Queria falar hoje um pouco mais sobre risco operacional (RO), e começo falando sobre alguns dos elementos que compõem uma abordagem tradicional da gestão deste risco, em que as empresas estão em estágios distintos de implementação e amadurecimento, e quais os pontos de atenção que deve focar em cada um, que vou detalhar mais abaixo:
- Estratégia de Risco e Apetite ao Risco: Este elemento articula o desejo da organização de incluir o risco operacional como parte de sua estratégia. Ele define o nível de risco que a empresa está disposta a aceitar em busca de suas recompensas e objetivos. Abaixo separei as empresas em 3 níveis de maturidade deste elemento:
Iniciante: A estratégia e o apetite ao risco são definidos de maneira isolada, com foco apenas no capital regulatório de gestão de riscos operacionais (ORM).
Em Desenvolvimento: A estratégia e o apetite ao risco são definidos conjuntamente, considerando o capital econômico e distribuídos em nível empresarial.
Maduro: Definição conjunta e integrada em toda a empresa, com capital econômico incorporado na precificação de produtos.
Temos aqui a abordagem que uma empresa deve usar para alcançar seus objetivos de negócios e sua atitude e abordagem para aceitar e gerenciar o risco operacional. Define como uma organização pode alcançar seus objetivos de negócios dentro dos limites de uma governança e requisitos de gestão de risco.
Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
- Supervisão e interação do conselho;
- Organização do comitê;
- Framework de governança de risco;
- Papéis e responsabilidades;
- Desafio credível;
- Governança de modelo e gestão de risco;
- Gestão de políticas e procedimentos. - Governança de Risco: Refere-se à estrutura organizacional e processos que fornecem a supervisão apropriada e definem papéis e responsabilidades claras para a gestão e o relatório de risco operacional.
Iniciante: Discussões em fóruns de gestão de risco sem representantes de negócios e com políticas básicas de risco operacional estabelecidas.
Em Desenvolvimento: Comitê de RO estabelecido com parceiros de negócios e framework de RO definido, incluindo linhas de defesa.
Maduro: Existência de equipes de risco empresariais, com mecanismos de desafio credíveis e responsabilidades bem definidas. Inclui aqui a supervisão do conselho e a interação com a alta administração, fornecendo visibilidade sobre o perfil de risco da empresa e operações de negócios para impulsionar uma supervisão eficaz do risco. Estrutura de governança de risco operacional alinhada ao tamanho e perfil de risco da empresa, definindo propriedade e responsabilidades.
Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
- Estratégia e apetite ao risco. - Cultura de Risco: Baseia-se no conhecimento coletivo e entendimento dos valores organizacionais. A cultura de risco influencia o comportamento das pessoas, reforçando aqueles que protegem o banco e os clientes.
Iniciante: "A gestão de risco lida com risco", com incentivos baseados em metas de crescimento.
Em Desenvolvimento: "O risco é um mal necessário", com RO sendo um tópico em discussões de desempenho e treinamento reativo.
Maduro: Cultura em que "todos jogam no time do risco", com incentivos alinhados à gestão, reputação e impacto ao cliente.
Importante aqui é a compreensão e os valores comuns incorporados em todos os níveis da organização, que suportam e fornecem padrões e incentivos apropriados para impulsionar comportamentos. Processos de gerenciamento de talentos que garantem que os recursos tenham conhecimento, habilidades e treinamento adequados para cumprir as responsabilidades de gestão de riscos.
Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
- Cultura de risco;
- Gestão de compensação e desempenho;
- Processos de gestão de talentos;
- Comunicação e educação. - Avaliação e Medição de Risco Operacional: Envolve processos qualitativos e quantitativos que permitem a identificação, avaliação e medição de riscos existentes e emergentes.
Iniciante: Avaliações qualitativas de toda a empresa.
Em Desenvolvimento: Avaliações qualitativas e quantitativas, incluindo análises de cenários informais.
Maduro: Avaliações qualitativas e quantitativas robustas, incluindo análises de cenário e modelagem de capital operacional. Aqui o importante é a taxonomia para definição consistente e arquitetura comum para terminologia de risco e empresa, melhorando a consistência na agregação de dados e relatórios. E também a modelagem de capital para ajudar na alocação de capital mais precisa e na ligação efetiva com a estrutura de apetite ao risco.
Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
- Taxonomia;
- Avaliações de dados de perdas;
- Avaliações qualitativas;
- Autoavaliação do controle de riscos;
- Modelagem de capital;
- Análise de causa raiz;
- Análise de cenário;
- Critérios de coleta de perdas
- Gestão e Monitoramento de Risco Operacional: Este é o enfoque da gestão para lidar, monitorar, mitigar ou aceitar riscos relacionados às operações.
Iniciante: Programas de RO em silos com cobertura incompleta, monitoramento realizado apenas pelo time de RO.
Em Desenvolvimento: Cobertura interna completa, com monitoramento realizado pelo RO e pelos negócios.
Maduro: Dados integrados para gerar "inteligência de risco", apoiando decisões estratégicas. Aqui o importante são os testes para demonstrar que o modelo de risco operacional está operacionalizado e incorporado aos processos de negócios, assim como planejamento de mitigação de risco para identificação, planejamento e conclusão de atividades para reduzir riscos a níveis aceitáveis. Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
- Testes;
- Validação;
- Planejamento de mitigação de risco;
- Gestão de incidentes/problemas;
- Gestão de reclamações de clientes;
- Controle de mudanças e gestão de mudanças;
- Gestão de terceiros e fornecedores;
- Continuidade de negócios. - Relatórios de Risco Operacional: Inclui o relatório interno e externo de riscos e informações relevantes que oferecem visibilidade sobre a eficácia dos processos de gestão de risco operacional.
Iniciante: Relatório sobre o status do programa RO.
Em Desenvolvimento: Relatórios incluindo Indicadores-Chave (KPIs) de Risco e tolerância.
Maduro: Estrutura de relatórios consistente em toda a empresa, abrangendo níveis de KRIs e processos de escalonamento. Aqui o importante são os KRIs e limites de risco para monitoramento dinâmico de governança, análise e relatórios para gerenciar rapidamente problemas e fortalecer processos e ambiente de controle. Assim como os relatórios de gerenciamento e escalonamento para monitorar e escalar o risco a partes interessadas de risco apropriadas. Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
- Indicadores-Chave de Risco (KRIs) e limites de risco;
- Relatório gerencial e escalonamento;
- Relatórios externos. - Dados Operacionais e Tecnologia: Gerencia a infraestrutura tecnológica e os dados de risco para fornecer informações valiosas aos stakeholders.
Iniciante: Programas operacionais e relatórios majoritariamente manuais.
Em Desenvolvimento: Alguma automação, mas com centros de dados de risco distintos.
Maduro: Plataformas integrada de Governança, Risco e Conformidade (GRC) e relatórios operacionais automatizados com alta confiança nos dados. O importante aqui é a arquitetura de TI e gerenciamento para desenho, desenvolvimento e manutenção contínua de repositórios de dados centralizados e infraestrutura tecnológica robusta. Assim como a governança de dados e propriedade para mecanismos de controle para desenvolver definições comuns de dados e estabelecer padrões de qualidade de dados. Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
- Arquitetura de TI e gestão;
- Governança de dados e propriedade;
- Agregação de dados de risco;
- Seleção de sistemas/ferramentas;
- Recuperação de desastres;
- Segurança da informação;
- Habilitação tecnológica;
- Dados de quase perdas.
Cada um desses elementos é fundamental para uma gestão eficaz de riscos operacionais e deve ser considerado integrado aos demais, formando um sistema coeso que protege a organização contra perdas e aproveita oportunidades de maneira controlada e consciente do risco assumido.
Estes estágios de maturidade demonstram uma evolução na forma como as empresas gerenciam seus riscos operacionais, passando de uma abordagem fragmentada e reativa para uma abordagem integrada, proativa e alinhada com objetivos estratégicos e de negócio. Este modelo de maturidade permite que as organizações melhorem continuamente seus processos de gestão de riscos operacionais, o que é essencial para atender às expectativas regulatórias em constante evolução e para mitigar riscos efetivamente.
Cada um desses componentes desempenha um papel importante na construção e manutenção de um framework de risco operacional forte e maduro, o qual é capaz de identificar, avaliar, monitorar e mitigar os riscos de maneira eficaz, garantindo que a organização esteja bem posicionada para atender ou superar as exigências regulatórias. A integração e alinhamento desses componentes são essenciais para que a organização consiga responder de maneira ágil e informada a um ambiente regulatório e de negócios em constante mudança.