Desde meados da década de 1990, as instituições financeiras, e especialmente os bancos, assumiram a liderança no desenvolvimento de abordagens avançadas para a gestão de riscos financeiros: risco de crédito, risco de mercado e risco de liquidez. Estas práticas evoluíram em conjunto com os esforços para criar uma regulamentação mais sistemática, começando com o acordo original de Basileia I em 1988.
Basileia II e Basileia III seguiram-se na década de 2000, com as alterações conhecidas como “Basileia IV” na década de 2020. Além disso, vários reguladores exigem agora exercícios anuais de testes de estresse. No cerne destas abordagens está o entendimento fundamental de que os riscos podem ser quantificados e expressos em termos de uma reserva de capital que os bancos precisam de deter para compensar potenciais perdas. Os riscos financeiros se refletem nas posições financeiras dos balanços dos bancos e resultam da sua atividade de assunção de riscos.
Já os riscos não financeiros surgem das suas operações (processos e sistemas) e são semelhantes aos riscos enfrentados por empresas fora do setor financeiro (que, para facilidade de entendimento do artigo, chamarei agora em diante de “corporações”). Ao longo do tempo, as corporações desenvolveram abordagens específicas para lidar com o risco não financeiro, ao mesmo tempo que adaptaram as abordagens desenvolvidas pelas instituições financeiras para gerir o risco financeiro, que também enfrentam.
As corporações, porém, têm uma variedade de pontos de vista sobre os riscos não financeiros e sobre como abordá-los, determinados principalmente pelo mercado e pelo setor ao qual pertencem. Geralmente, as perspectivas divergentes estão relacionadas ao apetite ao risco e às práticas de gestão de risco de cada setor. Por exemplo, no setor aéreo, a segurança é de suma importância.
Os dados sobre “quase acidentes” são tão valorizados que os pilotos são penalizados mais severamente por não fornecerem essas informações do que por terem cometido erros reais. Em empresas de tecnologia, os fornecedores de cloud (nuvem) se concentram na estabilidade. Os seus serviços tiveram um desempenho tão bom durante a pandemia de Covid-19 que muitos bancos e outras corporações superaram as suas dúvidas sobre os riscos de cloud computing, o que anteriormente era uma barreira à transferência de serviços de software críticos.
Depois de observar os elevados padrões de segurança mantidos pelos fornecedores de cloud, as organizações passaram a considerá-los mais seguros do que os data centers locais. Outro exemplo: na indústria automotiva, a produção global é altamente sofisticada, com até 80% de terceirização na cadeia de suprimentos. Isto permite uma escalabilidade única do produto, mas cria vulnerabilidades decorrentes de riscos geopolíticos, bem como de mudanças regulamentares e tecnológicas.
Essa indústria está, portanto, empenhada em constantemente repensar estratégias em todas as cadeias de abastecimento, software e abordagens à conformidade ambiental e de produtos. Ou seja, diversas corporações desenvolveram a sua mentalidade de gestão de riscos à luz do ambiente de negócios disruptivo e em rápida mudança na qual estão inseridas. E eu entendo que estes desenvolvimentos podem trazer lições importantes para as instituições financeiras.
A abordagem de ERM em corporações e instituições financeiras
Comparar as estruturas de gestão de riscos não financeiros e de gestão de riscos empresariais (Enterprise Risk Management - ERM) em instituições financeiras e corporações nos permite compreender os seus diferentes antecedentes e impulsionadores evolutivos. Existem quatro camadas básicas de um sistema ERM, conforme mostrado na imagem abaixo:
Governança e organização: Abrange a estrutura de responsabilização (as três linhas de defesa), abordando a forma como a apropriação do risco, o controle do risco e a responsabilização pela sua mitigação são atribuídos, exercidos através de comitês de risco e formalizados através de uma estrutura de políticas relacionada.
Processos e metodologias de ERM: Aqui são definidos a abordagem e os processos gerais de ERM. Geralmente são adotadas abordagens diferentes para riscos financeiros versus riscos não financeiros. No caso de riscos financeiros, as abordagens concentram-se em estruturas de limites, enquanto que para riscos não financeiros as abordagens baseiam-se em matrizes de severidade e probabilidade que mapeiam riscos inerentes e residuais.
Controles de riscos específicos: Esta camada envolve todos os mecanismos de gerenciamento de tipos de riscos específicos. Os riscos não financeiros são geridos através de controles específicos, muitas vezes chamados de controles-chave, uma vez que são formalmente regidos pela abordagem ERM. Podem ser controles em torno de reconciliações para divulgações financeiras, o princípio dos “quatro olhos” (“four-eye” principle) para aprovações de parcerias comerciais ou controles integrados em sistemas, frequentemente utilizados para riscos cibernéticos.
Cultura de risco: Esta última camada refere-se à gestão de normas e comportamentos em torno do risco, incluindo a estrutura de incentivos, o tom definido pela alta gestão (tone from the top), a consistência da governança formal do risco com o seu comportamento real, e a abordagem para descobrir e equilibrar questões de risco e conflitos em toda a organização (como metas de desempenho de P&L vs. adesão às normas de risco e integridade).
Estas camadas de ERM e os seus componentes existem normalmente em instituições financeiras e corporações. A sua maturidade e desenvolvimento, contudo, podem diferir significativamente. Existem, por exemplo, diferenças significativas de aplicação, uma vez que a gestão de risco no setor financeiro é fortemente regulamentada, enquanto as práticas corporativas de ERM são geralmente orientadas por padrões da indústria, como aqueles relacionados com o COSO (Committee of Sponsoring Organizations of the Treadway Commission).
Corporações versus instituições financeiras: principais diferenças na gestão de riscos não financeiros e possíveis aprendizados para as IFs
Diferenças na governança e organização
Uma diferença marcante entre instituições financeiras e corporações pode ser vista nas respectivas estruturas de governança do risco e na medida em que são formalizadas. Até 10% do pessoal de uma instituição financeira poderá estar situado em funções centrais de risco (risco, conformidade, etc.). Nas corporações, contudo, o percentual correspondente é muitas vezes bem inferior a 1%. A razão para essa diferença é que as instituições financeiras necessitam de funções centrais de risco mais pesadas para cumprir requisitos regulamentares mais rigorosos.
Estes incluem um mandato de um CRO como um executivo distinto de segunda linha. As corporações, por outro lado, concentram-se mais em incorporar a gestão de riscos nos seus processos operacionais na linha da frente. A maior parte da gestão de riscos não financeiros, no que se refere ao modelo operacional corporativo, está incorporada nos negócios. Geralmente as funções de risco e conformidade são atribuídas ao diretor financeiro.
Poucas empresas não financeiras têm um diretor de risco dedicado. Muitas instituições financeiras aumentam a propriedade do risco na primeira linha com áreas de controle específicas. Isto permite que elas abordem as causas profundas dos problemas de forma mais eficaz e permanente. Para as corporações, as funções centrais de risco e conformidade geralmente não são responsáveis pela certificação da conformidade relativamente aos riscos que surgem nos negócios (tais como riscos de saúde e segurança na mineração ou de segurança de rede para empresas de telecomunicações).
As corporações, no entanto, superaram a delimitação muitas vezes artificial entre primeira/segunda linhas que as instituições financeiras aplicam. Para as instituições financeiras esta divisão pode criar um muro entre uma função de controle independente e um centro de competência. Curiosamente, o termo “controle independente” foi eliminado dos padrões organizacionais do COSO no que diz respeito à segunda linha, enquanto que no setor financeiro o termo ainda é utilizado em toda a regulamentação.
Diferenças nos processos e metodologias de ERM
As instituições financeiras enfatizam forçosamente o risco financeiro no seu ERM tradicional. Adotam uma abordagem altamente quantitativa em torno do capital como recurso do balanço. O perfil de risco é normalmente definido de cima para baixo em relação ao capital disponível (após determinadas reservas), medido tanto em termos regulamentares como econômicos, e depois distribuído na organização. Por diversas razões, esta abordagem é impraticável para riscos não financeiros, a não ser na mensuração do impacto potencial que estes riscos podem ter no capital como último recurso de compensação.
As instituições financeiras aplicam modelos de capital para obter uma visão completa da adequação dos seus níveis de capitalização e depois alocam-nos entre diferentes negócios, apesar das suposições para isso serem estatisticamente fracas. No entanto, a abordagem permite uma orientação análoga numa base de capital alinhada com os riscos financeiros.
A desvantagem dessa abordagem é dupla. Em primeiro lugar, a história não é um indicador fiável de riscos não financeiros, dadas as contínuas mudanças no modelo de negócio, melhorias de processos e alterações regulamentares. O contraste com os riscos de crédito e de mercado é claro, uma vez que a solvência, por exemplo, pode ser prevista com bastante precisão a partir de dados de balanço, tal como a volatilidade do mercado pode ser medida a partir de dados de mercado. Em segundo lugar, os riscos não financeiros têm de ser avaliados no contexto do modelo de negócio específico e das expectativas dos clientes. O apetite pelo risco é muito diferente para riscos que envolvem saúde e segurança, como no caso de software em centrais nucleares ou mesmo de produtos de consumo, como automóveis.
As corporações desenvolveram, portanto, abordagens de gestão de riscos baseadas em dados especializados e dados de desempenho para processos e sistemas. Esses dados proporcionam uma melhor base para orientar o risco não financeiro. As empresas industriais adotam esta abordagem para o controle de qualidade e para o gerenciamento da maioria dos riscos relacionados ao produto (e à produção). As instituições financeiras, por outro lado, enfrentam mais dificuldades, pois devem abordar processos heterogêneos e produtos altamente complexos construídos ao longo do tempo. Algumas institituições começaram a desenvolver frameworks de qualidade de processos (ou produtos) para gerir riscos não financeiros, porém, a grande maioria ainda precisa fazer essa conexão.
Diferenças nas abordagens de controles de riscos específicos
Algumas corporações desenvolveram abordagens altamente sofisticadas para gerir o risco não financeiro nos seus modelos de negócio. As experiências de setores específicos podem fornecer orientações úteis às instituições financeiras:
Gestão de riscos de processos: As instituições financeiras que desenvolvem produtos e modelos de negócio complexos podem aprender lições importantes com as indústrias automobilística e farmacêutica. No setor automotivo, as abordagens para gerenciar riscos de processo e produção incorporam experiência considerável e são altamente sofisticadas, especialmente em relação ao custo, qualidade e segurança do produto. A ênfase na terceirização na indústria automobilística, por exemplo, é aliada ao monitoramento contínuo dos fornecedores em relação a custo e qualidade. Na indústria farmacêutica, a gestão de riscos relacionados com pesquisa e desenvolvimento e padrões de produção (fortemente regulamentados), por exemplo, está altamente desenvolvida.
Gestão de riscos de desenvolvimento e implementação de software: As instituições financeiras começaram a desenvolver e implementar softwares em ciclos rápidos, uma abordagem que reflete aquela usada pelas empresas de tecnologia. No entanto, a relativa estabilidade dos produtos desenvolvidos pelas empresas de tecnologia, bem como a suavidade da sua subsequente adoção, contrasta com a experiência de muitas instituições financeiras. Há muito o que aprender com a experiência dessas corporações de tecnologia.
Segurança corporativa e continuidade dos negócios: A indústria aeronáutica tem abordado os riscos geopolíticos e os requisitos de segurança desde a sua criação. Sua vasta experiência inclui muitos mecanismos para lidar com a segurança física.
Diferenças na cultura de riscos
Dada a pequena dimensão das funções de risco das corporações em relação às das instituições financeiras, as primeiras tiveram de dar maior ênfase aos elementos culturais. A maioria dos principais riscos não financeiros que as corporações enfrentam têm sérios problemas de integridade associados, como evidenciado em alguns casos espetaculares: desde os escândalos de emissões no setor automóvel até às falhas do piloto automático na indústria aeronáutica.
Para mitigar esses riscos, as corporações implementaram uma série de medidas: sistemas de denúncia de irregularidades, investigações, programas de formação e comunicação, questionários e pesquisas aos funcionários, entre outras. As instituições financeiras adotaram algumas das mesmas medidas, mas em menor escala. Em algumas delas, a cultura de risco não é muito valorizada como alavanca de gestão de risco. Também desempenha um papel menor na gestão do risco financeiro versus não financeiro, dada a maior transparência proporcionada ao primeiro nas operações bancárias.
Conclusão
A experiência das corporações fornece às instituições financeiras lições para melhorar a forma como estas abordam os riscos não financeiros. As corporações continuam a desenvolver os seus sistemas de ERM, indo além dos processos formais. Elas estão se concentrando em incorporar a gestão de riscos na linha de frente e em elevar questões de resiliência estratégica à equipe executiva e ao conselho.
As instituições financeiras podem seguir estes passos de forma lucrativa, uma vez que possuem mais recursos de gestão de riscos devido às exigências regulatórias. As instituições financeiras devem se adaptar melhor ao cenário de risco em mudança, integrando eficazmente a gestão do risco não financeiro na linha da frente e repensando a sua abordagem ao apetite pelo risco (além da atual cascata de métricas de capital ou de uma seleção arbitrária de indicadores-chave de desempenho e indicadores-chave de risco). Tal como acontece com as principais corporações, as instituições financeiras devem construir uma abordagem eficaz ao risco não financeiro, melhorando a gestão da qualidade em torno dos processos e sistemas relevantes e reforçando a resiliência em geral.