Especialistas explicam a implantação prática da Estrutura de Gestão de Riscos em seguradoras.
Embora as empresas de seguros tenham prazo até dezembro de 2017 para implantar completamente a Estrutura de Gestão de Riscos (EGR), o tempo é curto para decifrar a abrangência, conteúdo e responsabilidades indicadas na Circular Susep 521/2015. Até porque, a norma traz outras exigências antes do prazo final. Em 30 de junho deste ano termina o prazo para entregar à Susep o pedido de dispensa total ou parcial da EGR e em 31 de dezembro para nomear o gestor de riscos.
“Não existe mágica. A norma é complexa, requer muito estudo e precisamos nos preparar desde já”, disse Assizio de Oliveira, presidente da Comissão de Controles Internos da CNseg, durante sua participação no workshop “Estrutura de Gestão de Riscos – Praticando a Circular Susep 521/2015”, promovido pela Editora Roncarati no dia 27 de abril, no auditório da KPMG, empresa apoiadora do evento. Rafael Kozma, gestor da área de riscos do Grupo Porto Seguro, reconhece as dificuldades de implantação da EGR. “Trata-se de um projeto multidisciplinar, que envolve finanças, contabilidade, atuarial, controles internos, TI, produtos e outros”, disse.
Para Kozma, que iniciou o trabalho de gestão de riscos desde 2012 no Grupo Porto Seguro, composto por 27 empresas, o maior desafio é tornar esse processo tangível dentro da organização, de forma clara e detalhada. “Não subestimem o esforço, falar de apetite ao risco com a alta administração não é simples, reajustar as rotinas das áreas também não. Por isso, é melhor iniciar o processo o quanto antes para que haja, inclusive, uma adaptação cultural”, disse.
Montar uma política de gestão de riscos não é o mais difícil, na opinião de Phelipe Linhares, sócio da KPMG na área de Financial Risk Management. “Difícil mesmo é colocar isso em pé e, o mais importante, assegurar que outras áreas participem”. Daí porque, ele entende que a solução é obter o “patrocínio” ou compromisso de alguém da alta administração, com poder de decisão.
Segundo Assizio, as razões da Circular 521/2015 estão nos princípios da Associação Internacional dos Supervisores de Seguros (IAIS), da qual a Susep é signatária, e da Autoridade Europeia de Seguros e Previdência (EIOPA). Tanto que, no momento, está em curso o processo de equivalência do modelo regulatório do setor de seguros brasileiro com o modelo da União Europeia, o Solvência II. Porém, ele lembrou que o tema não é novo para o mercado de seguros brasileiro. “Desde 2004, o regulamento brasileiro já menciona a gestão de riscos como um dos componentes do sistema de controles internos”, afirmou.
De acordo com a norma, a EGR deve ser proporcional à exposição a riscos da companhia e compatível com a natureza, escala e complexidade de suas operações. A EGR também deve estar alinhada com o sistema de controles internos, independentemente de como estejam organizadas suas funções (gestão de riscos, auditoria interna e função atuarial). Assizio comentou que podem requerer a dispensa da EGR as companhias que operem exclusivamente o DPVAT ou apenas produtos em run-off.
Apetite a riscos
Em relação a riscos, a norma da Susep traz alguns conceitos, como o das categorias, que abrangem, obrigatoriamente, as de subscrição, de mercado, de crédito e operacionais. São opcionais outras categorias, como as de risco estratégico, risco de reputação, de liquidez, risco país etc. Mas, para Linhares, colocar o risco estratégico como opcional foi um erro do regulador. “Do ponto de vista de uma boa governança, administrar esses riscos informalmente não é uma boa prática, porque o administrador nem sempre está junto com o acionista”, disse.
No conceito Perfil, o dever da companhia é descrever os riscos a que está exposta. Já o Nível de risco, deve ser medido pela combinação da probabilidade de ocorrer com o impacto que pode causar. O conceito de Tratamento diz respeito à resposta ao risco, que pode ser: aceitar, mitigar, evitar ou compartilhar.
O mais desafiador, entretanto, é o conceito de Apetite a riscos, que requer da empresa a descrição dos riscos que decide assumir para alcançar seus objetivos estratégicos. “Talvez, esta seja a parte mais complexa porque não depende de nós, que trabalhamos na EGR, mas de decisões da alta administração”, disse Assizio. Para Kozma, trata-se da “alma” da 521, porque depende de um plano de negócios e de como a função de risco atua no sentido de atingir os objetivos.
Assizio citou alguns exemplos de apetite a riscos, explicando que está sempre vinculada aos objetivos estratégicos da empresa. “Se o objetivo for aumentar a rentabilidade, por exemplo, então a empresa poderá decidir conquistar mais corretores, abrir mais sucursais, desenvolver mais produtos e assim por diante”, disse. O passo seguinte, segundo ele, é identificar os riscos de cada operação, avaliá-los quanto à probabilidade e impacto, escolher os que se deseja correr e definir as respostas mais convenientes aos escolhidos.
Nesse processo, é necessário mensurar o quanto a companhia admite perder caso algum daqueles riscos aceitos resulte em uma perda. Assim, ele destaca que “se a empresa pretende abrir sucursais, é preciso saber que, na esteira dessa ação estratégica para aumentar a rentabilidade, há riscos, como, por exemplo, de não se conseguir o terreno, de não se obter a licença para construir, ou, até mesmo, de que o local não seja apropriado para o negócio”.
Dentro do apetite de riscos, Assizio explicou que é preciso ter uma descrição qualitativa (referente aos riscos que a companhia espera assumir ou evitar para atingir seus objetivos estratégicos) e quantitativa (que é a mensuração do valor da perda que a companhia considera aceitável frente aos riscos assumidos e a sua capacidade financeira). Sobre a questão, Linhares acrescentou que a visão qualitativa é mais subjetiva, porém, mais demorada, pois requer o mapeamento dos riscos.
Já a visão quantitativa, embora menos trabalhosa, possuir maior complexidade. Ele citou a tradicional medida para o risco de mercado, o VAR (valor de risco), que, em geral, poucos sabem interpretar e aplicar. O problema, segundo ele, ocorre em momentos de estresse. “Numa situação de estresse, posso concluir, simplesmente, que não aceitaria aquele risco ou aquela perda. Mas, se não me antecipei àquilo, na hora em que chegar a desgraça, terei de colocar cabeças a prêmio. E é isso que, geralmente, acontece. Por isso, as medidas quantitativas são importantes”, afirmou.
Gestor de riscos
Em relação à nomeação do gestor de riscos, uma das exigências da Circular 521, Assizio expôs algumas alternativas. Segundo ele, pode-se nomear um único gestor para duas ou mais empresas supervisionadas que pertençam ao mesmo grupo. Caso a nomeação do gestor próprio traga impacto financeiro relevante, a empresa poderá terceirizá-lo, opção indicada para empresas com sistemas de baixa complexidade e coberturas pouco diversificadas. Para resseguradoras estrangeiras, existe, ainda, a alternativa de centralizar a função do gestor em suas matrizes. “Mas, a terceirização ou a centralização não retira a responsabilidade dos administradores da companhia”, frisou.