Supervisão Baseada em Risco da Previc: O Que Mudou na Postura do Supervisor e o Que Isso Exige da Entidade
A Previc opera, há alguns anos, em modelo de supervisão baseada em risco (SBR). Para muitas EFPCs, a expressão é familiar e o conceito vago. A diferença prática entre o que era esperado antes e o que é esperado agora ainda não está totalmente assimilada por parte significativa do setor.
A supervisão tradicional concentrava esforço em verificação documental: a política existe, o manual está atualizado, o relatório foi gerado, a aprovação foi registrada. A SBR mantém a exigência documental, mas adiciona uma camada que muda o nível da conversa: a verificação de eficácia.
Não basta que o controle exista. Importa quanto ele reduz a exposição. Não basta que a política seja aprovada. Importa que ela oriente decisão. Não basta que o relatório seja gerado. Importa que ele influencie ação.
Para a entidade, essa mudança tem três implicações concretas.
A primeira é a necessidade de evidência de funcionamento. Em uma fiscalização, a Previc passa a pedir registros que demonstrem o controle em ação. Quantas vezes foi acionado no período. Que decisões geraram. Que ajustes provocaram em processo subsequente. Documentação de aprovação não é mais suficiente. O supervisor quer ver o trilho operacional do controle.
A segunda é a integração entre gestão de risco e auditoria interna. A SBR avalia se o sistema da entidade é coerente. Não basta que cada peça funcione isoladamente. A área de riscos identifica e analisa, a primeira linha trata, a segunda linha desafia, a auditoria interna dá garantia. Quando o supervisor faz a chamada cruzada (pergunta para a auditoria sobre o que a área de risco mapeou, e vice-versa), ele está testando a coerência do sistema. Lacunas entre as áreas são lacunas que aparecem rápido nesse formato.
A terceira é a calibragem do plano de ação. Em modelo tradicional, o plano de ação respondia ponto a ponto a achados específicos. Em SBR, o supervisor avalia a entidade em uma matriz própria de risco, e o plano de ação esperado é coerente com essa matriz. Riscos classificados como mais severos pela Previc precisam de tratamento prioritário. Riscos classificados como menos severos podem ter tratamento programado em horizonte mais longo. Misturar essa lógica é o que provoca, com frequência, descompasso entre o plano de ação da entidade e o que o supervisor considera adequado.
Há também um efeito menos discutido da SBR: ela aumenta o peso da auditoria interna como fonte de informação para o supervisor. Quando a Previc avalia o sistema da entidade, parte significativa do julgamento sobre eficácia vem dos relatórios da auditoria interna. Auditoria interna que se limita a verificar conformidade documental entrega um insumo de valor limitado. Auditoria interna que avalia eficácia, calibrada pelo apetite ao risco, entrega exatamente o tipo de informação que o supervisor precisa.
O Conselho Deliberativo tem papel específico nesse novo modelo. A Previc avalia se o colegiado, de fato, exerce supervisão estratégica e tem postura ativa frente a riscos relevantes. Atas que registram apenas aprovação, sem evidência de discussão, são sinal vermelho. Atas que registram discussão, divergência e decisão fundamentada são sinal de governança em funcionamento.
Há uma sequência natural de adaptação para a entidade que ainda não calibrou totalmente a operação ao novo modelo. Primeiro, mapear se cada controle relevante tem trilho operacional capaz de demonstrar uso. Segundo, garantir que o ciclo de gestão de risco esteja funcionando como ciclo, não como sequência de tarefas isoladas. Terceiro, fortalecer a auditoria interna na avaliação de eficácia. Quarto, garantir que as atas do Conselho registrem o que efetivamente acontece nas reuniões.
A SBR não é uma exigência adicional de papelada. É uma exigência de coerência. Entidades que organizam seu sistema com essa coerência tendem a passar pela fiscalização com tranquilidade. Entidades que tratam SBR como mais uma sigla a ser absorvida tendem a se surpreender com o nível de detalhamento que o supervisor passa a exigir.
Esta é a décima segunda publicação da série sobre Gestão de Riscos em EFPCs. Na próxima semana: o que efetivamente funciona ao terceirizar auditoria interna sem perder o controle, com base em prática real de mercado.
