3 - GESTÃO DE RISCOS E CONTROLES INTERNOS
O art. 14 da Lei Complementar n° 108, de 2001, estabelece que “O Conselho Fiscal é o órgão de controle interno da entidade”, cabendo a ele o controle da gestão, observadas as referências da legislação. Nesse sentido a Resolução CGPC n° 13, de 2004, atribui ao Conselho Fiscal o dever de emitir relatórios de controles internos, pelo menos semestralmente.
Segundo o Manual de Controles Internos da Associação Brasileira das Entidades Fechadas de Previdência Complementar - ABRAPP, os princípios para a gestão de riscos pelas Entidades compreendem o envolvimento da alta administração e de todo corpo funcional; uma estrutura clara de responsabilidade com medidas rigorosas no caso de não conformidade; informações corretas e precisas consolidadas em uma base única; e por fim persistência no gerenciamento de riscos com iniciativas de médio e longo prazo.
O ambiente de controle influencia a consciência das pessoas que compõem a organização e auxilia o comprometimento de todos. Tal ambiente necessita ser permanente em cada área da EFPC, objetivando constantemente a redução dos riscos e o aumento da eficácia dos processos.
O Manual ABRAPP ensina que isto pode ser conseguido com os elementos que compõem esse ambiente: integridade, ética e competência dos empregados, definição de responsabilidades, padrões de gerenciamento, organização e alocação de recursos. O ambiente de controle passa por todos os níveis e funções da EFPC, com definição de processos e responsabilidades, com o apoio da alta administração e independência para aferição das demais unidades da Fundação.
A avaliação e controle constituem um processo evolutivo e contínuo, necessitando envolver todos por meio do adequado desempenho de suas atribuições e da imediata comunicação de falhas ou deficiências verificadas aos supervisores ou órgãos responsáveis pela solução da questão.
A Resolução nº 13 reforça que a estrutura organizacional deve permitir o fluxo das informações entre os vários níveis de gestão e adequado nível de supervisão.
Segundo o Manual da Abrapp: “O gerenciamento de risco é um processo de persistência, não um programa esporádico.”. O citado Manual esclarece as funções de controle na organização:
(...) Seu foco de atuação é no sentido de direcionar esforços para os processos avaliados como de maior risco operacional, atuando como parceiro da área de negócios através do monitoramento constante sobre atividades e processos e acompanhamento de novos projetos e operações. Seu caráter preventivo difere da Auditoria interna, que analisa dados históricos em busca de registros e evidências visando à identificação e quantificação dos problemas.
O controle interno tem como objetivo promover, conjuntamente com os órgãos e com as áreas da EFPC, eficiência operacional, melhoria na tomada de decisões, confiabilidade de informações, efetivo controle de riscos e conformidade às leis, regulamentos e políticas de gestão. Outro papel das unidades e instâncias de controle é auxiliar as demais áreas a estruturarem seus controles internos a serem aplicados primariamente pelas próprias áreas técnicas.
A Auditoria Interna e a área de Controle Interno, juntamente com o Conselho Fiscal, constituem o sistema precípuo de controles da EFPC. As duas áreas (Auditoria e Controle) possuem atividades distintas e específicas, exercendo atividades complementares na medida em que o Controle visa estruturar e monitorar enquanto a Auditoria objetiva avaliar a adequação e funcionamento.
São ferramentas gerenciais relevantes para auxiliar na avaliação de desempenho das equipes e da atuação da Fundação. O controle é uma necessidade regulatória pois a Resolução n° 13, de 2004, determina à EFPC a adoção de princípios, regras e práticas de governança, gestão e controles internos adequados ao porte, complexidade e riscos envolvidos.
O controle tem como objetivo geral a adoção das melhores práticas de gestão para criar cultura eficiente de acompanhamento e controle, visando o alcance dos objetivos estratégicos da Entidade, baseado na competência, transparência e prestação de contas.
A atividade de controle deve contar com as áreas de negócio como parceiras no mapeamento dos processos e na gestão dos riscos operacionais, de forma a chegar conjuntamente à melhor solução para a Fundação, focando nos processos e não nas pessoas. O mapeamento de processos e a normatização de procedimentos são ferramentas importantes de controle e contribuem para eficiência e uma melhoria contínua dos processos.
A Resolução nº 13 orienta que se identifique, avalie, controle e monitore, de maneira contínua, todos os riscos que possam comprometer a realização dos objetivos da EFPC. As atividades de controle abrangem avalição de processos e procedimentos, identificação e gestão de risco, informação precisa e comunicação adequada dos processos, acompanhamento das deficiências e sugestões de aprimoramento.
Importante ressaltar que a Previc (autarquia supervisora dos fundos de pensão) iniciou sua atuação por segmentação, por meio da qual classifica as EFPC em perfis conforme o porte, a complexidade e os riscos inerentes aos planos de benefícios, considerando assim a heterogeneidade do sistema.
Em relação aos tipos de riscos, o Guia Previc Melhores Práticas em Fundos de Pensão assim classifica:
81 O risco de governança perpassa todas as áreas da entidade. A estrutura adequada observa as características próprias da entidade – porte, número de planos, modalidade dos planos, número de participantes ativos e assistidos –, atendendo-se ainda à estrutura mínima prevista em lei e as orientações do órgão supervisor. A estrutura deve buscar mitigar os riscos relacionados à concentração de poderes, garantindo a segregação de funções e privilegiando as decisões colegiadas.
82 O gerenciamento do risco atuarial tem como objetivo assegurar os padrões de segurança econômico-financeira, com fins específicos de preservar a liquidez, a solvência e o equilíbrio dos planos de benefícios administrados pelas EFPC.
83 A identificação do risco atuarial inclui a verificação dos seguintes itens: descasamentos entre ativo e passivo; independência do trabalho do atuário; aderência das premissas financeiras e demográficas; adequação do plano de custeio; compatibilidade do método de financiamento adotado; e resultado do plano (superávit, equilíbrio ou déficit).
84 Os riscos atuariais estão presentes nos planos de benefício definido (BD) e de contribuição variável (CV) que oferecem a opção de renda vitalícia. O monitoramento desse risco, que visa manter um nível de financiamento adequado, inclui a verificação constante da aderência das premissas atuariais, onde se destacam a tábua de mortalidade e a taxa de desconto do passivo atuarial.
85 A legislação em vigor estabelece, para efeitos dos cálculos das reservas, uma tábua mínima e uma taxa de desconto máxima. Entretanto, os dirigentes devem buscar sempre os parâmetros mais adequados ao conjunto de participantes de cada plano de benefícios. Observa-se que já há planos que adotam premissas mais conservadoras, mesmo que isto decorra em aumento do custo do plano.
86 O risco de contraparte pode ser mitigado pela análise prévia da capacidade de pagamento pelo emissor das obrigações decorrentes do ativo financeiro, evitando-se, assim, que perdas potenciais impactem negativamente o resultado do plano de benefícios. O monitoramento do risco em questão deve ser feito de forma contínua até o vencimento das obrigações. Adicionalmente, é recomendável evitar a concentração de ativos em poucos emissores.
87 No caso específico do patrocinador, cabe registrar que o risco de contraparte inclui, além dos investimentos em títulos de renda fixa e ações de sua emissão, a possibilidade de não recebimento das contribuições previstas para o custeio do plano e das amortizações relativas a dívidas contratadas. O risco aumenta substancialmente com a insolvência do patrocinador, que impacta, de forma diferenciada, o plano de benefícios conforme sua modalidade.
88 O risco de mercado é caracterizado por movimentos adversos da taxa de juros e da variação dos preços dos ativos, que podem afetar o desempenho econômico-financeiro do plano de benefícios. O desenvolvimento de estudos econômicos e a criação de cenários são importantes no monitoramento desse risco, cujos resultados devem ser considerados ainda na elaboração das políticas de investimento dos planos de benefícios.
89 O risco de liquidez está relacionado ao casamento dos fluxos de ativos e passivos, de forma que os recursos estejam disponíveis na data do pagamento dos benefícios e demais obrigações do plano. À medida que os prazos de vencimentos das obrigações se aproximam, a alocação dos recursos deve privilegiar ativos mais líquidos. Além disso, o planejamento garante que as alienações dos ativos ocorram no prazo certo e no preço justo.
90 O risco operacional pode ser reduzido com a formalização de procedimentos e com a atuação efetiva das áreas de conformidade de normas e gerenciamento de risco. O funcionamento dos sistemas e o processamento de operações podem gerar erros ou permitir a ocorrência de fraudes, muitas vezes mantidos devido às falhas existentes nas auditorias e nos controles internos.
91 O risco de tecnologia da informação (TI) está inserido na discussão do risco operacional. A gestão do risco de TI deve se preocupar com a segurança, a disponibilidade, a performance e a conformidade dos sistemas.
92 Neste ponto, caber reafirmar que os órgãos estatutários devem zelar permanentemente pela exatidão e pela consistência das informações cadastrais, determinando procedimentos de contingência e a segregação de funções entre usuários e administradores de sistemas, de forma a garantir a integridade e segurança dos dados armazenados.
93 O risco legal surge quando os procedimentos e rotinas desrespeitam o ordenamento jurídico. O monitoramento do risco legal é feito com a criação de mecanismos e procedimentos de análise e controle de contratos, acordos ou quaisquer outros documentos a que se obrigue juridicamente a própria EFPC e, eventualmente, sua contraparte.
94 A gestão do risco legal inclui, ainda, a correta valorização e o adequado provisionamento das contingências judiciais. Cabe aos dirigentes agir proativamente com o objetivo de resolver tempestivamente os conflitos existentes – entre estatutos, regulamentos e a legislação em vigor – e reduzir o valor da provisão contingencial.
A Resolução n° 13 recomenda que se elabore plano e cronograma de adequação aos princípios, às regras e às práticas de governança, gestão e controles internos, devidamente adaptados ao porte, complexidade e riscos inerentes ao plano de benefícios.
Nesse cenário de gerenciamento de riscos é recomendável que as EFPC tenham os seus Programas de Controle Interno estabelecendo cronograma de trabalho, construído a partir de eventos identificados e avaliados ponderando-se a probabilidade de ocorrência e sua consequência (gravidade).
O Manual da ABRAPP orienta:
Assim, destaca-se a necessidade de desenvolvimento de funções internas que permitam às entidades o monitoramento dos riscos aos quais estão submetidas, a partir de prévia definição dos níveis considerados aceitáveis de exposição. Além dessas, mostram-se importantes também atividades voltadas para a determinação e divulgação de responsabilidades e objetivos – individual ou departamental –, bem como focadas no zelo pela conformidade com normas, leis e padrões / procedimentos internos ou externos, tudo isso com o propósito de se mitigar as diversas vulnerabilidades às quais os Fundos de Pensão estão sujeitos.
Dentro dos macroprocessos e dos processos de uma Entidade, é possível no âmbito de um programa de controle dividir os seguintes grupos, entre outros possíveis:
- Administrativo: São macroprocessos e processos essenciais para a gestão efetiva da EFPC, que assegurem o suporte adequado aos processos de negócio e de governança. Estão relacionados à gestão dos recursos necessários para o desenvolvimento dos processos internos. Os produtos e serviços destes tipos de processos se caracterizam por terem como clientes, principalmente, elementos relacionados ao sistema corporativo da Fundação.
- Governança Corporativa: Macroprocessos e processos ligados à estratégia da Fundação. São processos gerenciais ou de informação e decisão, que estão diretamente relacionados à formulação de políticas e diretrizes para o estabelecimento e consecução de metas, bem como ao estabelecimento de métricas (indicadores de desempenho) e às formas de avaliação dos resultados alcançados pela Fundação.
- Previdenciário e de Investimento: Referem-se à essência do funcionamento da Fundação. São os macroprocessos e processos que caracterizam a atuação da EFPC e apoiam outros processos internos, gerando produtos/serviços para os clientes ou usuários.
Uma Matriz de Risco deve ser o resultado da ponderação entre a probabilidade de ocorrência do risco e sua consequência. Um programa de controle deve representar os critérios e objetivos de avaliação das áreas internas das EFPC, monitorando continuamente seus principais resultados, suas atividades e respectivos riscos.
Sobre o tema ensina o Manual de Controles Internos da Abrapp:
Todos os funcionários são responsáveis pelos controles internos por meio do adequado desempenho de suas atribuições e da imediata comunicação de falhas ou deficiências verificadas no funcionamento dos controles às chefias ou órgãos responsáveis pela solução do problema, que deverá ser prontamente providenciada.
O monitoramento se dá por meio de acompanhamentos sistemáticos, nos quais se avalia se os objetivos estão sendo alcançados, se os limites estabelecidos estão sendo cumpridos e se eventuais falhas estão sendo prontamente identificadas e corrigidas.
O desenvolvimento de uma cultura de controles internos e da gestão de riscos em todos os níveis hierárquicos é considerado uma boa prática no segmento de previdência complementar. É recomendável que se realize a mensuração da implantação e o grau de funcionamento dos controles internos da entidade, e para instrumentalizar esta mensuração pode ser útil uma Matriz de Controle constando as medidas já implantadas e a implantar, sua efetividade e seu nível de atuação (estratégico / institucional / tático / operacional).
Essa Matriz de Controle pode contemplar também os controles diretos aplicados pelas áreas técnicas nos processos e procedimentos relevantes sob a ótica do risco (impacto e probabilidade), bem como sua aferição pelas camadas de supervisão.
Esse trabalho específico de mensuração demanda uma avaliação direta nas áreas, inclusive uma auto avaliação, examinando suas rotinas, identificando os riscos e os respectivos controles aplicados diretamente pelas unidades e demais monitoramentos supervenientes, devendo-se levar em conta o custo/benefício de cada controle para evitar que o custo seja maior do que o benefício alcançado.
É importante que cada área estruture seus controles internos próprios a serem aplicados no desempenho das atividades, sejam por meio da adoção de rotinas, sistemas, relatórios ou procedimentos de verificação, necessitando reportar aos responsáveis os resultados desses controles.
Como boa prática gerencial e de controle é desejável a emissão de relatórios de atividades das áreas internas que descrevam com tempestividade e adequação as principais ações desempenhadas, os controles aplicados e os resultados obtidos.
Por fim, as ações de controle visam propor soluções para minimização de riscos, com ações corretivas e preventivas que visem fortalecer os sistemas de controles internos de todas as áreas, mantendo-se um programa permanente de avaliação e cuidando pela qualidade, tempestividade e adequação dos relatórios gerenciais das áreas internas.
Ferramenta tecnológica de gerenciamento de riscos
Uma ferramenta tecnológica tem o propósito de instrumentalizar e racionalizar os processos de controle e avaliação, constituindo uma parte importante de uma efetiva institucionalização da gestão de riscos na Entidade.
Um sistema tecnológico de gestão de riscos é um instrumento a ser utilizado por todas as áreas envolvidas de uma Fundação objetivando operacionalizar a avaliação dos riscos e controles internos, mediante identificação de eventos e resposta a questionários de avaliação, dentre outros métodos, assegurando transparência ao processo e segregação de papéis na avaliação e utilização pelos devidas áreas e órgãos estatutários.
Os sistemas abrangem a realização de ciclos de auto avaliação das áreas, processos e procedimentos, incluindo a identificação e avaliação de riscos; verificação da qualidade dos controles existentes para cada risco detectado em cada processo analisado; o acompanhamento de planos de ação para melhoria dos níveis de exposição a riscos, identificando responsáveis e datas; e o acompanhamento das atividades necessárias ao cumprimento de exigências.
Com a utilização de sistema procura-se obter uma visão estratégica da gestão de riscos, com redução de custos e esforços de mapeamentos; eliminação da ambiguidade da informação; documentação das áreas e processos de negócios; vinculação do risco e controle ao processo; gerenciamento de planos de ação e atividades; e disponibilização de relatórios gerenciais.
O resultado esperado, seja por intermédio de planos de ação, seja por outros instrumentos, é uma orientação de controles apropriados, dimensionamento de probabilidade e de impactos financeiros e não financeiros, e o alinhamento com as melhores práticas de gestão.
Os sistemas geralmente possuem funcionalidades básicas de controles internos e de gestão de riscos, podendo incluir o monitoramento de indicadores (financeiros ou de riscos) e acompanhamento de planos de ação, facilitando a captura de dados, o cálculo e a apresentação de informações gerenciais sobre a ocorrência dos eventos relacionados a cada categoria de risco.
Ainda é possível dispor de funcionalidade de avaliação periódica das atividades de controle; meios para a identificação de deficiências nos controles; condições para a definição de planos de ação para a correção de deficiências; tecnologia para documentar processos, objetivos de controle e atividades, e identificar falhas e avaliar a eficácia dos controles.
Em outra funcionalidade há a possibilidade de se desenvolver um repositório para as normas que afetam as atividades da Entidade, criando condições para que as atividades de compliance (cumprimento de regulamentos legais ou normas internas da Fundação) sejam coordenadas pela instância de controle, permitindo a clara identificação das áreas da Fundação responsáveis pela conformidade, bem como das atividades impactadas por esses regulamentos.