Artigo
02/05/2024
Atualizado em 18/04/2026

Auditoria de Riscos Operacionais

Aborda fundamentos, importância e práticas para gestão eficiente de riscos operacionais, incluindo ativos, pessoas, processos e tecnologia, visando decisões estratégicas e conformidade.

Imagem de capa do artigo

Hoje a conversa será sobre o tema da auditoria em riscos operacionais, aonde pretendo falar sobre os fundamentos, a sua importância e as melhores práticas recomendadas para uma gestão de riscos operacionais eficiente.

Começando dizendo de que o risco operacional é definido como as incertezas que envolvem ativos físicos, pessoas, processos e a utilização de tecnologia nas atividades diárias e na prestação de serviços de uma empresa, aonde este tipo de risco pode resultar tanto em consequências positivas quanto negativas, incluindo a gestão de incertezas e a ocorrência de eventos indesejáveis. Tais objetivos não se limitam a metas financeiras e empresariais, estendendo-se a áreas como responsabilidade social e sustentabilidade.

Acredito que a relevância do risco operacional aumentou significativamente neste momento atual de mudanças constantes e complexidade crescente, onde a tecnologia desempenha um papel cada vez mais importante nas empresas, então a gestão eficaz de riscos operacionais não é apenas uma questão de cumprimento normativo, mas um elemento estratégico que proporciona uma base sólida para a tomada de decisões. Assim os riscos são associados a incertezas relacionadas a desenvolvimentos futuros, que podem ser melhores ou piores do que o planejado.

As quatro dimensões principais do risco operacional são:

  • Ativos Físicos: A proteção e gestão eficaz dos ativos físicos são importantes, pois falhas ou danos podem resultar em interrupções significativas das operações.
  • Pessoas: Os riscos associados ao capital humano, incluindo saúde, segurança e desenvolvimento profissional, são relevantes para manter a continuidade e a eficiência operacional.
  • Organização: A estrutura organizacional e os processos devem ser projetados para minimizar vulnerabilidades e maximizar a eficácia operacional.
  • Tecnologia: A dependência de tecnologias, tanto tradicionais quanto emergentes (como IA, IoT e blockchain), implica riscos que devem ser geridos para evitar disrupções e explorar potenciais vantagens competitivas.

Essas dimensões estão frequentemente interligadas e a falha em uma pode afetar todas as outras, destacando a importância de uma abordagem integrada à gestão de riscos operacionais.

Os riscos operacionais também são influenciados por eventos externos, que incluem mudanças tecnológicas, tendências de mercado, exigências legais e expectativas políticas, que podem alterar drasticamente o ambiente operacional, exigindo respostas adaptativas para gerenciar tanto as ameaças quanto as oportunidades emergentes.

As incertezas são aspectos particulares do risco operacional que se referem à falta de informação precisa ou a dados não especificados que podem afetar a tomada de decisão. Já as possibilidades representam potenciais não explorados que, quando realizados, oferecem vantagens significativas para a empresa.

Vários fatores são tipicamente encontrados no contexto da gestão de riscos operacionais como:

  • Tecnologia: A adoção e integração de novas tecnologias podem tanto otimizar operações quanto introduzir vulnerabilidades.
  • Legislação: Mudanças regulatórias exigem adaptações contínuas para garantir conformidade.
  • Processos e Estruturas de Dados: A complexidade crescente dos sistemas de dados e processos automatizados requer uma gestão sofisticada.
  • Ambiente Competitivo: Fusões e aquisições, bem como reorganizações internas, alteram o cenário competitivo e operacional.
  • Ameaças Externas: Fatores como pandemias e cibercrime apresentam riscos significativos que precisam ser gerenciados proativamente.

Para enfrentar esses desafios as empresas devem se concentrar em aumentar a qualidade operacional, melhorar o gerenciamento e o controle das interfaces e das transferências de dados, reduzir a probabilidade e as consequências de resultados indesejados, e atender eficazmente aos requisitos regulatórios e às expectativas.

A gestão de riscos operacionais oferece suporte essencial para a tomada de decisões em todos os níveis da organização. Ao definir e compreender os riscos, tanto ameaças quanto oportunidades, os gestores podem tomar decisões mais informadas e alinhadas com os objetivos da empresa. Essa prática ajuda a identificar áreas que podem ser aprimoradas por meio de automação ou mudanças organizacionais, além de aumentar a consciência sobre os fatores que contribuem para o alcance dos objetivos e o conhecimento sobre o que pode dar errado e como controlar esses aspectos.

Os riscos operacionais abordam a incerteza associada a desenvolvimentos futuros que podem ter resultados melhores ou piores do que o planejado. O gerenciamento eficaz desses riscos permite melhorar o controle e a aplicabilidade das operações, convertendo potenciais desvantagens em vantagens competitivas e operacionais.

A função de gestão de riscos operacionais deve proporcionar uma abordagem sistemática e objetiva para identificar, analisar e avaliar riscos, além de projetar e implementar atividades que permitam gerir esses riscos dentro de limites de risco definidos, por isto que é importante que a gestão e os "donos" de processos tenham o conhecimento para fazer a gestão destes riscos dentro de suas áreas de responsabilidade.

Lembro da necessidade de um processo sistemático e objetivo para identificar, analisar e avaliar riscos, bem como para projetar e implementar atividades que permitam gerenciar esses riscos dentro dos limites de risco definidos.

Importante ter uma política para o tema, que deve incluir a definição de metas para a gestão de riscos operacionais, como reduzir custos, melhorar a qualidade ao longo do tempo e aprimorar as decisões. Também deve definir os papéis, mandatos e garantir a autoridade da função. Assim como um processo definido, o que facilita a coordenação interna e a definição de atividades planejadas, sublinhando requisitos detalhados em áreas como conhecimento, capacidade e ferramentas de sistema.

Em grandes empresas importante ter uma área separada para a gestão de riscos operacionais, onde o gerente e a equipe se reportam ao CRO, mas em empresas menores, a gestão de riscos operacionais pode ser parte de outra função, como controle financeiro, gestão operacional ou de qualidade.

O modelo para gerenciar riscos operacionais envolve um plano de ação detalhado que aborda especificamente os riscos inerentes às operações diárias de uma empresa. Este plano de ação não é apenas uma ferramenta de gestão; ele é um componente crítico que contribui diretamente para a probabilidade de alcançar os objetivos organizacionais e resultados positivos.

O estabelecimento de um plano de ação começa com a definição das atividades que são consideradas prioritárias para a gestão de riscos operacionais. Esta etapa requer uma identificação cuidadosa, descrição e avaliação dos riscos operacionais mais significativos que podem afetar a empresa tanto positiva quanto negativamente.

Para efetivamente estabelecer um plano de ação é fundamental:

  • Identificar eventos ou impactos potenciais: Relacionar esses eventos com pessoas, processos ou sistemas que possam influenciar os objetivos da empresa.
  • Quantificar os Riscos: Fundamental tentar quantificar os riscos em termos monetários, o que inclui avaliar os custos da mitigação, para que seja possível priorizar esforços e avaliar o custo-benefício das atividades propostas.
  • Decisão de Mitigar: Determinar quais operações da empresa devem ser terceirizadas ou seguradas, baseando-se na capacidade da empresa de suportar esses riscos.

A documentação e formalização também desempenha um papel importante, servindo como prova visual de uma abordagem estruturada à gestão de riscos. Embora a documentação em si não seja o objetivo final, ela é essencial, especialmente em áreas de conformidade onde existem requisitos legais específicos para a demonstração de avaliações e suposições de forma sistemática e estruturada.

O conhecimento é o critério de sucesso mais importante nesta fase. Compreender profundamente a própria empresa, incluindo a paisagem de ameaças atual e o valor gerado pelos processos principais e de suporte, é essencial para:

  • Articular claramente os efeitos potenciais dos eventos ou condições identificados.
  • Priorizar esses eventos ou condições.
  • Avaliar como a empresa pode tratar realisticamente os eventos ou condições prioritários, assumindo capacidades concretas.
  • Avaliar se os processos e controles podem ser melhorados, como por meio de simplificação ou automação.

As atividades identificadas devem ser avaliadas e acordadas, considerando tanto a segurança quanto a eficiência de custos e qualidade. Uma análise de custo-benefício bem fundamentada é importante para determinar a viabilidade e a eficácia das ações propostas. Estabelecer e monitorar indicadores-chave de desempenho (KPIs) relevantes ajuda a avaliar o impacto das ações propostas e a garantir que os investimentos sejam justificados pelo retorno esperado.

O resultado desta primeira etapa será um conjunto de ações bem refletidas, priorizadas e orientadas para objetivos que a empresa acredita que terão um resultado positivo com um nível aceitável de investimento. Uma armadilha comum é a criação de descrições de risco apressadas e imprecisas, que podem levar a um plano de ação irrelevante ou ineficaz. Além disso, é essencial distinguir entre riscos externos emergentes e os mais conhecidos dentro dos processos internos e sistemas da empresa, tratando cada um de acordo com sua natureza e impacto potencial.

A fase de implementação do plano de ação é crítica, pois é quando as estratégias definidas são colocadas em prática, e podemos definir como uma gestão de riscos ativa, ou seja, envolvendo a execução concreta das ações selecionadas para mitigar os riscos operacionais identificados.

Os critérios de sucesso nesta fase incluem:

  • Propriedade Definida das Ações: Cada ação deve ter um responsável nomeado, que possui a competência, autoridade e capacidade necessárias para garantir o progresso adequado, e este responsável assegura que as ações sob sua gestão avancem conforme o planejado.
  • Mandato Claro e Conciso: Um mandato bem definido reduz a possibilidade de dúvidas, responsabilidades não claras e conflitos desnecessários na execução das atividades do plano de ação, por isto importante que o mandato inclua definições claras de papéis, responsabilidades e autoridade conforme delineado na política geral da empresa.

Para uma implementação eficaz os responsáveis pelas ações devem:

  • Definir e Garantir a Qualidade das Suposições: Assegurar que todas as premissas para a entrega bem-sucedida da ação estejam claras e que existam recursos humanos adequados, competências e orçamento financeiro.
  • Definir os Atributos da Ação na Conclusão: Especificar o que se espera que a ação alcance ao ser concluída, estabelecendo critérios claros de sucesso.
  • Esclarecer e Concordar com o Plano/Cronograma: Incluir a empresa e quaisquer dependências que possam ser relevantes para garantir que todos os envolvidos estejam alinhados e cientes dos prazos.
  • Definir um Limite de Tempo para Conclusão: Estabelecer prazos claros para a finalização das ações para manter o plano em trilha.
  • Detalhar Quem Confirmará ou Aprovará a Ação Concluída: Identificar quem é responsável por validar e aprovar as ações uma vez que elas estejam completas.

O resultado desta etapa será a implementação conforme planejado de todas as ações acordadas, ou alternativamente, o atraso ou término de ações baseado em decisões tomadas durante a fase de design/desenvolvimento, reavaliando a relevância ou o esforço necessário para a conclusão das mesmas.

Abaixo algumas armadilhas comuns desta fase:

  • Falta de Reconhecimento ou Priorização da Propriedade: Não definir claramente a propriedade e a responsabilidade pode levar à falta de realismo nos planos estabelecidos e falhas na monitorização da entrega.
  • Subestimação da Importância de Discutir, Aprovar e Documentar Pré-requisitos: Quando as ações necessárias não são discutidas e aprovadas adequadamente, pode haver uma falta de recursos atribuídos para a execução, resultando em conflitos de recursos e prioridades com outras atividades gerenciais.

A implementação eficaz requer uma comunicação clara, alocação adequada de recursos e uma gestão de expectativas precisa para evitar esses obstáculos e garantir o sucesso do plano de gestão de riscos operacionais.

O monitoramento envolve a supervisão do progresso das ações implementadas e a avaliação contínua do perfil de risco operacional da empresa. Isso permite ajustes necessários e a reavaliação das estratégias de mitigação de riscos.

A última fase do modelo é avaliar e ajustar o plano de ação com base nos resultados do monitoramento e das mudanças no ambiente operacional e de negócios da empresa, até para assegurar que a gestão de riscos operacionais continue alinhada com as metas organizacionais e as condições de mercado em constante mudança. Esta fase envolve uma análise crítica dos resultados obtidos até o momento e a adequação das estratégias implementadas.

O critério de sucesso mais importante nesta fase é garantir que a empresa tenha uma base sólida para o desenvolvimento futuro, utilizando as informações coletadas durante as etapas de monitoramento e relatório. A qualidade e a pertinência do plano de ação devem ser confirmadas ou revisadas, com ajustes necessários para manter ou melhorar a eficácia da gestão de riscos operacionais.

A avaliação do plano de ação deve incluir uma série de verificações críticas para assegurar que cada elemento do plano continue relevante e eficaz, aonde as questões chave a considerar são:

  • Mudanças na Base do Plano de Ação: Importante determinar se a fundação sobre a qual o plano de ação foi estabelecido mudou, o que pode incluir mudanças no ambiente de negócios, novas tecnologias, alterações regulatórias ou mudanças nas estratégias corporativas. Se mudanças significativas foram identificadas, é necessário avaliar como elas afetam a descrição dos riscos operacionais e ajustar o plano conforme necessário.
  • Relevância dos Eventos Futuros Potenciais: Reavaliar se os eventos ou condições de risco previamente identificados ainda são pertinentes. Novos riscos podem ter surgido, enquanto outros podem ter se tornado obsoletos ou menos críticos, requerendo uma atualização das prioridades do plano.
  • Correção das Priorizações: Verificar se a priorização dos eventos ou condições de risco ainda é apropriada. Ajustes podem ser necessários para refletir melhor as atuais prioridades estratégicas e capacidades organizacionais.
  • Validade das Suposições: Revisar as suposições feitas sobre a capacidade da organização de lidar com os riscos priorizados. Mudanças nas capacidades internas ou no ambiente externo podem tornar algumas suposições obsoletas ou inadequadas.

Com base na reavaliação, o plano de ação pode necessitar de ajustes significativos para endereçar novos riscos, descartar ações que não são mais relevantes e reforçar as estratégias que estão funcionando bem. Esse processo de ajuste não é um evento isolado, mas uma parte contínua do ciclo de gestão de riscos operacionais.

Após a avaliação e os ajustes, ocorre uma transição suave de volta à primeira etapa de estabelecimento do plano de ação. Essa abordagem cíclica assegura que o gerenciamento de riscos operacionais seja dinâmico e adaptável, capaz de responder efetivamente às mudanças internas e externas. A renovação do plano de ação reflete um novo perfil de status e riscos, baseado nas informações atualizadas e análises realizadas durante esta fase de avaliação.

Essa etapa final garante que o plano de ação de riscos operacionais não apenas permaneça relevante, mas também continue a evoluir em resposta às mudanças nas condições de operação e objetivos estratégicos da empresa.

Como podemos ver acima, a gestão de riscos operacionais é um componente crítico da governança corporativa, que não só ajuda a minimizar perdas mas também maximiza as oportunidades de negócio.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante