Se uma organização não tiver uma compreensão clara do seu perfil de perdas operacionais e não tiver uma previsão dos casos comuns de falhas, estará significativamente menos preparada para gerir eficazmente os seus riscos prospectivos. Historicamente, as perdas operacionais foram o primeiro componente de risco operacional implementado pelas organizações, enquanto o apetite de risco, por exemplo, foi introduzido numa fase muito posterior.
Os eventos de risco operacional (também chamados de incidentes), no entanto, vão além das perdas puramente financeiras usadas para o cálculo de capital econômico / regulamentar e provisões. Eles são definidos como “eventos que surgem devido a falhas de processos, pessoas ou sistemas ou do ambiente externo, resultando em exposição financeira real ou potencial e/ou danos ao cliente, danos à reputação ou censura regulatória”. Esta definição demonstra a complexidade do risco operacional, que pode cristalizar-se numa variedade de eventos com impactos financeiros e não financeiros (clientes, reputacionais, regulamentares).
Portanto, podemos afirmar que um evento de risco operacional é “um evento que faz com que o resultado real de um processo de negócio seja diferente do resultado esperado”. Isso enfatiza a natureza errônea ou indesejável do incidente. Nesse sentido, o escopo dos eventos de risco operacional é bem mais abrangente e pode incluir:
Perdas reais: incluem encargos diretos no resultado, custos externos, provisões e perdas.
Quase perdas (near misses): são os eventos de risco operacional que ocorreram, mas não resultaram em perda (efetivamente, neste caso, a organização teve sorte, porém, como seus controles falharam, na próxima vez que esse evento acontecer, ele poderia simplesmente facilmente levar a uma perda monetária ou outras consequências não financeiras significativas.)
Lucros/ganhos de risco operacional.
Custos de oportunidade/receitas perdidas.
Impactos temporais (distorções financeiras, ou seja, impactos econômicos negativos registrados num determinado período fiscal devido a eventos de risco operacional, mas com impacto nos fluxos de caixa de períodos anteriores).
Ciclo de vida de um evento de risco operacional
Eu entendo que o ciclo de vida de um evento de risco operacional é geralmente composto por 6 etapas, conforme diagrama a seguir:
CICLO DE VIDA DO EVENTO DE RISCO OPERACIONAL
1. Identificação
Devido à amplitude da disciplina de risco operacional e às infinitas possibilidades de ocorrência, os eventos de risco operacional podem não ser facilmente identificados. Neste contexto, outros canais de descoberta podem ser úteis, incluindo principalmente: (i) resultados das verificações de reconciliação; (ii) multas, penalidades e indenizações; (iii) reclamações de clientes; (iv) relatórios de incidentes de tecnologia.
No entanto, o principal mecanismo para capturar os eventos de risco operacional são os próprios colaboradores. As unidades de negócios e funções de suporte precisam ser capazes de entender o que é um evento de risco operacional e saber a quem perguntar em caso de dúvida.
Uma ferramenta poderosa para ajudar a 1ª linha de defesa a entender o que é um evento de risco operacional é compilar uma lista de possíveis exemplos de eventos para cada unidade de negócios/função de suporte de forma a fornecer clareza e ajudar os colaboradores a reconhecer um incidente. Treinamento e educação contínuos e personalizados aos funcionários também são essenciais para manter um nível sólido de compreensão.
2. Reporte
Os reportes devem ser executados dentro de um prazo definido, que pode variar significativamente de organização para organização. Eu já presenciei casos que variavam de 24 horas a 90 dias. No entanto, deve-se encorajar o reporte rápido, para transmitir a essência da questão, em vez de esperar que todos os fatos venham à luz. É sempre melhor apenas inserir o registro do evento e, se necessário, complementá-lo à medida que novos detalhes surgirem.
Outro ponto importante relacionado à fase de reporte é que, em muitos casos, a área que descobre o evento não é aquela que o causou. Por exemplo, o departamento de Finanças identifica um registro incorreto em sistema feito por Operações. Quem é o responsável pelo reporte do evento? Para evitar um debate acalorado, é uma boa prática que a unidade de negócios ou função de suporte identificadora sempre relate o incidente, independentemente de ser responsável ou não. Isso ajuda a acelerar o processo e estimula os departamentos a trabalharem em colaboração. A função de risco operacional pode auxiliar na moderação de eventos mais complexos onde múltiplas áreas estão envolvidas.
3. Escalamento
Eventos relevantes precisam ser escalados imediatamente para evitar possíveis desdobramentos adicionais indesejáveis. No caso de inatividade tecnológica, por exemplo, clientes afetados podem recorrer às redes sociais para sinalizar a indisponibilidade do serviço. Os incidentes graves também podem exigir a rápida convocação do time de gestão de crises, que assumirá a liderança na coordenação das ações de acompanhamento. Além disso, alguns eventos de risco operacional devem ser notificados aos reguladores, dependendo das diretrizes de supervisão locais, que variam de acordo com a jurisdição.
Dependendo da natureza do evento, poderão existir outros participantes na cadeia. Os casos de fraude ou crime financeiro serão encaminhados para Recursos Humanos, Prevenção à Fraudes, Departamento Jurídico ou alguma outra combinação de departamentos. Há vantagens em direcionar todos os eventos através da função de risco operacional, que pode servir como ponto central para determinar a escalada subsequente.
4. Análise Individual e Resolução
Um dos desafios fundamentais enfrentados pela 2ª linha de defesa é garantir que os eventos de risco operacional não sejam vistos apenas como um exercício de reporte. É dada muita atenção ao aspecto da coleta das informações – escopo, template, prazo de reporte – a ponto de, por vezes, o elemento mais importante, a gestão ativa do risco, ser subestimado.
Os eventos de risco operacional materiais necessitam de uma análise exaustiva da causa raiz, incluindo o chamado “mergulho profundo” (deep dive) e lições aprendidas. Uma análise de evento pode ser eficazmente realizada através de uma reunião com os especialistas no assunto e as partes interessadas certas presentes na sala. Para auxiliar no processo, pode-se aplicar técnicas que são amplamente empregadas na metodologia de melhoria contínua de processos, como o 5W e o Diagrama de Ishikawa.
Tão importante quanto a análise da causa raiz é criação dos planos de ação para evitar futuras recorrências, com proprietários e datas-alvo. O departamento de Risco Operacional deve monitorizar o progresso destes planos, encaminhar para os comitês relevantes quaisquer planos que não tenham sido encerrados até a data prevista de resolução e confirmar que as melhorias de controle pretendidas realmente abordam o risco associado.
5. Análise Agregada e Comunicação à Alta Gestão
A classificação correta de eventos usando a categoria de taxonomia de risco e identificando-a com a principal unidade de negócios responsável / entidade legal ajuda a construir uma base sólida para uma análise agregada. O departamento de Risco Operacional tem uma visão de todos os eventos de risco operacional da organização e está em melhor posição para conduzir essa análise agregada, fornecendo informações significativas sobre o conjunto de eventos à alta administração e aos comitês apropriados.
Outra técnica poderosa é apresentar tendências e descobertas às unidades de negócios e às funções de suporte, que às vezes podem sentir que os seus eventos de risco operacional relatados parecem desaparecer num buraco negro, sem qualquer feedback de acompanhamento. Este tipo de reporte pode ser feito, por exemplo, numa sessão de revisão trimestral com cada área de 1ª linha, onde os eventos do próprio departamento são discutidos e análises adicionais de toda a organização são partilhadas pela equipe de risco operacional.
6. Validação
A fase de validação concentra-se na precisão e integridade dos dados. Um processo adequado de recolhimento dos dados, e a qualidade / integridade dos dados recolhidos são cruciais para gerar resultados de capital que estejam alinhados com a exposição às perdas operacionais da organização. A etapa de validação deve incluir a reconciliação regular dos eventos de risco operacional registrados no sistema de risco com os registros contábeis. Isto garante que as perdas sejam refletidas corretamente no Balanço e, no sentido inverso, que os respectivos lançamentos do Balanço correspondem ao que está sendo captado pelo sistema de risco.
Um mecanismo de certificação adicional pode ser usado, onde a 1ª linha é solicitada a atestar a integridade e a precisão dos eventos de risco operacional em um determinado no período (geralmente o período coberto pelo relatório de perdas operacionais). Para facilitar este processo, é uma boa prática fornecer às unidades de negócios e às funções de suporte os eventos de risco operacional que eles submeteram, solicitando confirmação por escrito do chefe do departamento de que não ocorreu nenhum outro incidente.
Desafios mais comuns na gestão de eventos de risco operacional
Na minha experiência, pude perceber que os principais desafios na gestão de eventos de risco operacional estão relacionados à:
1. Relutância em reportar os eventos de risco operacional
Este é um obstáculo muito real, especialmente em organizações caracterizadas por uma "cultura de culpa", onde a primeira pergunta geralmente é “quem fez isso”? A cultura de risco da organização deve garantir que os colaboradores se sintam confortáveis e capacitados para falar quando algo corre mal. Promover um ambiente sem culpa e enfatizar o valor das lições aprendidas incentivará os funcionários a levantar questões. A função de risco operacional pode ser um catalisador de mudanças positivas nesta direção, proporcionando treinamento aos colaboradores sobre o valor do reporte de eventos, solicitando à alta gestão que evite reagir aos eventos com comentários negativos e concentrando-se construtivamente na abordagem da causa, em vez de nomear e envergonhar os colaboradores.
2. Falta de ação após o reporte do evento de risco operacional
Muitas vezes os planos de ação são definidos mas não são executados ou concluídos devido a outras prioridades, orçamento insuficiente, apatia ou diversas outras razões. Nestes casos, as ações de melhoria ficam atrasadas e as datas previstas são prorrogadas várias vezes. Para evitar este cenário, é necessário adotar uma abordagem pragmática, diferenciando as questões menores das questões materiais. Para eventos insignificantes, as melhorias podem ser muito dispendiosas e a aceitação do risco é a solução ideal. Contudo, se o evento e as ações correspondentes forem materiais, eles precisam ser tratados com o mesmo rigor que os planos de ação de auditoria interna.
3. “Administração” em vez de gestão de riscos
Este é outro ponto relacionado à materialidade dos eventos. Caso os limites que definem a materialidade de eventos relevantes sejam inadequadamente baixos, em conjunto com funcionários no departamento de Risco Operacional que perseguem cada evento, ação e data prevista, independentemente da materialidade, todo o exercício de gestão de eventos de risco operacional pode ser negativamente impactado. Embora seja importante ter uma abordagem disciplinada para registrar e analisar eventos, é igualmente essencial aplicar uma perspectiva baseada no risco/retorno e bom senso quando se trata de questões menores.
4. Falta de senso de propriedade em eventos de risco operacional envolvendo múltiplas áreas
Quando múltiplas áreas estão envolvidas num evento, geralmente nenhuma das áreas de 1ª linha está disposta a intervir e liderar a remediação, e a responsabilidade acaba sendo continuamente transferida (“este evento não é meu”). Nesses casos, o departamento de Risco Operacional deve moderar a resolução, facilitando as conversas e acordando os passos certos a seguir.
5. Formulário de reporte de eventos de risco operacional muito complexo
Se o formulário de reporte de eventos de risco operacional for muito complicado e parecer não agregar nenhum valor, a 1ª linha irá hesitar na sua utilização. A simplificação do processo de reporte garante que, do ponto de vista do usuário, haja uma percepção de valor em comparação com o tempo e esforço investidos.
6. Envolvimento desequilibrado do departamento de Risco Operacional
Críticas são diversas vezes dirigidas ao departamento de Risco Operacional no sentido de que ele só se torna visível quando ocorre um evento de risco operacional. E embora a unidade de negócios esteja determinadamente focada na investigação e resolução do incidente, risco operacional acompanha inutilmente à cada hora exigindo o envio do reporte do evento. É verdade que a 2ª linha necessita de estar ativamente envolvida em todas as fases do processo de gestão de eventos de risco operacional, mas este não deve ser o único momento onde há interação com a 1ª linha. A construção de relacionamentos, a compreensão das funções de cada um e o trabalho em parceria durante todo o ciclo de vida da gestão de riscos são fundamentais para a sua gestão eficaz.
Concluindo: como podemos ver, o percurso para gerir de forma eficaz os eventos de risco operacional ainda está longe de ser perfeito. Os profissionais de risco operacional precisam continuamente perseverar na melhoria deste instrumento de gestão aparentemente básico, afastando-se da mera conformidade regulamentar, trabalhando em colaboração com outros departamentos e continuando a contribuir positivamente para o desenvolvimento de uma cultura de não culpabilidade, que conduza os colaboradores a se manifestarem e apresentarem reportes de incidentes.
