Artigo
27/01/2024
Atualizado em 17/04/2026

Estrutura e Modelo de Gestão de Risco Operacional

Apresenta os elementos essenciais e níveis de maturidade na gestão de risco operacional, destacando estratégias, governança, cultura, avaliação, monitoramento, relatórios e tecnologia para proteção e conformidade empresarial.

Imagem de capa do artigo

Queria falar hoje um pouco mais sobre risco operacional (RO), e começo falando sobre alguns dos elementos que compõem uma abordagem tradicional da gestão deste risco, em que as empresas estão em estágios distintos de implementação e amadurecimento, e quais os pontos de atenção que deve focar em cada um, que vou detalhar mais abaixo:

  • Estratégia de Risco e Apetite ao Risco: Este elemento articula o desejo da organização de incluir o risco operacional como parte de sua estratégia. Ele define o nível de risco que a empresa está disposta a aceitar em busca de suas recompensas e objetivos. Abaixo separei as empresas em 3 níveis de maturidade deste elemento:
    Iniciante: A estratégia e o apetite ao risco são definidos de maneira isolada, com foco apenas no capital regulatório de gestão de riscos operacionais (ORM).
    Em Desenvolvimento: A estratégia e o apetite ao risco são definidos conjuntamente, considerando o capital econômico e distribuídos em nível empresarial.
    Maduro: Definição conjunta e integrada em toda a empresa, com capital econômico incorporado na precificação de produtos.
    Temos aqui a abordagem que uma empresa deve usar para alcançar seus objetivos de negócios e sua atitude e abordagem para aceitar e gerenciar o risco operacional. Define como uma organização pode alcançar seus objetivos de negócios dentro dos limites de uma governança e requisitos de gestão de risco.
    Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
    - Supervisão e interação do conselho;
    - Organização do comitê;
    - Framework de governança de risco;
    - Papéis e responsabilidades;
    - Desafio credível;
    - Governança de modelo e gestão de risco;
    - Gestão de políticas e procedimentos.
  • Governança de Risco: Refere-se à estrutura organizacional e processos que fornecem a supervisão apropriada e definem papéis e responsabilidades claras para a gestão e o relatório de risco operacional.
    Iniciante: Discussões em fóruns de gestão de risco sem representantes de negócios e com políticas básicas de risco operacional estabelecidas.
    Em Desenvolvimento: Comitê de RO estabelecido com parceiros de negócios e framework de RO definido, incluindo linhas de defesa.
    Maduro: Existência de equipes de risco empresariais, com mecanismos de desafio credíveis e responsabilidades bem definidas. Inclui aqui a supervisão do conselho e a interação com a alta administração, fornecendo visibilidade sobre o perfil de risco da empresa e operações de negócios para impulsionar uma supervisão eficaz do risco. Estrutura de governança de risco operacional alinhada ao tamanho e perfil de risco da empresa, definindo propriedade e responsabilidades.
    Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
    - Estratégia e apetite ao risco.
  • Cultura de Risco: Baseia-se no conhecimento coletivo e entendimento dos valores organizacionais. A cultura de risco influencia o comportamento das pessoas, reforçando aqueles que protegem o banco e os clientes.
    Iniciante: "A gestão de risco lida com risco", com incentivos baseados em metas de crescimento.
    Em Desenvolvimento: "O risco é um mal necessário", com RO sendo um tópico em discussões de desempenho e treinamento reativo.
    Maduro: Cultura em que "todos jogam no time do risco", com incentivos alinhados à gestão, reputação e impacto ao cliente.
    Importante aqui é a compreensão e os valores comuns incorporados em todos os níveis da organização, que suportam e fornecem padrões e incentivos apropriados para impulsionar comportamentos. Processos de gerenciamento de talentos que garantem que os recursos tenham conhecimento, habilidades e treinamento adequados para cumprir as responsabilidades de gestão de riscos.
    Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
    - Cultura de risco;
    - Gestão de compensação e desempenho;
    - Processos de gestão de talentos;
    - Comunicação e educação.
  • Avaliação e Medição de Risco Operacional: Envolve processos qualitativos e quantitativos que permitem a identificação, avaliação e medição de riscos existentes e emergentes.
    Iniciante: Avaliações qualitativas de toda a empresa.
    Em Desenvolvimento: Avaliações qualitativas e quantitativas, incluindo análises de cenários informais.
    Maduro: Avaliações qualitativas e quantitativas robustas, incluindo análises de cenário e modelagem de capital operacional. Aqui o importante é a taxonomia para definição consistente e arquitetura comum para terminologia de risco e empresa, melhorando a consistência na agregação de dados e relatórios. E também a modelagem de capital para ajudar na alocação de capital mais precisa e na ligação efetiva com a estrutura de apetite ao risco.
    Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
    - Taxonomia;
    - Avaliações de dados de perdas;
    - Avaliações qualitativas;
    - Autoavaliação do controle de riscos;
    - Modelagem de capital;
    - Análise de causa raiz;
    - Análise de cenário;
    - Critérios de coleta de perdas
  • Gestão e Monitoramento de Risco Operacional: Este é o enfoque da gestão para lidar, monitorar, mitigar ou aceitar riscos relacionados às operações.
    Iniciante: Programas de RO em silos com cobertura incompleta, monitoramento realizado apenas pelo time de RO.
    Em Desenvolvimento: Cobertura interna completa, com monitoramento realizado pelo RO e pelos negócios.
    Maduro: Dados integrados para gerar "inteligência de risco", apoiando decisões estratégicas. Aqui o importante são os testes para demonstrar que o modelo de risco operacional está operacionalizado e incorporado aos processos de negócios, assim como planejamento de mitigação de risco para identificação, planejamento e conclusão de atividades para reduzir riscos a níveis aceitáveis. Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
    - Testes;
    - Validação;
    - Planejamento de mitigação de risco;
    - Gestão de incidentes/problemas;
    - Gestão de reclamações de clientes;
    - Controle de mudanças e gestão de mudanças;
    - Gestão de terceiros e fornecedores;
    - Continuidade de negócios.
  • Relatórios de Risco Operacional: Inclui o relatório interno e externo de riscos e informações relevantes que oferecem visibilidade sobre a eficácia dos processos de gestão de risco operacional.
    Iniciante: Relatório sobre o status do programa RO.
    Em Desenvolvimento: Relatórios incluindo Indicadores-Chave (KPIs) de Risco e tolerância.
    Maduro: Estrutura de relatórios consistente em toda a empresa, abrangendo níveis de KRIs e processos de escalonamento. Aqui o importante são os KRIs e limites de risco para monitoramento dinâmico de governança, análise e relatórios para gerenciar rapidamente problemas e fortalecer processos e ambiente de controle. Assim como os relatórios de gerenciamento e escalonamento para monitorar e escalar o risco a partes interessadas de risco apropriadas. Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
    - Indicadores-Chave de Risco (KRIs) e limites de risco;
    - Relatório gerencial e escalonamento;
    - Relatórios externos.
  • Dados Operacionais e Tecnologia: Gerencia a infraestrutura tecnológica e os dados de risco para fornecer informações valiosas aos stakeholders.
    Iniciante: Programas operacionais e relatórios majoritariamente manuais.
    Em Desenvolvimento: Alguma automação, mas com centros de dados de risco distintos.
    Maduro: Plataformas integrada de Governança, Risco e Conformidade (GRC) e relatórios operacionais automatizados com alta confiança nos dados. O importante aqui é a arquitetura de TI e gerenciamento para desenho, desenvolvimento e manutenção contínua de repositórios de dados centralizados e infraestrutura tecnológica robusta. Assim como a governança de dados e propriedade para mecanismos de controle para desenvolver definições comuns de dados e estabelecer padrões de qualidade de dados. Os pontos chaves aqui que deve olhar com mais atenção e implementar são:
    - Arquitetura de TI e gestão;
    - Governança de dados e propriedade;
    - Agregação de dados de risco;
    - Seleção de sistemas/ferramentas;
    - Recuperação de desastres;
    - Segurança da informação;
    - Habilitação tecnológica;
    - Dados de quase perdas.

Cada um desses elementos é fundamental para uma gestão eficaz de riscos operacionais e deve ser considerado integrado aos demais, formando um sistema coeso que protege a organização contra perdas e aproveita oportunidades de maneira controlada e consciente do risco assumido.

Estes estágios de maturidade demonstram uma evolução na forma como as empresas gerenciam seus riscos operacionais, passando de uma abordagem fragmentada e reativa para uma abordagem integrada, proativa e alinhada com objetivos estratégicos e de negócio. Este modelo de maturidade permite que as organizações melhorem continuamente seus processos de gestão de riscos operacionais, o que é essencial para atender às expectativas regulatórias em constante evolução e para mitigar riscos efetivamente.

Cada um desses componentes desempenha um papel importante na construção e manutenção de um framework de risco operacional forte e maduro, o qual é capaz de identificar, avaliar, monitorar e mitigar os riscos de maneira eficaz, garantindo que a organização esteja bem posicionada para atender ou superar as exigências regulatórias. A integração e alinhamento desses componentes são essenciais para que a organização consiga responder de maneira ágil e informada a um ambiente regulatório e de negócios em constante mudança.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante