A governança de uma organização tem como ponto de partida a definição dos papéis e responsabilidades dos seus diferentes stakeholders. Da mesma forma, uma governança de risco adequada deve garantir que os papéis e responsabilidades dos envolvidos na gestão de risco da empresa – possivelmente, todos os seus membros – sejam claramente definidos, compreendidos e executados em conformidade. Uma governança eficaz pode ser descrita como funções e responsabilidades claramente definidas em toda a organização, com um processo de tomada de decisão executável e disciplina aplicável. Em todo o mundo, os códigos de governança corporativa utilizam termos semelhantes para expressar que o conselho de administração é responsável por determinar a natureza e a extensão dos riscos significativos que está disposto a assumir para atingir os seus objetivos estratégicos e para manter sistemas sólidos de gestão de riscos e de controle interno. Em outras palavras, o conselho é responsável por definir o apetite ao risco da organização e por garantir que esta opera dentro dos limites do seu apetite ao risco.
Na sequência do desenvolvimento da gestão do risco não financeiro e das recomendações dos reguladores e das grandes empresas de consultoria, a maioria das organizações articularam a sua governança de risco de acordo com o modelo de Três Linhas de Defesa (3 LDD). Originalmente derivado da organização de gestão de risco das forças armadas, o modelo de 3 LDD é agora comum no setor financeiro. Embora simples na teoria, a governança de risco e o modelo de 3 LDD nem sempre são fáceis de implementar na prática, e ainda hoje o tema gera debates.
Principais Papéis das Linhas de Defesa
Primeira Linha: O “Negócio” (ou os Proprietários do Risco)
A primeira linha de defesa normalmente cobre todas as funções comerciais e operacionais de front-office. Ou seja, em uma palavra, o "negócio". "O risco é gerido onde é gerado" é um ditado comum de gestão de risco e é útil como um lembrete de que o risco não é – ironicamente – gerido pela função de gestão de risco, mas pelas próprias áreas onde o risco se apresenta.
Contudo, ao referir-se ao “negócio” como primeira linha de defesa, surge uma questão comum relativamente às funções de suporte: departamentos como Recursos Humanos, Tecnologia ou Jurídico são de primeira linha ou de segunda linha? A resposta correta é “ambos”, dependendo das tarefas em jogo. Para a sua própria gestão de riscos, um departamento de suporte deve ser considerado como uma primeira linha de defesa: o RH, por exemplo, está na primeira linha para gerir os riscos dentro do seu próprio departamento. No entanto, para a avaliação e gestão de riscos em outros departamentos da organização, as funções de suporte são de segunda linha. O RH deve ser a segunda linha de defesa para a avaliação e mitigação dos riscos de pessoas na organização, embora o poder e as responsabilidades dos departamentos de RH variem amplamente de empresa para empresa. Assim como o Jurídico deve ser a segunda linha de defesa para riscos legais suportados por outros departamentos.
No geral, ao definir a primeira linha de defesa, é melhor referir-se aos proprietários do risco e não ao negócio. Os proprietários dos riscos são aqueles afetados pelas consequências dos riscos (os proprietários das consequências, para ser mais preciso) e, como tal, devem supervisionar a gestão de riscos, ou seja, sua avaliação e mitigação.
As funções da primeira linha de defesa em relação à gestão de risco operacional devem incluir no mínimo:
- Coleta completa e precisa de eventos de risco relevantes.
- Auto avaliação regular dos riscos e controles vinculados às suas atividades.
- Relatórios sobre issues de risco operacional, principais indicadores de risco e outras métricas relacionadas.
- Definição e execução de ações adequadas, com base nos limites de apetite ao risco e nas informações reportadas.
- Definição e execução dos planos de ação e outras iniciativas de mitigação.
Linha 1.5: Os agentes (campeões) de risco
Nos últimos anos, a gestão de risco vem alcançando níveis crescentes de sofisticação, requisitos de conformidade e técnicas de quantificação. Os velhos tempos da gestão clássica do risco de crédito, por exemplo, acabaram. A gestão do risco financeiro na maioria das grandes organizações hoje em dia é centralizada e gerida por dezenas, senão centenas, de especialistas quantitativos que mantêm modelos altamente complexos. A gestão do risco não financeiro — risco operacional — é mais descentralizada por natureza. No entanto, sua avaliação agregada e seu reporte à alta gestão e ao conselho de administração são executados de forma centralizada.
Nem todos no negócio têm vocação para ser especialistas em riscos e compreender metodologias e terminologias de gestão de riscos. É por isso que muitas organizações estabelecem nos departamentos de primeira linha os chamados “agentes de risco” ou “campeões de risco”, que devem interagir com a função de risco. Esses agentes também são chamados de “linha 1.5” e são particularmente comuns em organizações maiores.
As funções dos agentes de risco na 1ª linha de defesa incluem:
- Ser o principal correspondente para questões de risco.
- Coletar e registrar os eventos de risco e perdas, mapear os riscos e controles e acompanhar as regras de controle definidas, dentro do contexto do perfil de risco e definições da organização.
- Fazer parte da reformulação dos processos e procedimentos da sua área, se necessário.
- Fazer parte do acompanhamento dos planos de ação de auditorias e de gestão de riscos.
Segunda Linha: A Função de Risco
A segunda linha de defesa é a função de risco. Refiro-me propositadamente a esta linha como “função de risco” e não como “gestão de risco” para não reforçar a confusão comum decorrente de uma má escolha de palavras que ocorreu quando a gestão de risco operacional surgiu como uma disciplina no mundo corporativo. Ao contrário dos riscos financeiros, a gestão de riscos operacionais não pode ser centralizada. Ou seja, o departamento gestão de risco operacional deveria ser chamado de “departamento de metodologia de risco operacional”, porque é aqui que os métodos de gestão do risco operacional são desenvolvidos e comunicados, e não onde o risco é gerido.
Para desempenhar suas atribuições, os profissionais de risco devem ter experiência em aspectos conceituais e técnicos de identificação, avaliação, mitigação e monitoramento de riscos. Eles também devem possuir um excelente conhecimento das demandas regulatórias e do ambiente da organização para garantir a conformidade dos negócios. Além disso, devem compreender os processos de negócios e suas aplicações, restrições e vulnerabilidades.
De forma macro, a função de risco deve cumprir três grandes papéis:
- Ajudar a definir o apetite ao risco do negócio e do conselho: O primeiro e mais importante papel da função de risco é estabelecer um processo para que o negócio defina seu apetite ao risco. A definição de um apetite ao risco relevante, específico e acionável resulta de um processo maduro de gestão de riscos. Avaliar os riscos que uma organização está disposta a assumir e manter sistemas sólidos de gestão de riscos e de controle interno exige a identificação e avaliação dos principais riscos que podem impactar negativamente os objetivos do negócio, a avaliação da exposição atual a esses riscos, e a definição de controles adicionais caso esta exposição seja considerada excessiva. É papel da função de risco fornecer uma visão consolidada do perfil de risco do negócio, informar a alta gestão sobre como permanecer dentro dos limites de risco e reportar casos em que os limites de risco sejam violados.
- Monitorar a exposição ao risco dentro do apetite ao risco e definir o framework de gestão de risco: A função de risco necessita ter uma visibilidade grande e irrestrita de como a condução das operações comerciais acontecem, a fim de ter uma compreensão profunda dos fatores de risco que impactam o negócio. Requer também uma compreensão sólida das métricas mais adequadas para capturar os fatores de risco, para que possa ser criado um programa de indicadores-chave de risco bem-sucedido que garanta o monitoramento adequado do apetite ao risco.
- Desafiar e aconselhar sobre decisões estratégicas de negócio em matéria de assunção de riscos: Outra grande contribuição da função de risco é na tomada de decisões, ao fornecer uma visão informada dos possíveis riscos e das opções de mitigação disponíveis para o negócio. A função de risco deve atuar como uma "caixa de ressonância" do negócio naquelas decisões que possam modificar o apetite de riscos e o perfil de risco da organização. Tais decisões podem dizer respeito a novos empreendimentos, acordos comerciais ou aquisições, novos produtos ou novos mercados, investimentos ou desinvestimentos. Para desempenhar esse papel de forma eficaz, a função de risco precisa de ter autoridade delegada suficiente para congelar algumas decisões de negócio que possam contradizer os requisitos regulamentares ou o possível escrutínio regulamentar futuro, ou que excedam o apetite risco sem o devido reconhecimento do conselho de administração.
Terceira Linha: Auditoria Interna
A terceira linha de defesa é a auditoria interna – provavelmente a linha com os limites mais claros. A auditoria interna é a parte independente no processo de gestão de riscos. Avalia de forma independente os riscos e o cumprimento das políticas e procedimentos dos diferentes departamentos e atividades de uma organização, incluindo a função de risco. Tanto a função de risco como a auditoria interna utilizam ferramentas de avaliação de risco. Em algumas empresas, a auditoria e o risco coordenam as suas agendas para não sobrecarregar o negócio com visitas e avaliações de riscos redundantes. Às vezes, a segunda e a terceira linhas de defesa também trocam informações e conclusões.
A regra aqui deve ser adotar o parecer do Institute of Internal Auditors – IIA sobre a interação da auditoria interna com as funções de gestão de risco, compliance e finanças:
- As funções eficazes de gestão de riscos, compliance e finanças são uma parte essencial da estrutura de governança corporativa de uma organização. A auditoria interna deve ser independente destas funções e não ser responsável por elas nem fazer parte delas.
- A auditoria interna deve incluir no seu âmbito uma avaliação da adequação e eficácia das funções de gestão de risco, compliance e finanças. Ao avaliar a eficácia dos controles internos e dos processos de gestão de riscos, em nenhuma hipótese a auditoria interna deverá confiar exclusivamente no trabalho da gestão de riscos, compliance ou finanças. A auditoria interna deverá sempre examinar, por si só, uma amostra adequada das atividades em análise.
- A auditoria interna deve exercer um julgamento informado sobre até que ponto é apropriado levar em conta o trabalho relevante realizado por outros, como gestão de risco, compliance ou finanças, tanto na sua avaliação de risco quanto na determinação do nível de testes de auditoria das atividades sob análise. Qualquer julgamento que resulte num escrutínio menos intenso da auditoria interna só deverá ser feito após avaliação da eficácia daquela função em relação à área sob análise.
A Relação entre 1ª e 2ª Linhas de Defesa: Entre a Orientação e o Desafio
A relação entre a primeira e a segunda linhas de defesa é provavelmente o aspecto do modelo de 3 LDD que mais gerou (e ainda gera) debates. Muitos reguladores exigem que a segunda linha seja “independente” da primeira linha, para fornecer “supervisão e contestação” das atividades de gestão de risco realizadas na primeira linha. No entanto, a pura independência da segunda linha de defesa levanta a questão da duplicidade de atividades com a auditoria interna.
Mais fundamentalmente, é quase impossível operar uma supervisão e um desafio eficazes antes que as atividades de gestão de risco estejam incorporadas e maduras no negócio. Portanto, a ação inicial da função de gestão de risco operacional deve ser educar todas as partes internas sobre os fundamentos da gestão de risco operacional. As principais considerações a princípio devem ser: o que é risco operacional, como reconhecer e reportar incidentes operacionais, quais são os benefícios de uma boa gestão de riscos operacionais e quais são as armadilhas de uma má gestão de riscos.
Em seguida, a formação em risco pode centrar-se na descrição e implementação de ferramentas de gestão de risco para identificação, avaliação e análise de causa-raiz ou workshops de cenários. Uma formação eficaz, envolvente e generalizada sobre risco operacional é um pré-requisito importante para qualquer implementação de um framework de gestão de risco. Ao mesmo tempo, a função de risco ainda pode manter a sua independência em relação à primeira linha, mesmo quando fornece orientação completa sobre métodos de gestão de risco: a chave está em fazer perguntas sem sugerir respostas.
Por exemplo, um gestor de risco da segunda linha de defesa pode muito bem realizar um workshop de auto avaliação de riscos e controles com os representantes da primeira linha desencadeando reflexões sobre os riscos e a eficácia dos controles, ao mesmo tempo que permanece independente. Porém, o gestor de risco deve ter o cuidado de contestar as respostas e as suas justificativas, sem influenciar o conteúdo das respostas e a sua avaliação. É importante evitar que a primeira linha delegue a avaliação e a aprovação do risco às funções de risco. O segredo aqui, como tudo na vida, é buscar o equilíbrio fugindo dos extremos: evitar uma colaboração tão estreita que as linhas de defesa ficam confusas e a apropriação do risco não é clara (mais comum em pequenas empresas, por vezes quando o pequeno tamanho das equipes torna difícil separar claramente as funções) e evitar também uma separação completa (mais frequentemente observado em organizações de maior dimensão) onde a primeira e a segunda linha desenvolvem uma relação algo conflituosa e a função de risco não consegue demonstrar o seu valor, sendo vista como um passivo e não como um ativo.