LR Assessoria e Consultoria
|
Assizio Oliveira, Consultor de Controle Interno e Auditoria Interna, Membro de Comitês de Auditoria e Ouvidor |
A Circular SUSEP nº 249, de 2004, ao obrigar a implementação de um Sistema de Controles Internos, menciona, em alguns de seus dispositivos, que é atribuição da empresa avaliar continuamente os diversos tipos de riscos e implementar meios de identificação e de avaliação dos fatores internos e externos que possam afetar ou contribuir adversamente para a realização dos seus objetivos estratégicos. Por seu turno, a Circular SUSEP nº 280, daquele mesmo ano, agora consolidada na Circular SUSEP nº 517, recém emitida, por um lado, define “Avaliação de Riscos” como a identificação e a análise dos riscos associados aos objetivos do negócio, tanto no âmbito da sociedade quanto dos processos, e, por outro, determina que a empresa deve ser capaz de identificar e analisar fatores internos e externos e de levar em consideração a sua probabilidade de ocorrência e o seu impacto nas operações. Portanto, já tem onze anos que as companhias seguradoras brasileiras foram instadas a considerar a questão da Gestão de Riscos (GR). Não havia, entretanto, clareza sobre a obrigatoriedade da organização de tal atividade, nem dos requisitos que deveriam norteá-la, motivo pelo qual, atualmente, distintas maneiras de abordar esse assunto são vistas no mercado.
No início de julho de 2015, a SUSEP, mediante consulta pública, ofereceu à análise do mercado uma minuta de circular cujo teor definitivo determinará – ou, a esta altura, já determinou –, para as empresas que atuam no mercado segurador brasileiro, a estruturação da atividade de GR. Sem prejuízo de algumas questões conceituais que possam vir a ser – ou já foram – alteradas no texto em razão das sugestões oferecidas no processo de consulta pública, é importante destacar certos pontos do novo requerimento, dado que, por serem parte do fundamento da atividade, devem ser desde já levados em conta.
A confirmar o tratamento genérico dado pelas Circulares nº 249 e 280 de 2004, a GR está definida como uma atividade voltada à identificação, avaliação, mensuração, tratamento, resposta e monitoramento dos riscos que, se ocorrerem, podem comprometer a estratégia e/ou a saúde da empresa. Devem ser abarcadas pela GR, pelo menos, aquelas categorias de riscos já definidas em regulamentos, ou seja, de subscrição, de crédito, operacionais e de mercado. Portanto, é imprescindível que a GR esteja preparada para compreender as nuances do negócio e, a partir desse conhecimento prévio, estabelecer a probabilidade de ocorrência e o impacto (ou importância relativa) dos fatores de riscos inerentes a cada uma daquelas categorias para indicar as respostas possíveis a cada um deles, que pode ser tanto evitar, como compartilhar ou, ainda, assumir de forma consciente.
Em termos organizacionais, deve-se observar o princípio da proporcionalidade, ou seja, a GR deve ter estrutura de recursos humanos, físicos e tecnológicos compatível com a escala e a complexidade das operações e, no organograma, deve estar alinhada com as outras atividades diretamente envolvidas com a manutenção do Sistema de Controles Internos, ou seja, a parte do gabinete atuarial envolvido com o cálculo de capitais adicionais baseados em riscos, a função de ética & conformidade (compliance), as áreas de prevenção, etc. Significa dizer que, observados seu porte e plano de negócios, a empresa tem liberdade de organizar a GR de forma autônoma ou associada com outras atividades da segunda linha de defesa, desde que a mantenha independente das áreas que formam a primeira linha de defesa – a operação propriamente dita – e isolada da Auditoria Interna, que constitui a terceira linha de defesa. Nesse contexto, é imprescindível bem definir as funções, os papéis e as responsabilidades dos profissionais envolvidos com a GR e dos que com ela se inter-relacionam, assim como descrever com clareza as metodologias, rotinas, procedimentos e controles empregados no processo de qualificação e de quantificação dos fatores de risco. Os controles, em especial, devem ser desenhados para que efetivamente garantam a manutenção da exposição aos riscos dentro dos limites previamente estabelecidos.
Certos termos e expressões devem passar, desde já, a fazer parte do dia-a-dia da empresa, que precisa dedicar atenção especial à disseminação de seus significados e, mais importante, à conscientização de seu público interno com relação à obediência e aderência das políticas e normas internas que obrigatoriamente devem ser formalizadas no mais alto escalão para disciplinar a GR. Dentre eles destacam-se: o “perfil de risco”, que é o conjunto de riscos a que a empresa está exposta em decorrência de seus negócios e de seus objetivos estratégicos; o “nível de risco”, que decorre da combinação da probabilidade de um risco vir a ocorrer e o impacto que ele pode ocasionar vis a vis o monitoramento da sua exposição; e o “apetite de risco”, representado pela disposição consciente da empresa em assumir riscos visando à consecução de seus objetivos estratégicos.
Surge, também, agora de forma mandatória, a criação da figura do Gestor de Riscos, a quem, com autoridade, independência e acesso privilegiado, caberá, principalmente, monitorar a GR sob os pontos de vista da suficiência de sua estrutura e da eficácia de seus processos, metodologias e controles, acompanhar a implementação dos planos de ação estabelecidos para a melhoria contínua da GR e reportar à Alta Administração os resultados de suas análises. Deve, ainda, atuar na estratégia da GR e nas atividades de conscientização do público interno e, em ocorrendo fatos relevantes que modifiquem significativamente o perfil de risco, analisar e propor as alterações necessárias. Mediante prévia aprovação da SUSEP, a função de Gestor de Riscos pode ser terceirizada.
Além do acompanhamento da Alta Administração e do estreito monitoramento pelo Gestor de Riscos, tudo precisa ser avaliado pela Auditoria Interna, que tem de incluir em seu planejamento anual trabalho ou trabalhos de revisão dos procedimentos, metodologias, rotinas e controles da atividade de GR e, em consequência disso, oferecer recomendações de melhoria e acompanhar a sua efetiva implantação.
Em função de outras questões relacionadas ao aprimoramento do Sistema de Controles Internos, a SUSEP deve – se ainda não foi – estabelecer prazo de implementação da GR que variará de um mínimo de 24 meses e um máximo de 48. No entanto, independentemente do prazo a ser estabelecido, é de todo conveniente não tratar o assunto em cima da hora, até porque certas condições precisam ser previamente comunicadas e/ou aprovadas por aquela Autarquia. E, por último, dado que efetivamente é, considerar o tema como estratégico desde já facilitará a sua compreensão e a sua implantação propriamente dita.
Fonte: Artigo publicado originalmente na revista Opinião.Seg nº 11 - Outubro de 2015 - Páginas 40 a 42.