A relutância das pessoas em aceitar plenamente a sua exposição a riscos não é incomum. Na verdade, estão em jogo poderosas forças cognitivas, conhecidas pela ciência há séculos. Por exemplo, as pessoas tendem a superestimar o seu controle sobre acontecimentos incertos. Este erro de julgamento é chamado de “ilusão de controle”. Um exemplo disso é a ilusão que as pessoas têm de que elas possuem maiores chances de ganhar na loteria se elas mesmo escolherem os números que irão ser jogados. Além disso, as pessoas tendem a superestimar a probabilidade de acontecimentos positivos na vida delas, ao mesmo tempo que subestimam a probabilidade de serem vítimas de eventos negativos, o chamado “viés de otimismo”.
Em outras palavras, a nossos preconceitos cognitivos podem levar à percepção de que um processo de Autoavaliação de Riscos e Controles (Risk and Controls Self Assessment - RCSA) é uma perda de tempo. E, infelizmente, os problemas que as organizações enfrentam com a implementação de autoavaliações apenas confirmam esta visão, uma vez que os preconceitos acima mencionados não são, nem de longe, os únicos desafios que impedem esse processo de entregar o valor esperado.
Origem da Autoavaliação de Riscos e Controles e sua Estrutura Padrão
A autoavaliação de riscos e controles é uma abordagem bem reconhecida para avaliações de risco, que tem sido aplicada pelas empresas desde que a Gulf Oil Corporation desenvolveu esse conceito pela primeira vez em 1987, como resposta às fraquezas das tradicionais técnicas de auditoria da época. Desde então, ela foi incluída em vários frameworks regulamentares e é amplamente aceita como melhor prática pela indústria, em particular entre as instituições financeiras.
A estrutura da autoavaliação de riscos e controles baseia-se na premissa de que a avaliação de risco é descentralizada para as unidades proprietárias dos produtos, processos, sistemas, etc., em questão (ou seja, as fontes de riscos) - daí a palavra “autoavaliação”, que a distingue de outros tipos de avaliação comuns, como certificações orientadas por conformidade e auditoria. É uma técnica empoderadora, que dota os gestores com o mandato e a responsabilidade de autoavaliar o seu perfil de risco e fornecer um atestado à alta gestão. No geral, essa estrutura baseia-se em quatro pilares:
1. Estratégia Corporativa
A autoavaliação de riscos e controles deve partir da estratégia e da definição de objetivos da organização, uma vez que seu o objetivo é identificar os riscos que podem afetar a capacidade de atingir os seus objetivos estratégicos. Os resultados da autoavaliação devem ser incorporados nos processos globais de desenvolvimento da estratégia, resultando numa forte integração entre os processos de gestão de riscos e de planejamento estratégico da organização.
2. Governança
Desde a sua publicação pelo Instituto de Auditores Internos (Institute of Internal Auditors - IIA) em 2013, o modelo das Três Linhas de Defesa tornou-se o eixo da governança de risco, especialmente no setor financeiro. Relativamente à autoavaliação de riscos e controles, os representantes da primeira linha de defesa são os proprietários dos riscos decorrentes das suas atividades, sendo responsáveis pela sua identificação e gestão para atingir os seus objetivos. A segunda linha fornece as políticas, estruturas, ferramentas e técnicas, garantindo a consistência das definições e mensuração do risco. Por fim, a terceira linha de defesa garante reportes independentes ao conselho de administração e ao comitê de auditoria sobre a eficácia da gestão de riscos, do controle interno e da governança do negócio.
3. Sistemas e Infraestrutura
A autoavaliação de riscos e controles envolve o compartilhamento de informações de fontes internas e externas em toda a organização. Como elemento integrante do framework de gestão de riscos não financeiros e ligado a várias outras partes do framework global de gestão, ela requer sistemas apropriados para capturar, processar, gerir e reportar riscos, e monitorar falhas de controle. Portanto, uma infraestrutura de dados e relatórios é um pré-requisito importante, apoiando a capacidade de identificar e priorizar riscos em toda a organização e realizando uma supervisão de risco eficaz e de melhoria contínua.
4. Metodologia
O processo de autoavaliação de riscos e controles pode variar entre organizações na sua abordagem e metodologia. No entanto, deve ser realizada de forma contínua e a frequência das revisões deve ser orientada pelo risco e responder às mudanças organizacionais, bem como às mudanças externas. Sua metodologia normalmente inclui, mas não está limitada à, os seguintes elementos:
• Escopo, ou seja, o que está sendo avaliado em termos de risco;
• Objetivo da entidade a ser avaliada em termos de risco;
• Identificação de riscos, incluindo suas causas;
• Avaliação do risco inerente;
• Identificação de controles e avaliação de eficácia;
• Avaliação do risco residual; e
• Se necessário, identificação das ações corretivas para colocar o risco dentro do apetite.
Principais Desafios de Implementação e Soluções Propostas
Abaixo estão aqueles que considero os três principais desafios na implementação de um processo eficiente de autoavaliação de riscos e controles e suas respectivas contramedidas, de acordo com minha experiência e meus estudos sobre o assunto.
Desafio 1: Funções e responsabilidades pouco claras
Embora as responsabilidades pareçam claras a partir de uma perspectiva de três linhas de defesa, um desafio que muitas organizações parecem enfrentar é um certo grau de ambiguidade relativo à apropriação e à supervisão do risco devido a papéis pouco claros, e por vezes sobrepostos, na primeira e segunda linhas. A autoavaliação de riscos e controles é particularmente vulnerável a crenças contraditórias sobre a melhor forma de assumir responsabilidades no processo de gestão de riscos, e essa falta de responsabilização e envolvimento pode reduzir a precisão dos seus resultados e afetar negativamente a qualidade e eficácia das decisões tomadas no processo.
Uma das razões para isso é um fenômeno, bem conhecido nas ciências sociais, denominado “inércia social”. A inércia social pode ser definida como a “tendência dos indivíduos de despenderem menos esforço quando trabalham coletivamente do que quando trabalham individualmente”. Os ambientes em que os indivíduos consideram que as suas contribuições são redundantes em relação às dos outros, e onde as suas contribuições individuais não serão avaliadas, são particularmente propensos à ocorrência de inércia social.
No caso da autoavaliação de riscos e controles, isto significa que responsabilidades sobrepostas e tarefas pouco claras podem desmotivar os participantes a se envolverem plenamente nos workshops de autoavaliação, bem como no processo como um todo. Isto pode, por exemplo, resultar numa identificação incompleta dos riscos, avaliações superficiais, contestação insuficiente, documentação inadequada e atraso na execução de medidas de mitigação, prejudicando assim a autoavaliação em cada etapa do processo.
Resposta ao Desafio 1: Aumentar a orientação e a responsabilização
Um primeiro passo importante para mitigar as potenciais consequências da ambiguidade é estabelecer orientação e formação claras para criar a consciência necessária relacionada aos papéis e responsabilidades no processo de autoavaliação. Dado que a autoavaliação é um instrumento aplicado em várias partes da organização, ela envolve frequentemente participantes que não estão totalmente familiarizados com o atual framework de gestão de riscos e com a sua terminologia.
Portanto, orientações adicionais, como procedimentos, mas também outros materiais de acompanhamento (FAQs, etc.), são úteis. Tudo isto deve ser ainda reforçado através de uma formação que apoie a disseminação do “como” e “por quê" do processo aos participantes. Estas medidas podem ser apoiadas pelo envolvimento de um papel adicional no processo autoavaliação: os “agentes de risco” ou “campeões de risco” (risk champions). Seu papel nesse processo pode ser inestimável, orientando os proprietários do risco em todas as fases relevantes, garantindo uma execução aplicável da autovaliação.
Quanto à responsabilização, as aprovações obrigatórias (sign offs) podem desempenhar um papel importante na autoavaliação de riscos e controles. Incluída como pré-condição para a conclusão bem-sucedida do processo, o sign off pelos representantes de primeira e segunda linha atribui claramente a responsabilidade a indivíduos identificáveis, garantindo a responsabilização pelos resultados perante a organização. Quando bem aplicada, o sign off é uma ferramenta altamente valiosa contra responsabilidades pouco claras e subsequente inércia social.
Desafio 2: Autoavaliações inconsistentes e incomparáveis
Para identificar os riscos mais materiais e priorizar as ações de mitigação, os resultados das autoavaliações de riscos e controles devem ser consistentes e comparáveis. E a inconsistência e incomparabilidade geralmente derivam do fato das autoavaliações serem conduzidas em "silos" e dos chamados preconceitos cognitivos ou vieses.
Muitas vezes, a primeira linha é organizada em diferentes unidades de negócios responsáveis por partes individuais da jornada do cliente – desenvolvimento de produtos, time de vendas, back office, etc. gerando “autoavaliações em silos”. Por exemplo, numa área de negócio um risco pode ser classificado como elevado, enquanto outra área o considera como baixo. As autoavaliações em silo criam níveis variados de detalhe e granularidade diferentes, o que pode diminuir ainda mais a consistência e a comparabilidade.
Tal como acontece com qualquer interação humana, os preconceitos cognitivos e a dinâmica de grupo podem influenciar as discussões das autoavaliações e distorcer significativamente os julgamentos dos participantes. Um exemplo clássico de viés observado nas autoavaliações é o “viés de disponibilidade”, que descreve a tendência de as pessoas basearem as avaliações da probabilidade de um evento na sua disponibilidade cognitiva, ou seja, na facilidade com que podem se lembrar dele. Consequentemente, ao estimar a frequência de eventos perigosos, os indivíduos podem ignorar os dados estatísticos disponíveis e, em vez disso, basear as suas estimativas na memória, o que pode afetar negativamente as classificações de risco.
Resposta ao Desafio 2: Aumentar a consistência e a especialização
No que diz respeito às autoavaliações em silos, uma plataforma sistêmica de governança, risco e conformidade (GRC) com uma infra-estrutura de dados e sistemas de comunicação adequada e integrada pode contribuir fortemente para a completude, a consistência e a qualidade geral dos dados da autoavaliação. Uma solução integrada pode funcionar como um repositório de riscos e controles e garantir consistência e não redundância em todo o processo.
Já especialistas em riscos específicos (Subject Matter Experts - SMEs) podem ser incluídos nos workshops de autoavaliação para reduzir os efeitos de distorção dos preconceitos cognitivos. Os SMEs são geralmente colaboradores especializados que possuem uma compreensão detalhada de temas complexos, como segurança cibernética e crimes financeiros, sobre os quais podem contribuir para uma avaliação de risco abrangente e precisa, servindo como fonte interna de consulta. A exposição a informações dos SMEs sobre os seus respectivos tópicos de especialização nos workshops pode ser utilizada para combater preconceitos.
Desafio 3: Equilíbrio entre a necessidade de detalhes e o panorama geral
Determinar o escopo e a profundidade corretos para as autoavaliações de riscos e controles permite que as organizações identifiquem e avaliem os riscos e controles-chave mais materiais. Frequentemente, as organizações complicam demais a autoavaliação ao adotar abordagens excessivamente granulares, como a identificação de riscos em cada etapa de um processo de negócios. Isso pode impedir a integração da autoavaliação com a estratégia corporativa. Em outras palavras, uma a autoavaliação excessivamente granular, ou uma abordagem de “gestão de risco de tudo”, pode transformar-se numa “gestão de risco de nada”.
Resposta ao Desafio 3: Aumentar a padronização
Uma taxonomia de risco adequada pode ajudar a organização a estabelecer o grau correto de completude na cobertura dos riscos, fornecendo uma estrutura analítica para a parte de identificação de riscos do processo de autoavaliação, bem como permitindo agregação e relatórios de riscos mais eficazes. Ao mesmo tempo que garantem uma cobertura exaustiva dos tipos de risco, a taxonomia deve-se limitar à quantidade de tipos e níveis de risco estritamente necessária. Isto evita complexidade que não acrescenta valor.
Além disso, um processo de definição de escopo de riscos bem realizado pode ajudar os proprietários dos riscos a identificar todos os riscos relevantes para a sua autoavaliação antes dos workshops. Isto pode ser feito através de um questionário que contém conjuntos de perguntas específicos para cada tipo de risco definido na taxonomia. A resposta a estas questões por parte dos proprietários do risco – sob a garantia de qualidade da área de risco – deverá automaticamente conduzir à definição do escopo e da extensão dos tipos de risco à que as áreas estão sujeitas.
Conclusão
Já está devidamente evidenciado que um processo de autoavaliação de riscos e controles bem realizado é um instrumento fundamental na gestão de riscos não financeiros. No entanto, em várias organizações este processo é percebido como um exercício periódico de “box ticking”, que apenas fornece garantias aos reguladores e à auditoria. Em vez de ser uma ferramenta preditiva de risco que formula insights acionáveis, a autoavaliação muitas vezes acaba apenas reconfirmando o que vem à mente de um gestor.
A falta de responsabilização, consistência e definição do escopo da autoavaliação de riscos e controles, que pode ser exacerbada em parte por preconceitos e dinâmicas de grupo, são apenas uma seleção de potenciais fraquezas que podem ameaçar a qualidade desse processo. E todos estes desafios são agravados pela ausência de uma arquitetura de dados, incluindo modelos analíticos e capacidades de elaboração de relatórios, mas principalmente de fontes de dados que possam identificar padrões e comportamentos.
Trata-se de um grande desafio e, na pior das hipóteses, o instrumento de autoavaliação de riscos e controles pode tornar-se um risco em si mesmo – quer ludibriando os gestores, fazendo-os acreditar que todos os riscos estão identificados e sob controle, quer criando uma “gestão de risco de tudo” que pode transformar-se numa “gestão de risco de nada”.
