A governança de políticas é um pilar fundamental para a gestão de risco das organizações. Uma estrutura rigorosa de políticas e procedimentos permite à empresa garantir que os requisitos legais e regulamentares externos e internos estejam ligados aos seus valores, ao seu apetite de risco abrangente e são, em última análise, traduzidos em expectativas comportamentais. As políticas e procedimentos são ferramentas essenciais para transmitir os valores do Conselho de Administração e o perfil de risco da organização a todos os colaboradores.
Um framework de governança de políticas abrangente deve determinar critérios de alinhamento, aprovação e publicação, bem como comunicação e implementação. Também precisa incluir um fluxo de trabalho estruturado que rege todo o ciclo de vida da política. As políticas e procedimentos devem ser armazenados em um repositório que possa ser estruturado em segmentos de negócios com dados básicos principais para sua classificação, como tipo de documento, escopo, proprietário e versão.
Princípios balizadores
As organizações só podem confiar na orientação regulamentar até certo ponto quando se trata da concepção dos seus frameworks de políticas e procedimentos. E isso leva a abordagens heterogêneas mesmo em organizações de um mesmo setor da economia. Documentos criados às pressas para atender conclusões regulamentares urgentes e inconsistências historicamente desenvolvidas são apenas algumas razões dessas discrepâncias.
Portanto, para a construção de um framework de políticas eficaz, eu entendo que pelo menos os 7 princípios balizadores abaixo devem ser seguidos:
1. Hierarquia harmonizada: O framework de políticas e procedimentos deve ser único para toda a instituição, aplicável a todos os segmentos de negócio, tipos de risco, geografias, bem como subsidiárias e sucursais. Isto evitará fragmentação, lacunas e duplicação. A estrutura hierárquica também precisa de ser construída de forma consistente, o que significa que cada documento de nível hierárquico inferior deve estar em linha com o conteúdo e os requisitos definidos no nível superior (“princípio da política parental”). Os documentos de nível inferior devem sempre estar ligados a uma ou mais políticas de nível superior.
2. Completude x relevância: O framework de políticas e procedimentos deve garantir que nenhuma área de risco importante permaneça descoberta. E também deve garantir que apenas os riscos relevantes sejam cobertos. É necessário concentrar-se nos principais riscos e não tentar sobrecarregar uma organização com um número excessivo de documentos para permitir uma implementação eficaz.
3. Convenção uniforme de nomenclatura: Embora não exista uma recomendação universal sobre como os documentos em diferentes níveis devem ser nomeados, é importante que a organização siga uma abordagem consistente, tanto para a nomenclatura dos níveis de documentos como para os próprios documentos.
4. Redação precisa: Além da nomenclatura, o conteúdo das políticas deve ser escrito em linguagem clara, precisa e de fácil compreensão. Devem ser evitadas formulações ambíguas e vagas. O uso de termos técnicos ou siglas incomuns pode causar interpretações erradas.
5. Atribuição de responsabilidades: As políticas devem conter uma atribuição clara de responsabilidades, o que significa que o grupo-alvo está claramente definido e cada processo ou controle tem um proprietário ou unidade responsável identificado.
6. Regras de governança: O framework de políticas e procedimentos deve conter regras de governança claras sobre o ciclo de vida dos documentos, abrangendo a propriedade das políticas, aprovações, revisões e atualizações, nível de sensibilidade (disponibilidade e publicação de documentos), bem como treinamentos relacionados e indicadores de que as regras estabelecidas nas políticas estão sendo seguidas.
7. Ligação aos processos e controles internos: Finalmente, os documentos precisam estar conectados aos processos e controles internos para permitir uma implementação harmoniosa dos requisitos documentados.
Níveis de hierarquia
Não existe uma verdade única quando se trata de definir uma hierarquia de políticas institucional. Depende muito do modelo de negócios e da estrutura organizacional de cada empresa. Para auxiliar nas definições por trás dos níveis hierárquicos discutidos a seguir, temos abaixo um exemplo conceitual:
Nível 1: Estratégias, políticas e documentos abrangentes de risco
O nível hierárquico superior de um framework de políticas e procedimentos é reservado para abordar temas abrangentes e os valores elementares que regem a organização e a sua gestão de riscos. Deve esclarecer “por que” algo precisa ser feito. Os documentos deste nível normalmente têm uma aplicação multifuncional e uma validade global, independentemente do tipo de risco, segmento de negócio e jurisdição. Geralmente não contêm elementos processuais e requerem uma implementação em níveis hierárquicos subsequentes.
Exemplos dos assuntos que devem ser abordados no Nível 1 de uma hierarquia de políticas são:
- Código de conduta: compêndio que compreende os valores, fundamentos éticos e padrões profissionais de uma organização para todos os funcionários.
- Declaração de apetite ao risco: princípios gerais da política e aceitação de risco de uma organização com declarações qualitativas sobre tolerância ao risco.
- Política de gestão integrada de riscos: conjunto de princípios, diretrizes e responsabilidades que norteiam as atividades pertinentes ao gerenciamento de riscos e de capital como um todo.
- Políticas de governança corporativa: documento abrangente que trata da estrutura organizacional, supervisão do grupo e responsabilidades gerais da alta administração.
Nível 2: Políticas e procedimentos específicos dos tipos de risco
O próximo nível hierárquico aborda as questões de “o que” precisa ser feito e “como” pode ser alcançado. Isto inclui as principais políticas e procedimentos específicos dos tipos de risco relevantes. Dentro de cada tipo de risco, tanto as políticas como os procedimentos deste nível têm geralmente validade global e servem de base para documentos de Nível 3 e Nível 4. As políticas de Nível 2 traduzem a compreensão global do risco de uma organização e os temas de risco abrangentes definidos no Nível 1 em instruções e expectativas comportamentais implementáveis e tangíveis. Eles formam a ligação entre os valores documentados de alto nível e o perfil de risco de uma organização e um ambiente de controle acionável. Os procedimentos são significativamente mais práticos e servem como especificação de políticas. Abordam o “como” e especificam detalhadamente as ações necessárias concebidas para implementar o conteúdo das políticas e dos documentos de Nível 1.
Os seguintes temas de risco estão geralmente sujeitos a políticas no Nível 2 em uma hierarquia de políticas:
- Estratégias de risco individuais (crédito, mercado, liquidez, operacional, reputação, ESG etc.).
- Conformidade.
- Combate à lavagem de dinheiro (AML), incluindo conheça seu cliente (KYC).
- Fraude (interna e externa).
- Suborno e corrupção.
- Negociação de valores mobiliários, incluindo conduta de mercado e de clientes.
- Proteção de dados privados e sensíveis.
- Gestão de terceiros, terceirização e fornecedores.
- Tecnologia de informação e comunicação, incluindo segurança cibernética.
- Resiliência operacional, incluindo gestão de continuidade de negócios, recuperação e resolução.
- Recursos humanos, incluindo diversidade, equidade e inclusão, bem como segurança no local de trabalho.
Nível 3: Políticas e procedimentos relacionados ao cliente e específicos do negócio
Quando aplicável, o terceiro nível de políticas define “como” os diferentes segmentos de negócios devem implementar os requisitos criados nos níveis hierárquicos mais elevados. São políticas e procedimentos específicos do segmento, do tipo de negócio e/ou do cliente. Devem ser formulados de acordo com as políticas do Nível 1 e Nível 2, e conter orientações específicas da linha de negócios, orientadas para o processo e suficientemente detalhadas.
Na prevenção do crime financeiro, por exemplo, a integração e o monitoramento contínuo dos clientes “corporativos” exigem uma abordagem diferente da dos clientes “varejo” e, consequentemente, diferentes políticas AML/KYC devem especificar as normas relevantes. Em essência, o âmbito das políticas e procedimentos de Nível 3 depende fortemente do modelo de negócio individual, da exposição ao risco e da segmentação de clientes de uma organização.
Nível 4: Políticas e procedimentos em locais internacionais
As organizações com uma presença internacional devem lidar com vários reguladores em diferentes jurisdições e precisam abordar a questão de como devem ser satisfeitas as leis divergentes ou as visões e expectativas regulamentares entre estas jurisdições.
Dependendo das jurisdições envolvidas, os tópicos com um grau considerável de variação internacional incluem combate à lavagem de dinheiro, combate ao suborno e à corrupção, privacidade de dados etc. Para todos os desvios locais, é crucial que exista um processo de feedback e aprovação para permitir que a matriz obtenha e mantenha a supervisão e o controle sobre o framework de políticas e procedimentos de toda a organização.
Aprovação
Um processo de aprovação adequado é um elemento central do framework de políticas e procedimentos. A hierarquia de aprovação deve estar ligada à hierarquia organizacional e garantir que a responsabilidade pela aprovação de documentos importantes seja atribuída a pessoas com a senioridade necessária.
Geralmente, os documentos de Nível 1 precisam ser assinados e aprovados no nível do Conselho.
Os documentos de Nível 2 também podem ser assinados pelo Conselho, mas, como geralmente são específicos do tipo de risco, não é padrão ter aprovação completa do Conselho. Em vez disso, estas políticas podem ser aprovadas pelo membro responsável do Conselho para o tópico de risco em questão. Para procedimentos relevantes neste nível, o conselheiro responsável poderá delegar a aprovação ao gestor sênior do respectivo tipo de risco.
As políticas de Nível 3 podem pertencer à 1ª linha de defesa (LDD) ou à 2ª LDD. Geralmente, essas políticas necessitam da aprovação dos gestores seniores das áreas envolvidas. Tal como acontece com o Nível 3, os documentos de Nível 4 podem vir da 1ª ou da 2ª LDD e nesse caso precisam da aprovação dos gerentes da subsidiária ou filial envolvidas.
Repositório
É essencial que as instituições tenham um repositório de políticas centralizado para gerir a complexidade que acompanha um grande conjunto de políticas e procedimentos sobre uma ampla gama de tópicos em segmentos de negócios, entidades e geografias.
Um repositório de políticas deve atender à três propósitos principais, pelo menos:
1. Facilitação do acesso às políticas e procedimentos atuais.
2. Gestão dos ciclos de vida das políticas (incluindo validação regular de documentos e atualizações ad hoc) e suporte ao fluxo de trabalho para os proprietários dos documentos.
3. Rastreamento auditável de quaisquer alterações e atualizações nas políticas e procedimentos.
Conclusão: um framework de políticas e procedimentos e a sua governança adequada são elementos-chave de uma gestão de riscos eficaz. Eles definem padrões operacionais internos para todos os funcionários e, assim, estabelecem as bases para o cumprimento dos requisitos regulamentares. As organizações precisam estar conscientes do papel relevante de um framework de políticas e procedimentos bem definido no contexto da prevenção e mitigação de riscos, e precisam de garantir que estes documentos sejam adequadamente implementados, atualizados e comunicados.