Artigo
14/06/2025

Cultura de Riscos: como incorporá-la nas organizações?

Aborda como implementar valores e práticas para fortalecer a cultura de riscos e a gestão operacional nas empresas.

Avatar Victor Machado

Registros selecionados

Imagem de capa do artigo

Certa vez comentei com vocês que um dos principais aspectos que fizeram eu me apaixonar pela disciplina de riscos operacionais é o peso que o “fator gente” tem em sua gestão. E é esse caráter humano do risco operacional que faz com que a relação entre cultura de risco e risco operacional seja praticamente simbiótica. A cultura de risco funciona como um impulsionador crítico de como uma organização identifica, avalia e gere os riscos operacionais, aumentando a sua capacidade de enfrentar proativamente os riscos e minimizando o seu impacto nas suas operações e reputação.

Idealmente, uma clara diretiva de cultura de riscos deve ser estabelecida dentro de uma organização a partir da alta gestão, incluindo aí os programas corporativos de aculturamento para toda a empresa nos quais o time de risco operacional pode participar e contribuir. Porém, muitas vezes, as organizações fazem esforços mínimos nesta área e risco operacional acaba sendo o único departamento que empurra essa carga pesada colina acima. Não raramente os profissionais de risco operacional estiveram não apenas envolvidos no estabelecimento e manutenção da cultura de risco das organizações, mas também assumiram a liderança desses esforços, influenciando positivamente a ética, os valores e os comportamentos.

Logo, para os profissionais de risco operacional, cultura de risco não é um conceito novo. E quem já participou desses esforços sabe que a incorporação de uma cultura de riscos saudável não é uma tarefa trivial devido à natureza complexa e humana do assunto.

De forma a facilitar esse processo, portanto, podemos partir da definição de cultura de riscos, a qual pode ser entendida como um “processo social de valores, refletido em normas, atitudes e comportamentos de uma instituição no que tange à conscientização, assunção e gestão de riscos” (definição essa estabelecida no documento Guidance on Supervisory Interaction with Financial Institutions on Risk Culture, de autoria do Financial Stability Board - ver link para o documento no final desse artigo).

Dessa forma, o primeiro passo para incorporação de uma cultura de riscos é definir esses valores. E podemos identificar pelo menos 5 valores relacionados à uma cultura de riscos saudável:

  1. Transparência: apresentação honesta das informações, estado real dos problemas, riscos e questões. A transparência desempenha um papel significativo nos fluxos de informação, permitindo a transmissão de mensagens sem que elas sejam modificadas. Por exemplo, se um indicador chave de risco for relatado como “Vermelho”, ele não será rebaixado para “Amarelo” ou “Verde” quando for escalado na cadeia de gestão. Alguns gestores, comitês e conselhos não lidam bem com os indicadores Vermelhos e outros relatórios que emitem alarmes. Como resultado, os verdadeiros riscos e problemas podem ser despromovidos, levando à falta de foco de gestão ou de ação preventiva para mitigar problemas potencialmente graves.

  2. Não apontar culpados: abordagem construtiva para resolver os problemas, em vez de focar em “apontar dedos” e encontrar a pessoa culpada. Esse valor tem uma grande influência na forma como os colaboradores agem quando as coisas dão errado.

  3. Responsabilidade pessoal: os colaboradores e a alta administração estão prontos para tomar medidas pessoalmente para resolver problemas. Este valor é essencial para avançar e realizar as coisas. A organização pode ter discussões transparentes sobre áreas de preocupação sem atribuir culpas, mas se ninguém estiver pronto para intervir e agir, é pouco provável que as questões sejam resolvidas. Esta é uma área de particular enfoque dos reguladores, conforme pode ser observado com a introdução de diversos normativos formais de responsabilização nos últimos anos.

  4. Conscientização sobre riscos: todo colaborador está ciente do que significa risco, pensa sobre o risco em seu trabalho diário e está ciente de suas responsabilidades na gestão de riscos. Esse valor tem relação com até que ponto os colaboradores compreendem o risco e estão conscientes dos seus próprios papéis e responsabilidades na sua gestão.

  5. Recompensa de risco: a gestão do risco reflete-se na recompensa e remuneração dos colaboradores. É um valor que responde à pergunta: o que isso traz para mim? Se as ações ou comportamentos não resultarem em impacto pessoal – na forma de incentivo para uma boa gestão de riscos ou de punição para práticas inadequadas – será mais difícil articular o caso, respectivamente, a favor ou contra.

Uma vez estabelecidos esses valores, o seguinte conjunto de atividades práticas relacionadas a cada valor pode ser aplicado pelo time de risco operacional para influenciar comportamentos em toda a organização:

Transparência

  • Instituir incentivos à transparência, como notas de agradecimento pelo relato de eventos de risco operacional.

  • Ajudar, através de facilitação e desafio, as unidades de negócios e suporte a refletir o verdadeiro estado dos riscos, eventos e demais questões – sem os subestimar nem os superestimar.

  • Expressar opiniões claras e independentes, ajudando a transmitir as mensagens certas que, consequentemente, mantêm o seu verdadeiro significado (por exemplo, garantindo que os indicadores chave de risco “Vermelhos” não sejam diluídos, quando escalados para cima, ao serem reclassificados para “Amarelo” ou “Verde”).

  • Incorporar fluxos de trabalho de processos automatizados, para rápida disseminação e encaminhamento de questões materiais para o público certo.

Não apontar culpados

  • Desenvolver confiança nas unidades de negócios de primeira linha através da visibilidade e acessibilidade. Se possível, ter membros da equipe de risco operacional que sejam conhecidos e sirvam de elo com as unidades de negócios e suporte, funcionando como ponto de contato caso os colaboradores da primeira linha tenham perguntas ou dúvidas.

  • Educar a alta administração para uma “atitude sem culpa”. Embora este tipo de empreendimento nem sempre dê frutos, todos os esforços devem ser feitos.

  • Estabelecer o “tom”, garantindo que nos fóruns de risco operacional as questões sejam discutidas sempre de forma aberta e construtiva.

  • Documentar nas políticas que a empresa tem uma abordagem sem culpa (ou seja, um mecanismo formal, embora que isto possa ser menos eficaz do que estabelecer uma atitude sem culpa de forma mais informal).

Responsabilidade pessoal

  • Colaborar com a área de Recursos Humanos para definir e documentar funções e responsabilidades (por exemplo, definir claramente as responsabilidades dos proprietários de riscos de primeira linha, dos especialistas de riscos e dos agentes de riscos) garantindo seu alinhamento com declarações de responsabilidades mais amplas, como por exemplo, job descriptions.

  • Incorporar mecanismos de aceitação de riscos, para aliviar a pressão sobre as funções da primeira linha e garantir um acordo formal de que nenhuma ação adicional é necessária nos casos em que o custo/benefício não seja adequado.

  • Priorizar riscos, questões e ações e focar no que é importante.

  • Liderar pelo exemplo, intervindo para moderar quaisquer eventos de risco operacional interfuncionais que não tenham um único proprietário, até que sejam totalmente resolvidos.

Conscientização sobre riscos

  • Realizar treinamentos constantes para os colaboradores, complementados por outras campanhas educacionais, incluindo postagens em mídias sociais, notícias rápidas e boletins informativos.

  • Aproveitar oportunidades para fazer inserções em reuniões da alta administração e reuniões gerais de funcionários. Trabalhar com o CEO para incorporar mensagens-chave em suas apresentações internas. Desenvolver questões-chave que um conselho deveria se perguntar sobre a cultura de risco.

  • Promover a divulgação de lições aprendidas, dicas e sugestões. Por exemplo, através de uma reunião mensal do time de risco operacional com as áreas primeira linha.

  • Destacar interdependências, onde os riscos podem afetar outras pessoas na cadeia de entrega de serviços e produtos. Técnicas de melhoria de processos, incluindo fluxogramas de processos, podem ser muito úteis para atingir esse objetivo.

Recompensa de risco

  • Unir forças com a área de Recursos Humanos para incorporar as responsabilidades de gestão de risco nos objetivos dos colaboradores e no processo de gestão de desempenho.

  • Utilizar análises de comparação e contraste que apresentem, por exemplo, registros de incidentes em todos os departamentos. Reportes tempestivos e precisos podem ser reconhecidos por meio de algum tipo de recompensa.

  • Comemorar o sucesso, introduzindo prêmios aos funcionários para o processo mais bem aprimorado após a ocorrência de um evento de risco operacional.

Claro que a incorporação de uma cultura de risco não é um processo padrão que serve para todos. Deve ser adaptado às necessidades e objetivos específicos de cada organização. Consistência, comunicação e adaptabilidade são fundamentais para o sucesso nesta empreitada. Porém, independente do processo escolhido, a implantação da cultura de risco continua a ser um espaço estimulante, onde os profissionais de risco operacional continuarão a desempenhar um papel crucial, influenciando ativamente e fazendo uma diferença positiva nas normas, atitudes e comportamentos da instituição.

Financial Stability Board (2014) - Guidance on Supervisory Interaction with Financial Institutions on Risk Culture: https://www.fsb.org/wp-content/uploads/140407.pdf

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

Qual é a relação entre cultura de risco e risco operacional?
A relação entre cultura de risco e risco operacional é descrita como praticamente simbiótica. Essa conexão é fortemente influenciada pelo "fator gente" presente na gestão de riscos operacionais.
Como a cultura de risco influencia a gestão de riscos operacionais em uma organização?
A cultura de risco atua como um impulsionador crítico na forma como uma organização identifica, avalia e gerencia os riscos operacionais. Uma cultura de risco bem estabelecida aumenta a capacidade da organização de enfrentar proativamente os riscos e de minimizar o impacto potencial desses riscos em suas operações e reputação.
Qual é o papel ideal da alta gestão no estabelecimento de uma cultura de riscos?
Idealmente, uma clara diretiva de cultura de riscos deve ser estabelecida dentro de uma organização a partir da alta gestão. Isso inclui a implementação de programas corporativos de aculturamento que envolvam toda a empresa, nos quais o time de risco operacional pode participar e contribuir.
Qual tem sido o papel dos profissionais de risco operacional no estabelecimento da cultura de risco nas organizações?
Em muitas situações, especialmente quando as organizações dedicam esforços mínimos à cultura de risco, os profissionais de risco operacional não apenas se envolvem no estabelecimento e manutenção dessa cultura, mas frequentemente assumem a liderança desses esforços. Eles têm sido responsáveis por influenciar positivamente a ética, os valores e os comportamentos dentro das instituições, tornando-se, em alguns casos, o único departamento a impulsionar essa agenda.
O que é cultura de riscos, segundo o <em>Financial Stability Board</em>?
De acordo com a definição estabelecida no documento Guidance on Supervisory Interaction with Financial Institutions on Risk Culture, publicado em 2014 pelo Financial Stability Board, cultura de riscos é um “processo social de valores, refletido em normas, atitudes e comportamentos de uma instituição no que tange à conscientização, assunção e gestão de riscos”.
Quais são os cinco valores identificados como relacionados a uma cultura de riscos saudável?
Os cinco valores relacionados a uma cultura de riscos saudável são: Transparência, Não apontar culpados, Responsabilidade pessoal, Conscientização sobre riscos e Recompensa de risco.
O que significa o valor "Transparência" em uma cultura de riscos?
No contexto de uma cultura de riscos, "Transparência" refere-se à apresentação honesta das informações, mostrando o estado real dos problemas, riscos e questões. Ela desempenha um papel crucial nos fluxos de informação, permitindo que as mensagens sejam transmitidas sem modificações. Por exemplo, se um indicador chave de risco é classificado como “Vermelho”, ele não deve ser rebaixado para “Amarelo” ou “Verde” ao ser escalado na cadeia de gestão. A falta de transparência pode levar gestores, comitês e conselhos a não lidarem adequadamente com alarmes, resultando na subestimação de riscos e problemas e, consequentemente, na falta de foco gerencial ou ação preventiva para mitigar questões potencialmente graves.
O que significa o valor "Não apontar culpados" em uma cultura de riscos?
O valor "Não apontar culpados" em uma cultura de riscos significa adotar uma abordagem construtiva para resolver os problemas, em vez de focar em encontrar a pessoa culpada ou "apontar dedos". Esse valor tem uma grande influência na forma como os colaboradores agem e reagem quando as coisas dão errado.
O que significa o valor "Responsabilidade pessoal" em uma cultura de riscos?
"Responsabilidade pessoal" em uma cultura de riscos implica que os colaboradores e a alta administração estão prontos para tomar medidas pessoalmente para resolver problemas. Este valor é essencial para que as coisas avancem e sejam realizadas. Mesmo que uma organização tenha discussões transparentes sobre preocupações e não atribua culpas, se ninguém estiver disposto a intervir e agir, é improvável que as questões sejam resolvidas. Esta área tem recebido particular enfoque dos reguladores, com a introdução de diversos normativos formais de responsabilização nos últimos anos.
O que significa o valor "Conscientização sobre riscos" em uma cultura de riscos?
"Conscientização sobre riscos" refere-se ao estado em que todo colaborador está ciente do que significa risco, pensa sobre o risco em seu trabalho diário e está ciente de suas responsabilidades na gestão de riscos. Este valor está diretamente relacionado ao nível de compreensão que os colaboradores têm sobre o risco e a clareza de seus próprios papéis e responsabilidades na sua gestão.
O que significa o valor "Recompensa de risco" em uma cultura de riscos?
O valor "Recompensa de risco" significa que a gestão do risco se reflete na recompensa e remuneração dos colaboradores. Essencialmente, ele responde à pergunta: "o que isso traz para mim?". Se as ações ou comportamentos relacionados à gestão de riscos não resultarem em um impacto pessoal – seja na forma de incentivo para uma boa gestão de riscos ou de punição para práticas inadequadas – será mais difícil articular o argumento a favor ou contra tais comportamentos, respectivamente.
Quais atividades práticas podem ser aplicadas pelo time de risco operacional para promover o valor da "Transparência"?
Para promover a "Transparência" em uma cultura de riscos, o time de risco operacional pode adotar diversas atividades práticas. Entre elas, destacam-se: instituir incentivos à transparência, como o envio de notas de agradecimento pelo relato de eventos de risco operacional; auxiliar as unidades de negócios e suporte, por meio de facilitação e desafio construtivo, a refletir o verdadeiro estado dos riscos, eventos e outras questões, evitando subestimá-los ou superestimá-los. Além disso, é importante expressar opiniões claras e independentes, ajudando a transmitir as mensagens corretas para que mantenham seu verdadeiro significado – por exemplo, garantindo que indicadores chave de risco "Vermelhos" não sejam diluídos para "Amarelo" ou "Verde" ao serem escalados na gestão. Por fim, pode-se incorporar fluxos de trabalho de processos automatizados para permitir a rápida disseminação e o encaminhamento de questões materiais para o público certo.
Quais atividades práticas podem ser aplicadas pelo time de risco operacional para promover o valor de "Não apontar culpados"?
Para fomentar o valor de "Não apontar culpados", o time de risco operacional pode implementar algumas ações. Primeiramente, é fundamental desenvolver confiança nas unidades de negócios de primeira linha, o que pode ser alcançado através da visibilidade e acessibilidade da equipe de risco, designando, se possível, membros específicos para serem pontos de contato caso os colaboradores da primeira linha tenham perguntas ou dúvidas. Outra ação é educar a alta administração para uma “atitude sem culpa”, um esforço que deve ser feito, embora nem sempre dê os frutos esperados. É crucial também estabelecer o “tom”, garantindo que nos fóruns de risco operacional as questões sejam discutidas sempre de forma aberta e construtiva. Por fim, pode-se documentar nas políticas que a empresa tem uma abordagem sem culpa, sendo este um mecanismo formal, embora possa ser menos eficaz do que estabelecer essa atitude de forma mais informal.
Quais atividades práticas podem ser aplicadas pelo time de risco operacional para promover o valor da "Responsabilidade pessoal"?
Para incentivar a "Responsabilidade pessoal", o time de risco operacional pode realizar diversas atividades. Uma delas é colaborar com a área de Recursos Humanos para definir e documentar funções e responsabilidades (por exemplo, definir claramente as responsabilidades dos proprietários de riscos de primeira linha, dos especialistas de riscos e dos agentes de riscos), garantindo seu alinhamento com declarações de responsabilidades mais amplas, como por exemplo, job descriptions. Também é útil incorporar mecanismos de aceitação de riscos, para aliviar a pressão sobre as funções da primeira linha e garantir um acordo formal de que nenhuma ação adicional é necessária nos casos em que o custo/benefício não seja adequado. Adicionalmente, deve-se priorizar riscos, questões e ações e focar no que é importante. Por último, é importante liderar pelo exemplo, intervindo para moderar quaisquer eventos de risco operacional interfuncionais que não tenham um único proprietário, até que sejam totalmente resolvidos.
Quais atividades práticas podem ser aplicadas pelo time de risco operacional para promover o valor da "Conscientização sobre riscos"?
Para aumentar a "Conscientização sobre riscos", o time de risco operacional pode empregar várias estratégias. É importante realizar treinamentos constantes para os colaboradores, complementados por outras campanhas educacionais, incluindo postagens em mídias sociais, notícias rápidas e boletins informativos. Outra prática eficaz é aproveitar oportunidades para fazer inserções em reuniões da alta administração e reuniões gerais de funcionários, bem como trabalhar com o CEO para incorporar mensagens-chave em suas apresentações internas e desenvolver questões-chave que um conselho deveria se perguntar sobre a cultura de risco. Promover a divulgação de lições aprendidas, dicas e sugestões, por exemplo, através de uma reunião mensal do time de risco operacional com as áreas de primeira linha, também contribui. Por fim, é útil destacar interdependências, onde os riscos podem afetar outras pessoas na cadeia de entrega de serviços e produtos, utilizando técnicas de melhoria de processos, incluindo fluxogramas de processos, que podem ser muito úteis para atingir esse objetivo.
Quais atividades práticas podem ser aplicadas pelo time de risco operacional para promover o valor da "Recompensa de risco"?
Para efetivar o valor da "Recompensa de risco", o time de risco operacional pode adotar algumas medidas. Uma ação importante é unir forças com a área de Recursos Humanos para incorporar as responsabilidades de gestão de risco nos objetivos dos colaboradores e no processo de gestão de desempenho. Outra estratégia é utilizar análises de comparação e contraste que apresentem, por exemplo, registros de incidentes em todos os departamentos, de forma que reportes tempestivos e precisos possam ser reconhecidos por meio de algum tipo de recompensa. Adicionalmente, é benéfico comemorar o sucesso, introduzindo prêmios aos funcionários para o processo mais bem aprimorado após a ocorrência de um evento de risco operacional.
A incorporação de uma cultura de risco é um processo padronizado para todas as organizações?
Não, a incorporação de uma cultura de risco não é um processo padrão que serve para todos. Ela deve ser adaptada às necessidades e objetivos específicos de cada organização.
Quais elementos são fundamentais para o sucesso na incorporação de uma cultura de risco?
Consistência, comunicação e adaptabilidade são elementos fundamentais para o sucesso na empreitada de incorporação de uma cultura de risco em uma organização.

Autor

Foto de perfil de Victor Machado

Victor Machado

Director, Risk Management @Mastercard | Turning risks into opportunities | Doing well by doing good

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

O Mais Humano dos Riscos?

Artigo

Inovação X Gestão de Riscos

Artigo

Risco de Conduta: Princípios e Modelo de Gestão