5 sinais de que sua gestão regulatória está operando no limite

Por que os sinais aparecem antes dos problemas

Risco regulatório tem uma característica que o torna especialmente traiçoeiro: ele raramente se manifesta de forma abrupta. Não há um dia específico em que tudo desmorona. O que existe é uma acumulação silenciosa de pequenas fragilidades — processos que dependem de uma pessoa só, planilhas que crescem além do controlável, relatórios que se tornam corridas contra o relógio — até que o sistema inteiro atinge seu limite de tolerância.

A diferença entre risco visível e risco latente é que o primeiro já produziu um evento — uma notificação do BACEN, um relatório retificado, uma inconsistência identificada em supervisão. O segundo ainda não produziu, mas está presente na estrutura dos processos. É o risco que existia antes do evento, mas que ninguém enxergava porque os controles pareciam funcionar.

Gestores experientes são surpreendidos por esse tipo de risco justamente porque têm anos de prática construindo soluções improvisadas que funcionam — até o momento em que param de funcionar. A experiência, nesse caso, pode ser um fator de ilusão: o fato de ter funcionado até hoje não é garantia de que funcionará amanhã.

Os cinco sinais a seguir não são teóricos. Eles aparecem, com frequência impressionante, em instituições financeiras de Segmento 5 que operam com controles construídos organicamente ao longo do tempo. Se sua IF apresenta dois ou mais desses sinais simultaneamente, a exposição regulatória é real.

Sinal 1: Planilhas como principal ferramenta de controle regulatório

Planilhas são ferramentas extraordinárias para análises pontuais, modelagens e visualizações ad hoc. Para controle regulatório contínuo, elas representam um risco estrutural.

O problema não está na planilha em si — está no que ela representa: um processo construído manualmente, que depende da disciplina de quem a mantém, que não tem fonte de dados integrada, e que pode ser alterado — intencionalmente ou não — sem nenhum registro.

Na prática, o que se vê com frequência em IFs de S5 é um conjunto de planilhas que foram crescendo ao longo dos anos. A que começou simples agora tem dezenas de abas, fórmulas que referenciam outras fórmulas, parâmetros que precisam ser atualizados manualmente a cada mudança regulatória. E o pior: há sempre uma versão principal que "funciona" — e várias versões antigas que continuam circulando por e-mail.

O risco de versões desatualizadas é especialmente grave: uma decisão tomada com base em uma planilha desatualizada pode estar fundamentada em parâmetros que já não refletem a realidade da instituição. E se existe uma fórmula quebrada em uma aba intermediária, o erro pode propagar por toda a planilha sem ser detectado até que alguém, por acaso, cruze os números com outra fonte.

Há também o componente de dependência humana: quem sabe como aquela planilha funciona? Na maioria dos casos, é uma pessoa — às vezes duas. Quando essa pessoa sai, a planilha vira um artefato que ninguém entende completamente. Esse é o sinal mais comum de que o controle regulatório está assentado sobre uma base frágil.

Sinal 2: Não saber o IAC atual sem fazer um cálculo manual

O Índice de Adequação de Capital (IAC) é o principal indicador da saúde prudencial de uma IF. Ele mede a relação entre o Patrimônio de Referência e os Ativos Ponderados pelo Risco — e qualquer variação relevante nessa relação precisa ser percebida antes que se transforme em descumprimento.

Se o gestor responsável precisa de 30 minutos — ou de um dia — para responder onde está o IAC da instituição hoje, isso significa que a visibilidade é pontual, não contínua. E visibilidade pontual é, na prática, ausência de monitoramento.

Em uma gestão regulatória adequada, o IAC é um número que está disponível a qualquer momento, sem necessidade de cálculo manual, atualizado com os dados mais recentes da operação. Não porque o BACEN vá ligar e pedir essa informação agora — mas porque uma decisão de crédito aprovada hoje pode alterar esse número de forma relevante, e o gestor precisa saber disso antes de decidir, não depois.

Quando o IAC só é conhecido no momento de preparar o relatório mensal, a gestão está operando de forma reativa: descobre a posição quando já não há muito a fazer. O monitoramento contínuo — não o cálculo eventual — é o que separa uma gestão efetiva de uma gestão que apenas cumpre o protocolo de entrega.

Sinal 3: Relatórios prudenciais montados às vésperas da entrega

A corrida de fim de mês é um fenômeno tão comum em IFs de S5 que virou parte aceita da rotina. A equipe sabe que vai ser difícil, começa a consolidar dados nos últimos dias, descobre inconsistências que precisam ser reconciliadas, e entrega no prazo — ou quase. No mês seguinte, o ciclo se repete.

O problema é múltiplo. Primeiro: erros acontecem sob pressão de prazo. Um dado importado com a data errada, uma aba que não foi atualizada, um total que não bate com o sistema de origem — e que só é descoberto depois que o relatório já foi enviado. Segundo: a corrida de fim de mês é sintoma de que não há processo contínuo. Se os dados fossem alimentados de forma constante ao longo do mês, o relatório seria apenas uma formalidade de exportação — não uma operação de guerra.

Do ponto de vista do BACEN, essa dinâmica não é invisível. Quando uma instituição entrega relatórios com retificações frequentes, ou quando as informações apresentam inconsistências internas, isso é registrado no histórico da IF e influencia o perfil de supervisão. O regulador não apenas verifica se os números estão corretos — ele avalia se o processo que gerou esses números é confiável.

Uma IF que monta seus relatórios na última hora está comunicando, implicitamente, que não tem visibilidade contínua sobre sua própria posição regulatória. Esse é um sinal claro de que o processo precisa de reestruturação — não de mais esforço.

Sinal 4: Controle dependente de uma ou duas pessoas específicas

Em equipes enxutas, é natural que o conhecimento se concentre. Uma pessoa aprende como funciona o processo regulatório, como alimentar as planilhas, quais parâmetros precisam ser atualizados e quando. Esse conhecimento vai se tornando implícito — não está documentado, não está sistematizado, está na cabeça de quem executa.

Esse é o risco de concentração de conhecimento, e ele é subestimado com frequência porque parece gerenciável enquanto a pessoa está lá. O problema se torna crítico quando ela sai — seja por demissão, mudança de função, doença ou simplesmente férias.

A questão não é a competência de quem executa. É que o processo não deve depender de competência individual para funcionar — deve depender de infraestrutura. Quando a infraestrutura é adequada, qualquer pessoa capacitada pode operar o controle regulatório, porque o processo está no sistema, não na memória de alguém.

Na prática, o teste mais revelador é simples: se a pessoa responsável pela gestão regulatória ficasse afastada por duas semanas amanhã, a IF conseguiria gerar seus controles e relatórios normalmente? Se a resposta for não — ou se a resposta for "dependeria de muito esforço" — a concentração de conhecimento é um risco operacional real que precisa ser endereçado.

Sinal 5: Ausência de trilha de auditoria nas aprovações

O BACEN não quer apenas ver os números dos relatórios. Quer entender o processo que gerou esses números: quem tomou quais decisões, quando, com base em quê. Essa é a lógica da trilha de auditoria — e sua ausência é um dos sinais mais sérios de fragilidade de governança.

Em uma IF que opera sem trilha de auditoria formal, as decisões relevantes acontecem, mas não ficam registradas de forma rastreável. Uma aprovação de crédito que impactou o RWA: quem aprovou? Com qual informação disponível sobre a posição de capital no momento da aprovação? Uma mudança de parâmetro regulatório: quando foi feita? Por quem? Com qual justificativa?

Sem registro formal dessas decisões, a IF não consegue provar que o processo foi adequado — mesmo que tenha sido. Em uma supervisão do BACEN, a ausência de trilha não é interpretada como irrelevante. É interpretada como ausência de controle. A diferença entre "não temos registro" e "não temos controle" é pequena do ponto de vista regulatório.

A trilha de auditoria também tem um valor interno: permite que a gestão entenda retrospectivamente por que determinados indicadores variaram, quais decisões contribuíram para um determinado resultado, e onde estão os pontos de melhoria do processo. Sem essa rastreabilidade, a gestão opera sem memória — e gestão sem memória é gestão que repete os mesmos erros.

"O BACEN não avalia apenas o que está nos relatórios. Avalia se sua instituição tem condições de gerar relatórios confiáveis — sempre, não apenas no fechamento."

O que fazer com esses sinais

Reconhecer esses sinais é o primeiro passo. O segundo é entender que cada um deles tem uma solução estrutural — não um paliativo de esforço extra.

Planilhas como principal ferramenta exigem migração para uma plataforma que integre dados de forma automatizada e aplique os cálculos regulatórios sem intervenção manual. Não é questão de trabalhar mais dentro da planilha — é questão de sair dela.

Falta de visibilidade contínua do IAC exige que os indicadores sejam calculados em tempo real, alimentados automaticamente pelos dados da operação — não computados manualmente quando alguém se lembra de atualizar.

Relatórios montados às vésperas exigem que o processo de geração de relatórios seja contínuo, com dados consolidados ao longo do mês, e que a entrega seja o último passo de um processo já concluído — não o início de uma corrida.

Concentração de conhecimento exige que os processos regulatórios estejam sistematizados em ferramentas que qualquer profissional capacitado possa operar, independentemente de quem os construiu originalmente.

Ausência de trilha de auditoria exige que todas as aprovações, alterações e decisões relevantes sejam registradas automaticamente, com data, usuário e contexto — não como um processo adicional, mas como parte natural do fluxo de trabalho.

Em todos os casos, a solução não passa por mais esforço humano sobre processos frágeis. Passa por substituir os processos frágeis por infraestrutura adequada.

Conclusão: reconhecer é um ato de gestão responsável

Identificar que sua IF opera com um ou mais desses sinais não é motivo de pânico — é motivo de ação. A maioria das IFs de Segmento 5 apresenta ao menos dois ou três desses sinais, simplesmente porque não houve investimento em infraestrutura regulatória dedicada. O problema não é incompetência — é ausência de ferramenta adequada.

O risco está em não reconhecer esses sinais. Uma IF que ignora que seu controle regulatório está assentado sobre planilhas frágeis, que só conhece seu IAC quando precisa entregar um relatório, que não tem trilha de auditoria — essa IF está apostando que o BACEN não chegará antes que o problema se materialize.

Essa é uma aposta que, eventualmente, será perdida. E o custo de perder não é apenas financeiro — é reputacional, operacional e, em casos extremos, pode envolver restrições ao funcionamento da instituição.

A boa notícia é que cada um desses sinais tem solução. E a solução começa com a decisão de parar de gerenciar risco regulatório com ferramentas que não foram feitas para isso.