Artigo
25/08/2023

Auto Avaliação de Riscos de Controles (RCSA): qual a receita ideal?

Explica os cinco fatores críticos para uma auto avaliação de riscos e controles (RCSA) eficiente na gestão de riscos operacionais.

Avatar Victor Machado

Registros selecionados

Imagem de capa do artigo

Na semana passada li uma publicação interessantíssima do mestre Luiz Henrique Lobo sobre a importância da integração dos riscos de compliance dentro do processo de Auto Avaliação de Riscos e Controles (ou Risk and Controls Self Assessment – RCSA), normalmente executado pelo time de risco operacional (o link está no final dessa publicação). Essa publicação me inspirou a escrever o meu artigo hoje. Na minha opinião, a Auto Avaliação de Riscos e Controles (RCSA) é uma das ferramentas mais poderosas dentro do processo de gestão de riscos. Um RCSA bem executado pode produzir vários resultados valiosos para a organização, como por exemplo:

  • Conscientização aprimorada e gestão de riscos proativa: em um processo de RCSA, as partes interessadas obtêm uma compreensão mais profunda dos riscos da organização, incluindo o seu potencial impacto e probabilidade. Esta maior consciência ajuda a identificar riscos emergentes e fraquezas de controle, permitindo que ações corretivas sejam tomadas antes que os problemas se transformem em problemas significativos.
  • Identificação dos principais riscos e priorização consistente: o RSCA ajuda a identificar e priorizar os principais riscos que têm impacto mais significativo nos objetivos da organização, permitindo esforços concentrados na gestão de riscos de alta prioridade. Além disso, garante consistência na priorização de riscos em diferentes departamentos e processos.
  • Estratégias aprimoradas de resposta a riscos: ao avaliar os riscos e controles, a organização pode desenvolver estratégias de resposta aos riscos mais direcionadas e eficazes. Isto pode envolver o reforço dos controles existentes, a introdução de novos ou a aceitação de certos riscos.
  • Tomada de decisão informada: o RSCA fornece à gestão informações relevantes para a tomada de decisões sobre mitigação de riscos e alocação de recursos. Isso garante que as decisões estejam alinhadas com a tolerância ao risco e os objetivos estratégicos da organização.

Porém, apesar de serem amplamente utilizados por muitas empresas no setor de serviços financeiros, a avaliação do valor da execução de RCSAs muitas vezes gera uma resposta mista nas organizações, não apenas por parte das partes avaliadas (1ª Linha de Defesa), mas também dos próprios profissionais envolvidos em sua facilitação (2ª Linha de Defesa). Muitos ainda questionam se o processo traz algum benefício, enquanto críticos sugerem que os RCSAs são uma perda de tempo. Um estudo das práticas da indústria publicado pela Operational Riskdata eXchange Association (ORX) em 2020 (o link está no final dessa publicação), refletiu a visão de que os RCSAs eram vistos como não entregando valor suficiente e percebidos como um exercício para “cumprir tabela”, em vez de influenciar verdadeiramente as decisões de negócios. O estudo mostra a percepção de que o processo muitas vezes “não influencia suficientemente as decisões de negócios” e “não permite que as instituições sejam tão proativas na gestão de risco como pretendido.”

No atual estágio de evolução da disciplina de gestão de riscos operacionais, é razoável acreditar que as empresas tenham desenvolvido procedimentos detalhados, modelos predefinidos para o que precisa ser capturado em um software ou solução de planilha, e uma biblioteca de riscos e controles comumente formulados. Será que a metodologia se tornou demasiado prescritiva e que o esforço envolvido no processo superou o valor acrescentado do negócio?

Na minha opinião, não é isso. O que realmente ocorre é que muitos processos de RCSA não incluem os cinco fatores essenciais de sucesso para a sua execução, ou como eu gosto de chamar, os cinco ingredientes essenciais da receita de um RCSA eficiente. São eles:

  1. Envolvimento pessoal e significativo da alta gestão:

    O RCSA é um investimento na compreensão e melhoria do ambiente de controle para evitar que riscos potenciais se materializem no futuro. Portanto, é essencial ter a alta gestão, a qual em última análise é a responsável pelas falhas, totalmente envolvida no processo e totalmente familiarizada com a proposta de valor e com o compromisso de tempo necessário.

  2. Elevado grau de preparação prévia:

    Antes de iniciar o processo de RCSA, o profissional de risco deve ter formado a sua própria visão sobre os riscos que espera que surjam, com base na sua compreensão do negócio e do seu ambiente. Um pacote de pré-leitura com informação complementar é uma ajuda essencial para a avaliação, incluindo:

    • Estratégia e plano de negócios, finanças, atas de reuniões do comitê de governança, programas planejados de mudanças materiais.
    • Dados de risco operacional, incluindo um histórico de eventos de risco operacional, principais indicadores de risco e resultados de RCSAs anteriores, se existirem.
    • Resultados de outras disciplinas de controle, como por exemplo, avaliações de compliance e relatórios de auditoria interna.
    • Dados de fontes externas, incluindo dados de perdas externas de empresas pares, informações sobre o cenário regulatório e áreas prioritárias para reguladores.
  3. Facilitador especializado:

    O RCSA precisa ser facilitado por um indivíduo experiente. Para fornecer o nível de apoio necessário, o time de riscos envolvido no processo deve ter uma vasta experiência não só na disciplina de risco em si, mas também ter competências de softskills como facilitação e negociação. Caso contrário, pode-se chegar a uma situação em que nem os facilitadores nem os responsáveis pelas áreas auto avaliadas sabem realmente o que estão fazendo.

  4. Racionalização do esforço:

    Se o processo de RSCA não for adequado à sua finalidade, podem acabar surgindo centenas e, por vezes, milhares de riscos – enfatizando a quantidade em detrimento da qualidade e conduzindo rapidamente à fadiga organizacional. Embora não exista um número padrão, um bom e efetivo RCSA provavelmente gerará uma gama de 10 a 30 riscos, com no máximo três controles-chave por risco. Nem todos os riscos precisam de ser registrados. Lembre-se: o foco deve estar nos itens materiais. É uma boa prática incluir esta orientação na avaliação, por exemplo, recomendando a captura apenas dos riscos inerentes importantes e significativos e a eliminação de entradas menos importantes.

  5. Definição de medidas de sucesso do processo:

    A falta de resultados tangíveis leva a questões sobre o valor do RCSA, e deve ser feito um grande esforço para obter ações e próximos passos claros e bem formulados. Portanto, além da atestação do executivo proprietário do processo auto avaliado de que o RCSA reflete de forma verdadeira o perfil de risco / controle de sua respectiva área e da confirmação dos planos de ação e próximos passos, para apoiar a proposta de valor do RCSA é necessário desenvolver medidas específicas de sucesso do processo, como por exemplo:

    • RCSA como motor de mudança: monitoramento das ações emanadas do RCSA, idealmente com o valor monetário de quaisquer projetos de melhoria iniciados como resultado do programa.
    • RCSA como impulsionador da transparência em torno do ambiente de risco e controle: o RCSA deve minimizar surpresas em revisões subsequentes de auditoria interna ou externa, uma vez que os riscos materiais já são conhecidos e abordados. Em vista disso, o número de riscos significativos novos ou desconhecidos identificados pela auditoria interna (talvez como uma porcentagem do número total de riscos) pode ser usado como uma medida tangível da eficácia do RCSA.

Em última análise, o time de risco operacional é em grande parte responsável pelo sucesso (ou fracasso) do processo de RCSA, e deve garantir que os cinco ingredientes acima estejam efetivamente presentes durante a sua execução. O departamento de risco operacional é responsável pelo desenvolvimento da abordagem e metodologia e pela educação das partes interessadas sobre o processo e os benefícios esperados, além disso, também deve estar familiarizado com os processos da área avaliada, dominar habilidades de facilitação e fornecer a supervisão / desafio sobre se o resultado representa corretamente o ambiente de riscos e controles da área avaliada.

Como proprietárias dos riscos e dos controles, as unidades de negócio da linha da frente e as funções de suporte (1ª linha de defesa) são responsáveis pela identificação e gestão robustas dos riscos. É benéfico para eles, portanto, garantir que o exercício seja levado a sério e que as partes interessadas certas estejam à mesa para que o RCSA gere resultados significativos, incluindo o desenvolvimento de planos de ação para endereçar controles ineficientes e o seu acompanhamento até à resolução.

Artigo do Luiz Henrique Lobo : https://www.linkedin.com/posts/luizlobo_riscooperacional-compliance-controlesinternos-activity-7099013633644371968-jGB2?utm_source=share&utm_medium=member_desktop

Optimizing Risk and Control Self-Assessment - Operational Riskdata eXchange Association (ORX), 2020: managingrisktogether.orx.org/sites/default/files/public/downloads/2020/01/orx_rcsa_practice_benchmark_summary_report.pdf (arquivado em https://perma.cc/8G3N-2HNG)

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

O que é a Auto Avaliação de Riscos e Controles (RCSA)?
A Auto Avaliação de Riscos e Controles, conhecida pela sigla RCSA (do inglês Risk and Controls Self Assessment), é uma ferramenta utilizada no processo de gestão de riscos.
Qual é a relevância atribuída à integração dos riscos de conformidade (<em>compliance</em>) no processo de Auto Avaliação de Riscos e Controles (RCSA)?
A relevância da integração dos riscos de conformidade (compliance) no processo de Auto Avaliação de Riscos e Controles (RCSA) é destacada pela menção a uma publicação de Luiz Henrique Lobo sobre o tema. Essa publicação é citada como fonte de inspiração, indicando a importância do assunto, embora não sejam fornecidos detalhes específicos sobre como essa integração deve ocorrer ou seus impactos diretos.
Quais são alguns dos benefícios que um processo de Auto Avaliação de Riscos e Controles (RCSA) bem executado pode trazer para uma organização?
Um processo de Auto Avaliação de Riscos e Controles (RCSA) bem executado pode trazer diversos benefícios para uma organização. Entre eles, destacam-se:Primeiramente, promove uma conscientização aprimorada e uma gestão de riscos proativa. As partes interessadas passam a ter uma compreensão mais profunda dos riscos da organização, incluindo seu potencial impacto e probabilidade. Essa maior consciência auxilia na identificação de riscos emergentes e fraquezas de controle, permitindo que ações corretivas sejam tomadas antes que os problemas se tornem significativos.Em segundo lugar, facilita a identificação dos principais riscos e uma priorização consistente. O RCSA ajuda a identificar e priorizar os riscos que têm o impacto mais significativo nos objetivos da organização. Isso permite que os esforços sejam concentrados na gestão de riscos de alta prioridade e garante consistência na priorização de riscos em diferentes departamentos e processos.Além disso, contribui para estratégias aprimoradas de resposta a riscos. Ao avaliar os riscos e controles, a organização pode desenvolver estratégias de resposta aos riscos mais direcionadas e eficazes. Isso pode envolver o reforço dos controles existentes, a introdução de novos controles ou mesmo a aceitação de certos riscos de forma consciente.Por fim, o RCSA subsidia uma tomada de decisão informada. Ele fornece à gestão informações relevantes para tomar decisões sobre a mitigação de riscos e a alocação de recursos, assegurando que essas decisões estejam alinhadas com a tolerância ao risco e os objetivos estratégicos da organização.
Qual é a percepção comum sobre o valor da execução de processos de Auto Avaliação de Riscos e Controles (RCSA) em algumas organizações?
A avaliação do valor da execução de processos de Auto Avaliação de Riscos e Controles (RCSA) frequentemente gera uma resposta mista nas organizações. Isso ocorre não apenas por parte das áreas avaliadas (consideradas a 1ª Linha de Defesa), mas também entre os profissionais envolvidos na sua facilitação (a 2ª Linha de Defesa). Muitos questionam se o processo realmente traz benefícios, e alguns críticos chegam a sugerir que os RCSAs são uma perda de tempo.
O que um estudo da <em>Operational Riskdata eXchange Association</em> (ORX) publicado em 2020 revelou sobre a percepção dos processos de Auto Avaliação de Riscos e Controles (RCSA)?
Um estudo sobre práticas da indústria, publicado pela Operational Riskdata eXchange Association (ORX) em 2020, intitulado Optimizing Risk and Control Self-Assessment (arquivado em https://perma.cc/8G3N-2HNG), refletiu a visão de que os processos de Auto Avaliação de Riscos e Controles (RCSA) eram percebidos como não entregando valor suficiente. Eram vistos como um exercício para “cumprir tabela”, em vez de influenciar verdadeiramente as decisões de negócios. O estudo mostrou a percepção de que o processo muitas vezes “não influencia suficientemente as decisões de negócios” e “não permite que as instituições sejam tão proativas na gestão de risco como pretendido”.
A metodologia da Auto Avaliação de Riscos e Controles (RCSA) tornou-se excessivamente prescritiva, fazendo com que o esforço supere o valor agregado?
Embora exista a preocupação de que as empresas tenham desenvolvido procedimentos detalhados, modelos predefinidos e bibliotecas de riscos e controles que poderiam tornar a metodologia da Auto Avaliação de Riscos e Controles (RCSA) excessivamente prescritiva, a visão apresentada é que este não é o cerne da questão. O problema fundamental identificado é que muitos processos de RCSA não incorporam cinco fatores essenciais de sucesso para sua execução, o que acaba por comprometer o valor agregado da ferramenta.
Quais são os cinco fatores essenciais para o sucesso de uma Auto Avaliação de Riscos e Controles (RCSA) eficiente?
Para que uma Auto Avaliação de Riscos e Controles (RCSA) seja eficiente, cinco fatores essenciais de sucesso, também chamados de "ingredientes essenciais", devem estar presentes:1. Envolvimento pessoal e significativo da alta gestão: É crucial que a alta gestão esteja totalmente envolvida, compreendendo a proposta de valor do RCSA e o compromisso de tempo necessário.2. Elevado grau de preparação prévia: Antes de iniciar o RCSA, o profissional de risco deve ter uma visão formada sobre os riscos esperados e preparar um pacote de pré-leitura com informações complementares.3. Facilitador especializado: O RCSA deve ser conduzido por um indivíduo experiente, com conhecimento em risco e habilidades de facilitação e negociação.4. Racionalização do esforço: O processo deve ser adequado à sua finalidade, focando em itens materiais e evitando um número excessivo de riscos, para não gerar fadiga organizacional.5. Definição de medidas de sucesso do processo: É necessário desenvolver medidas específicas para demonstrar o valor do RCSA, obtendo ações e próximos passos claros.
Qual a importância do envolvimento pessoal e significativo da alta gestão no processo de Auto Avaliação de Riscos e Controles (RCSA)?
O envolvimento pessoal e significativo da alta gestão é essencial no processo de Auto Avaliação de Riscos e Controles (RCSA) porque o RCSA é considerado um investimento na compreensão e melhoria do ambiente de controle. Seu objetivo é evitar que riscos potenciais se materializem no futuro. Como a alta gestão é, em última análise, a responsável pelas falhas, é fundamental que esteja totalmente envolvida no processo, familiarizada com a proposta de valor do RCSA e ciente do compromisso de tempo necessário para sua execução.
O que envolve um elevado grau de preparação prévia para um processo de Auto Avaliação de Riscos e Controles (RCSA)?
Um elevado grau de preparação prévia para um processo de Auto Avaliação de Riscos e Controles (RCSA) implica que, antes de iniciar o processo, o profissional de risco deve ter formado sua própria visão sobre os riscos que espera que surjam. Essa visão deve ser baseada na sua compreensão do negócio e do ambiente em que ele opera. Além disso, a preparação inclui a elaboração de um pacote de pré-leitura com informações complementares, que é uma ajuda essencial para a avaliação.
Quais tipos de informação devem ser incluídos em um pacote de pré-leitura para auxiliar na avaliação de um processo de Auto Avaliação de Riscos e Controles (RCSA)?
Um pacote de pré-leitura, que serve como uma ajuda essencial para a avaliação em um processo de Auto Avaliação de Riscos e Controles (RCSA), deve conter diversas informações complementares. Essas informações incluem, por exemplo, a estratégia e o plano de negócios da organização, dados financeiros relevantes, atas de reuniões do comitê de governança e detalhes sobre programas planejados de mudanças materiais.Também é importante incluir dados de risco operacional, como um histórico de eventos de risco operacional ocorridos, os principais indicadores de risco (KRIs) monitorados e os resultados de processos de RCSA anteriores, se houver.Adicionalmente, o pacote deve agregar os resultados de outras disciplinas de controle. Isso pode englobar, por exemplo, as conclusões de avaliações de conformidade (compliance) e os relatórios emitidos pela auditoria interna.Finalmente, é útil incorporar dados de fontes externas. Isso pode incluir informações sobre perdas externas sofridas por empresas do mesmo setor (pares), detalhes sobre o cenário regulatório vigente e as áreas que são consideradas prioritárias pelos órgãos reguladores.
Por que é crucial ter um facilitador especializado conduzindo o processo de Auto Avaliação de Riscos e Controles (RCSA)?
É crucial ter um facilitador especializado conduzindo o processo de Auto Avaliação de Riscos e Controles (RCSA) porque ele precisa ser um indivíduo experiente para fornecer o nível de apoio necessário. O time de riscos envolvido no processo deve possuir vasta experiência não apenas na disciplina de risco em si, mas também deter competências de softskills, como facilitação e negociação. A ausência de um facilitador com essas qualificações pode levar a uma situação em que nem os facilitadores nem os responsáveis pelas áreas autoavaliadas compreendam adequadamente o que estão fazendo, comprometendo a eficácia do RCSA.
O que significa "racionalização do esforço" no contexto de uma Auto Avaliação de Riscos e Controles (RCSA)?
A "racionalização do esforço" em uma Auto Avaliação de Riscos e Controles (RCSA) refere-se à necessidade de adequar o processo à sua finalidade, evitando que ele se torne excessivamente extenso e detalhado. Se o processo não for bem dimensionado, podem surgir centenas ou até milhares de riscos, priorizando a quantidade em detrimento da qualidade. Isso pode levar rapidamente à fadiga organizacional.A racionalização implica focar nos itens materiais. Nem todos os riscos precisam ser registrados. Uma boa prática é orientar a avaliação para capturar apenas os riscos inerentes importantes e significativos, eliminando entradas menos relevantes. Embora não haja um número padrão, um RCSA eficaz geralmente identifica entre 10 a 30 riscos, com no máximo três controles-chave por risco.
Qual é uma faixa considerada razoável para o número de riscos e controles-chave por risco em um processo de Auto Avaliação de Riscos e Controles (RCSA) efetivo?
Embora não exista um número padrão definido, um processo de Auto Avaliação de Riscos e Controles (RCSA) que é considerado bom e efetivo provavelmente gerará uma gama de 10 a 30 riscos. Para cada um desses riscos, espera-se a identificação de, no máximo, três controles-chave.
Por que é importante definir medidas de sucesso para o processo de Auto Avaliação de Riscos e Controles (RCSA)?
É importante definir medidas de sucesso para o processo de Auto Avaliação de Riscos e Controles (RCSA) porque a falta de resultados tangíveis pode levar a questionamentos sobre o valor do RCSA. Para apoiar a proposta de valor do RCSA, deve-se fazer um grande esforço para obter ações e próximos passos que sejam claros e bem formulados. Além da atestação do executivo proprietário do processo e da confirmação dos planos de ação, o desenvolvimento de medidas específicas de sucesso ajuda a demonstrar concretamente os benefícios e a eficácia do processo.
Quais são exemplos de medidas que podem ser usadas para avaliar o sucesso de um processo de Auto Avaliação de Riscos e Controles (RCSA)?
Para avaliar o sucesso de um processo de Auto Avaliação de Riscos e Controles (RCSA), podem ser utilizadas medidas específicas. Um exemplo é considerar o RCSA como motor de mudança. Isso implica monitorar as ações que emanam do RCSA, idealmente acompanhando o valor monetário de quaisquer projetos de melhoria iniciados como resultado do programa.Outro exemplo é ver o RCSA como impulsionador da transparência em torno do ambiente de risco e controle. Um RCSA eficaz deve minimizar surpresas em revisões subsequentes de auditoria interna ou externa, pois os riscos materiais já seriam conhecidos e abordados. Assim, o número de riscos significativos novos ou desconhecidos identificados pela auditoria interna (talvez expresso como uma porcentagem do número total de riscos) pode servir como uma medida tangível da eficácia do RCSA.
Quem é considerado o principal responsável pelo sucesso ou fracasso do processo de Auto Avaliação de Riscos e Controles (RCSA) e quais são suas atribuições nesse contexto?
O time de risco operacional é, em grande parte, responsável pelo sucesso (ou fracasso) do processo de Auto Avaliação de Riscos e Controles (RCSA). Suas responsabilidades incluem garantir que os cinco fatores essenciais para um RCSA eficiente estejam efetivamente presentes durante sua execução.Além disso, o departamento de risco operacional é responsável pelo desenvolvimento da abordagem e da metodologia do RCSA. Cabe a ele também educar as partes interessadas sobre o processo e os benefícios esperados. É fundamental que esse time esteja familiarizado com os processos da área avaliada, domine habilidades de facilitação e forneça a supervisão e o desafio (challenge) necessários para assegurar que o resultado do RCSA represente corretamente o ambiente de riscos e controles da área em questão.
Qual é o papel das unidades de negócio da linha da frente e das funções de suporte (1ª linha de defesa) no processo de Auto Avaliação de Riscos e Controles (RCSA)?
As unidades de negócio da linha da frente e as funções de suporte, que constituem a 1ª linha de defesa, são as proprietárias dos riscos e dos controles. Portanto, elas são responsáveis pela identificação e gestão robustas dos riscos. No contexto do processo de Auto Avaliação de Riscos e Controles (RCSA), é benéfico para elas garantir que o exercício seja levado a sério. Isso inclui assegurar que as partes interessadas certas participem ativamente, para que o RCSA gere resultados significativos. Entre esses resultados estão o desenvolvimento de planos de ação para endereçar controles ineficientes e o acompanhamento desses planos até a sua resolução.
O que são a "1ª Linha de Defesa" e a "2ª Linha de Defesa" conforme mencionado no contexto da Auto Avaliação de Riscos e Controles (RCSA)?
No contexto da Auto Avaliação de Riscos e Controles (RCSA), a "1ª Linha de Defesa" refere-se às áreas avaliadas, que são as unidades de negócio da linha da frente e as funções de suporte. Elas são consideradas as proprietárias dos riscos e dos controles e responsáveis pela sua identificação e gestão.A "2ª Linha de Defesa" é composta pelos profissionais envolvidos na facilitação do RCSA, como o time de risco operacional. Este grupo é responsável pelo desenvolvimento da metodologia, educação das partes interessadas, facilitação do processo e supervisão dos resultados.

Autor

Foto de perfil de Victor Machado

Victor Machado

Director, Risk Management @Mastercard | Turning risks into opportunities | Doing well by doing good

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

Dominando a Autoavaliação de Riscos e Controles: Principais Desafios e Soluções Propostas

Artigo

O Papel do Risco na Auditoria Interna: A Chave para uma Abordagem Estratégica

Artigo

Exemplo Prático de uma Auto Avaliação Anual de um Membro do Comitê de Riscos e Auditoria