Artigo
05/11/2024
Atualizado em 01/05/2026

Dez Leis do Risco Operacional

O livro "Ten Laws of Operational Risk" apresenta dez leis que orientam a gestão eficaz do risco operacional, abordando desde a ocorrência até a assunção ativa e passiva de riscos, com estratégias para mitigar impactos e fortalecer a resiliência empresarial.

Imagem de capa do artigo

A boa gestão de riscos operacionais é uma das razões e motivos fundamentais para a preservação da integridade, continuidade e sucesso das empresas, por isso compreender e gerenciar riscos operacionais eficazmente se torna tão importante, não apenas para evitar perdas financeiras, mas também para proteger a reputação e fortalecer a resiliência organizacional.

Sobre este tema queria comentar sobre o interessante livro do Michael Grimwade chamado: "Ten Laws of Operational Risk", que traz muita informação teórica, mas também prática que permite enxergarmos melhor o risco operacional sob uma ótica mais ampla e estratégica, ao apresentar um conjunto de leis que descrevem os comportamentos comuns do risco operacional e como esses padrões podem ser antecipados e mitigados.

Essas leis que ele sugere vão além de uma análise superficial, ao investigar os elementos estruturais e comportamentais que influenciam tanto a ocorrência quanto a severidade dos eventos de risco, abordando desde a rapidez com que um evento pode impactar a empresa até as implicações da transferência e transformação de riscos.

Acredito que este conjunto de leis representa uma ferramenta estratégica para conselheiros, executivos e gestores de risco, permitindo uma abordagem sistemática e científica para a gestão de riscos operacionais, essencial em um mundo corporativo onde os desafios de compliance, segurança cibernética e inovação digital estão em constante evolução, assim como o uso dessas leis fortalece a capacidade da empresa de enfrentar incertezas, reduzindo vulnerabilidades e aumentando sua capacidade de resposta a crises, o que, em última análise, protege e gera valor para todos os stakeholders envolvidos.

Para um entendimento mais profundo e aplicação prática das Dez Leis do Risco Operacional, cada uma dessas leis merece uma análise detalhada com estratégias, dicas e exemplos de como empresas podem aprimorar suas práticas de gestão de riscos.

1ª Lei: Ocorrência:

A primeira lei indica que a probabilidade de ocorrência de eventos de perda é influenciada pela estrutura de processos e pela robustez dos controles internos. Eventos de perda são mais comuns em processos complexos ou com menos supervisão e onde há alta dependência de habilidades individuais. Para evitar surpresas, é importante identificar padrões e gatilhos de riscos específicos para a empresa.

Dicas Práticas:

- Mapeamento de processos críticos: Conduza uma análise de processos para identificar atividades onde o risco de erro ou falha é mais elevado.

- Controle de mudanças: Estabeleça controles rígidos para mudanças nos processos, garantindo que qualquer alteração seja analisada quanto ao impacto potencial no risco operacional.

- Treinamento contínuo: Invista no treinamento e conscientização dos colaboradores que atuam em áreas de maior risco, para que saibam identificar e mitigar riscos potenciais.

2ª Lei: Detecção:

Esta lei foca na capacidade de uma empresa identificar eventos de perda em estágio inicial. A rapidez e eficácia na detecção de problemas operacionais reduzem o impacto financeiro e reputacional. Sistemas de monitoramento contínuo e auditorias periódicas são fundamentais para aumentar essa capacidade.

Dicas Práticas:

- Automação de monitoramento: Utilize tecnologia para monitorar processos críticos em tempo real, incluindo sistemas de alerta para desvios e falhas.

- Auditorias regulares: Realize auditorias focadas nos processos mais vulneráveis, com ênfase em identificar falhas de controle e gaps de detecção.

- Cultura de transparência: Incentive uma cultura de feedback e comunicação onde problemas possam ser relatados sem receio, facilitando a detecção precoce.

3ª Lei: Velocidade:

A terceira lei aborda a velocidade com que um evento de perda pode causar impacto na empresa. Eventos de alta velocidade, como ciberataques ou falhas críticas em sistemas, exigem respostas rápidas. Empresas precisam ter uma estrutura de resposta que seja ágil para minimizar danos.

Dicas Práticas:

- Planos de resposta rápida: Desenvolva planos específicos para responder a eventos de alta velocidade, como ciberataques ou falhas em TI.

- Treinamento de resposta: Realize simulações e treinamentos para que as equipes saibam como responder rapidamente em caso de incidentes.

- Indicadores de velocidade de risco: Crie métricas que monitorem a rapidez com que certos riscos podem se materializar e seu impacto potencial, para ajustar as respostas adequadas.

4ª Lei: Duração e Gravidade:

Esta lei mostra que quanto maior a duração de um evento, maior tende a ser o impacto. Eventos prolongados, especialmente quando não tratados rapidamente, podem gerar custos cumulativos e danos à reputação da empresa.

Dicas Práticas:

- Procedimentos de contenção imediata: Implemente práticas de contenção para limitar os impactos financeiros e operacionais do evento desde o início.

- Monitoramento de impacto: Utilize ferramentas para monitorar a progressão dos impactos do evento e ajustar os recursos conforme necessário.

- Análise de custo-benefício: Avalie os custos de resolver rapidamente um problema versus permitir que ele persista, ajudando na priorização de recursos.

5ª Lei: Atrasos:

Algumas perdas, especialmente aquelas relacionadas a litígios ou problemas contratuais, podem sofrer atrasos significativos antes de serem completamente resolvidas. Estes atrasos podem aumentar o impacto financeiro e danificar a relação da empresa com stakeholders.

Dicas Práticas:

- Gestão de casos pendentes: Crie um sistema para monitorar e acelerar a resolução de eventos pendentes, como acordos judiciais e reclamações de clientes.

- Planejamento financeiro: Tenha reservas financeiras para cobrir possíveis atrasos em eventos de perda e garantir estabilidade financeira.

- Comunicação proativa: Mantenha stakeholders informados sobre o progresso dos eventos de perda, minimizando o impacto na confiança na empresa.

6ª Lei: Concentração por Fatores Internos:

Riscos operacionais tendem a se concentrar em processos internos e na cultura da empresa. A concentração de riscos internos pode ocorrer em função de procedimentos falhos ou comportamentos repetitivos que não são corrigidos adequadamente.

Dicas Práticas:

- Análise de concentração de risco: Conduza análises regulares para identificar áreas ou processos com alta concentração de riscos.

- Cultura organizacional: Promova uma cultura de responsabilidade e melhoria contínua para reduzir riscos resultantes de práticas internas repetitivas.

- Política de mitigação de riscos internos: Implemente políticas que abordem práticas internas perigosas e incentivem comportamentos seguros e proativos.

7ª Lei: Concentração por Fatores Externos:

Riscos externos, como regulamentações governamentais e crises econômicas, podem se concentrar em determinados segmentos de mercado ou áreas da empresa. Esta lei sublinha a importância de analisar como fatores externos podem impactar as operações.

Dicas Práticas:

- Análise de ambiente externo: Realize análises regulares do ambiente externo para avaliar como mudanças regulatórias ou econômicas podem afetar os riscos da empresa.

- Flexibilidade operacional: Adote uma estrutura organizacional que permita adaptação rápida a fatores externos, reduzindo a concentração de riscos.

- Cenários e contingência: Desenvolva cenários com base em possíveis impactos de eventos externos para se preparar com antecedência.

8ª Lei: Equilibrio de Risco:

O conceito de equilibrio de risco sugere que ao melhorar controles em uma área, pode-se involuntariamente aumentar riscos em outra. Aumentar a segurança em um processo pode, por exemplo, redistribuir vulnerabilidades para outros.

Dicas Práticas:

- Análise sistêmica de controles: Sempre que um controle for aprimorado, avalie o impacto nas demais áreas, evitando transferir riscos.

- Cultura de gestão integrada: Promova uma cultura onde todos os controles são vistos como interligados, exigindo ajustes integrados.

- Indicadores de redistribuição de risco: Crie métricas que ajudem a identificar se o fortalecimento de controles está redirecionando riscos para outras áreas.

9ª Lei: Transferência e Transformação de Risco:

A transferência de risco, como o uso de seguros, pode transformar o risco em outras formas, ou transferir sua natureza para um terceiro. É essencial entender o real impacto dessa transferência e o surgimento de riscos secundários.

Dicas Práticas:

- Avaliação completa de risco transferido: Antes de transferir riscos, realize uma análise detalhada dos impactos potenciais e dos riscos secundários que podem surgir.

- Mapeamento de riscos de terceiros: Estabeleça um processo para monitorar os riscos transferidos a terceiros, garantindo que os parceiros de negócios estejam preparados para mitigá-los.

- Revisão periódica de cobertura: Avalie regularmente as coberturas de seguro e contratos com terceiros, certificando-se de que estão alinhados com as mudanças nos riscos da empresa.

10ª Lei: Assunção Ativa e Passiva de Riscos:

A última lei diferencia entre riscos assumidos de forma ativa e aqueles que são implicitamente aceitos. Uma empresa pode optar por aceitar certos riscos quando os custos de mitigação superam os potenciais impactos, ou quando os riscos são considerados controláveis.

Dicas Práticas:

- Definição clara de apetite ao risco: Defina com precisão o apetite e tolerância ao risco da empresa, orientando decisões sobre quais riscos devem ser assumidos.

- Avaliação contínua de riscos: Realize análises periódicas para garantir que os riscos passivamente aceitos ainda estão dentro dos limites toleráveis.

- Documentação de decisão de risco: Registre formalmente as decisões de assunção de riscos, permitindo uma revisão transparente e responsável das escolhas feitas.

Essas leis fornecem um guia detalhado para aprimorar a gestão de risco operacional nas empresas. Implementar estas diretrizes permite que as empresas não só antecipem e mitiguem eventos de perda, mas também construam uma estrutura de resiliência e adaptação contínua a riscos emergentes.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante