Gestores de ativos contemporâneos enfrentam um mix de desafios, incluindo riscos de terceiros, regulatórios, na identificação dos mesmos e ainda na conformidade de investimentos. A indústria de gestão de ativos deve, portanto, estabelecer a melhor maneira de lidar com esses riscos usando as três linhas de estrutura de governança de defesa ou “the three lines of defense governance framework”.
As três linhas de estrutura de governança de defesa
Promulgada em 2013 pelo Instituto de Auditoria Interna, “As Três Linhas de Defesa em Gestão e Controle de Riscos”, delineiam a estrutura de governança de risco de uma organização em três partes:
- A primeira linha de defesa é composta pelos gerentes operacionais, que detém os riscos. Estes profissionais são os que interagem com os clientes com maior frequência, gerenciam departamentos e trazem experiência e conhecimentos substanciais para suas funções. Esta primeira linha diz respeito a responsabilidade que está em conformidade com a estrutura de gerenciamento de riscos corporativos (ERM)”, diz David Pulido, líder de serviços financeiros e gerenciamento de riscos da Grant Thornton US. De forma prática, esta responsabilidade significa identificar, avaliar, medir, monitorar, relatar, controlar e mitigar riscos. Mitigar riscos significa desenvolver e implementar políticas e processos apropriados para a área de responsabilidade do gerente, definindo funções dentro de sua equipe e atribuindo responsabilidades em cascata aos subordinados. A primeira linha deve garantir que esses processos sejam consistentes com as metas e objetivos maiores da organização. A profunda experiência no assunto serve de forma exclusiva aos gerentes operacionais para adaptar estratégias de gerenciamento de riscos maiores a suas áreas específicas de responsabilidade. A primeira linha de defesa pode destacar falhas de controle, processos inadequados e eventos inesperados.
- A segunda linha de defesa consiste nas várias estruturas de controle de risco e funções de supervisão de conformidade estabelecidas pela alta administração. Geralmente estruturam os comitês de gestão de risco, estabelece a estrutura, a metodologia, as políticas e os padrões.
Enquanto os gerentes de primeira linha se concentram em suas respectivas funções, a segunda linha foca na mitigação de riscos em toda a organização. A segunda linha apoia as políticas de gerenciamento, monitorando fatores de risco, desenvolvendo processos e estruturas de mitigação de riscos e identificando oportunidades de integração ou intervenção. Desta forma, a segunda linha define papéis e responsabilidades, controles de risco e processos à organização, define metas para a implementação organizacional de processos de monitoramento de risco e estrutura e treina os profissionais da equipe. A segunda linha articula as declarações de risco, as vulnerabilidades e os níveis de tolerância e captura questões conhecidas e emergentes (muitas das quais são identificadas inicialmente pelos gerentes de primeira linha). Ele monitora controles internos, relatórios, conformidade e correção de deficiências que são relatadas à gerência. Ao contrário da função de auditoria de terceira linha, espera-se que a segunda linha intervenha diretamente quando necessário. Como a segunda linha aborda o risco geral da organização, ela impulsiona o progresso em direção a metas do ERM. “A segunda linha estabelece a estrutura do ERM”, diz Pulido. “Há sempre espaço para melhorias. A gerência deve estabelecer metas adequadas e formais para a organização avançar na escala de maturação do ERM”.
- A terceira linha corresponde a auditoria independente ou auditoria interna. O objetivo da terceira linha é estabelecer um controle e validação abrangente com base no mais alto níveis de independência e objetividade. A terceira linha avalia a eficácia da governança, gerenciamento de riscos e controles internos, aplicando padrões internacionalmente reconhecidos. Deve ter autonomia, autoridade e objetividade para uma avaliação completa e independente para ser reportada diretamente ao comitê que rege a auditoria interna da organização.
Para que a abordagem das três linhas de defesa funcione efetivamente, as linhas devem se manter distintas e seguir políticas bem estabelecidas e definidas que especifiquem e coordenem seus respectivos papéis e funções. Mesmo que lidadas separadamente, devem compartilhar informações quando necessário. Se o endereçamento de um problema exigir linhas cruzadas ou conflitantes, a colaboração deve ser transparente.
A insistência de uma definição clara sugere que o maior desafio prático pode ser a atribuição de papéis. Como diz o artigo técnico do IIA, “Não é suficiente que existam as várias funções de risco e controle - o desafio é atribuir funções específicas e coordenar de forma eficaz”.
Conformidade versus gerenciamento de risco
Para maximizar a eficácia dos esforços de gerenciamento de riscos, os gerentes de ativos devem se concentrar em uma abordagem de gerenciamento de risco orientada pelo desempenho, e não em um modelo reativo focado na conformidade. O fluxo constante de exigências regulatórias que inundaram o setor desde a crise financeira deixou pouco tempo para considerações de risco estratégico. Esse foco constante na conformidade, embora fosse uma resposta apropriada às condições da época, deixou o dinheiro na mesa na forma de estratégias de risco abaixo do ideal, avaliações de risco imprecisas e oportunidades perdidas.
As melhores estratégias de gerenciamento de riscos são marcadas por uma maior integração e abordagens voltadas para o desempenho. Elas explicitamente respondem pelo valor do cliente e do acionista. Em vez de uma colcha de retalhos de processos, controles e mecanismos relatórios, o gerenciamento de riscos orientado pelo desempenho conduz uma estratégia de risco integrada que permite que a estratégia geral de negócios da organização informe futuras decisões e conduza no futuro.
Assim como a abordagem de riscos vinculada a meta do negócio, uma abordagem de gerenciamento de riscos orientada por desempenho, o enquadramento da proposta de valor, a estratégia e a cultura da organização também começam pela liderança. Pulido enfatiza: “É uma questão de alinhamento adequado com a função de risco e o risco aplicado ao modelo de negócio”.
A conformidade não desaparece, ela simplesmente deixa de definir a abordagem de risco da organização. “Você tem gerenciamento de risco. Com isto, você tem a função de conformidade. A função de risco de conformidade é a validação ou análise com base na retrospectiva, seguindo uma agenda de conformidade. A função de gerenciamento de riscos de não conformidade - riscos estratégicos, financeiros, operacionais, de conduta, cibernéticos, de reputação e outros - precisam estar alinhados e fazer parte da estratégia do negócio”, diz Pulido.
A gestão de riscos funciona bem dentro de uma abordagem de três linhas. Os maiores riscos podem ser gerenciados onde são detidos, geralmente na primeira linha, com suporte especializado das funções de segunda linha (incluindo conformidade) e a auditoria e aconselhamento da auditoria interna, a terceira linha.
A natureza distinta do gerenciamento de ativos
Para gestores de ativos, um modelo de três linhas orientado para o desempenho deve ser aplicado ao perfil de risco distinto de seu setor.
“A grande diferença entre um negócio de gestão de ativos e outras organizações de serviços financeiros, como bancos e seguradoras, é que a gestão de ativos é basicamente um negócio de agenciamento“, disse Johan Joseph, sócio de serviços financeiros da Grant Thornton US. “Os gerenciadores de ativos estão gerenciando ativos em nome de outra pessoa.” Embora os riscos operacionais persistam, eles são menos centralizados. Por outro lado, os riscos fiduciários assumem ainda mais importância.
Aplicando a abordagem de três linhas aos 5 principais riscos
Os gerentes de ativos devem se concentrar nas 5 principais áreas de risco a seguir:
- Gerenciamento de riscos corporativos - Como o ERM é, por definição, em toda a empresa, essa é uma função de segundo nível por excelência. No entanto, como os gerentes de primeiro nível estão unicamente posicionados para ver os riscos emergentes durante suas interações diárias, eles desempenham um papel fundamental na informação da equipe de conformidade. No nível de auditoria, o ERM exige uma aplicação contínua de padrões reconhecidos para o perfil de risco em evolução das organizações.
- Conformidade regulatória - Embora a função de conformidade deva se concentrar na conformidade regulatória integrada de alto nível, os gerentes de primeira linha geralmente têm conhecimento antecipado das regulamentações em suas áreas. A primeira e segunda linha devem ser coordenadas para acompanhar os efeitos de todos os regulamentos e as respostas oficiais da organização, incluindo regulamentos internacionais, como o MIFID II. Essa coordenação permite que a organização como um todo responda de maneira mais eficaz às regulamentações em evolução, graduais ou conflitantes. Em muitos casos, a melhor estratégia é alinhar-se aos regulamentos mais rigorosos. Nos casos em que os regulamentos entram em conflito, a função de conformidade tem a perspectiva de efetuar a melhor reconciliação possível.
- Práticas de vendas - Os gerentes de primeira linha devem possuir isso como parte de sua responsabilidade operacional. No entanto, como a interpretação liberal ou mesmo a burocracia das regulamentações podem fornecer aos gerentes de primeira linha incentivos financeiros ilícitos. Nestes casos, a função de conformidade de segunda linha tem papel fundamental e deve atuar.
- Diretrizes de Investimento - Há um forte argumento para o envolvimento pesado da linha de frente nas diretrizes de investimento, porque os corretores conhecem melhor seus clientes e suas opções de investimento. No entanto, os gestores de ativos devem controlar a participação dos corretores para evitar problemas “barra pesada”. Portanto, as organizações devem consultar os corretores na criação de diretrizes de investimento, mas devem confiar aos profissionais de segunda linha para analisá-las e supervisionar sua codificação e implementação. No entanto, os profissionais de primeira linha também podem desempenhar um papel na garantia de qualidade. Seus insights sobre casos de uso específicos permitem que eles tentem a “quebrar o código” aplicando-o a casos de uso extremos que participantes om menos experiência ou conhecimento podem não ter previsto.
- Risco de terceiros - O risco de terceiros pode se manifestar de várias formas, incluindo segurança cibernética, segurança de dados, risco de reputação e esforços antifraude. Portanto, as organizações devem garantir que os fornecedores sejam aprovados corretamente. Embora os gerentes de primeira linha sempre informem sobre os requisitos do fornecedor, os profissionais de segunda linha geralmente possuem o processo de verificação e instalam procedimentos à prova de falhas para garantir que os fornecedores recebam uma análise e validação completa. Alguns gerentes de ativos retêm o pagamento até que um fornecedor seja aprovado. Outros bloqueiam fornecedores não aprovados na fase de contratação. Além disso, os profissionais de segunda linha devem garantir que a aprovação se estenda não apenas ao fornecedor, mas ao serviço específico prestado. Como pode ser fácil (e conveniente) tornar-se negligente em torno desses procedimentos, essa é uma área na qual a alta gerência e a governança precisam reforçar fortemente a política da empresa por meio de comunicação frequente.
Uma abordagem de três linhas, voltada para o desempenho e para o risco, promete atender às obrigações fiduciárias e fornecer um desempenho robusto. Diante disso, é fundamental que a alocação precisa de responsabilidades e requer uma acompanhamento preciso e minucioso das questões específicas associadas a cada área envolvida.