejam em uma fase adiantada de discussão e definição, pois a RAS precisa estar alinhada com tudo isto para fazer sentido.
Acima estão etapas fundamentais para garantir que a RAS seja desenvolvida, implementada e mantida de forma eficaz, permitindo que a empresa gerencie seus riscos de maneira alinhada com seus objetivos estratégicos e operacionais.
Sendo que as empresas que conseguiram implementar com sucesso uma RAS tendem a ter um melhor desempenho ajustado ao risco, o que pode melhorar a reputação da empresa perante partes interessadas externas, como reguladores, investidores, agências de rating e parceiros de negócios. Tem benefícios todo este trabalho.