Artigo
16/10/2025

Gestão de riscos não-financeiros: O que as instituições financeiras podem aprender com as empresas não financeiras?

Analisa como práticas de gestão de riscos não financeiros em empresas podem inspirar instituições financeiras.

Avatar Victor Machado

Registros selecionados

Imagem de capa do artigo

Desde meados da década de 1990, as instituições financeiras, e especialmente os bancos, assumiram a liderança no desenvolvimento de abordagens avançadas para a gestão de riscos financeiros: risco de crédito, risco de mercado e risco de liquidez. Estas práticas evoluíram em conjunto com os esforços para criar uma regulamentação mais sistemática, começando com o acordo original de Basileia I em 1988.

Basileia II e Basileia III seguiram-se na década de 2000, com as alterações conhecidas como “Basileia IV” na década de 2020. Além disso, vários reguladores exigem agora exercícios anuais de testes de estresse. No cerne destas abordagens está o entendimento fundamental de que os riscos podem ser quantificados e expressos em termos de uma reserva de capital que os bancos precisam de deter para compensar potenciais perdas. Os riscos financeiros se refletem nas posições financeiras dos balanços dos bancos e resultam da sua atividade de assunção de riscos.

Já os riscos não financeiros surgem das suas operações (processos e sistemas) e são semelhantes aos riscos enfrentados por empresas fora do setor financeiro (que, para facilidade de entendimento do artigo, chamarei agora em diante de “corporações”). Ao longo do tempo, as corporações desenvolveram abordagens específicas para lidar com o risco não financeiro, ao mesmo tempo que adaptaram as abordagens desenvolvidas pelas instituições financeiras para gerir o risco financeiro, que também enfrentam.

As corporações, porém, têm uma variedade de pontos de vista sobre os riscos não financeiros e sobre como abordá-los, determinados principalmente pelo mercado e pelo setor ao qual pertencem. Geralmente, as perspectivas divergentes estão relacionadas ao apetite ao risco e às práticas de gestão de risco de cada setor. Por exemplo, no setor aéreo, a segurança é de suma importância.

Os dados sobre “quase acidentes” são tão valorizados que os pilotos são penalizados mais severamente por não fornecerem essas informações do que por terem cometido erros reais. Em empresas de tecnologia, os fornecedores de cloud (nuvem) se concentram na estabilidade. Os seus serviços tiveram um desempenho tão bom durante a pandemia de Covid-19 que muitos bancos e outras corporações superaram as suas dúvidas sobre os riscos de cloud computing, o que anteriormente era uma barreira à transferência de serviços de software críticos.

Depois de observar os elevados padrões de segurança mantidos pelos fornecedores de cloud, as organizações passaram a considerá-los mais seguros do que os data centers locais. Outro exemplo: na indústria automotiva, a produção global é altamente sofisticada, com até 80% de terceirização na cadeia de suprimentos. Isto permite uma escalabilidade única do produto, mas cria vulnerabilidades decorrentes de riscos geopolíticos, bem como de mudanças regulamentares e tecnológicas.

Essa indústria está, portanto, empenhada em constantemente repensar estratégias em todas as cadeias de abastecimento, software e abordagens à conformidade ambiental e de produtos. Ou seja, diversas corporações desenvolveram a sua mentalidade de gestão de riscos à luz do ambiente de negócios disruptivo e em rápida mudança na qual estão inseridas. E eu entendo que estes desenvolvimentos podem trazer lições importantes para as instituições financeiras.

A abordagem de ERM em corporações e instituições financeiras

Comparar as estruturas de gestão de riscos não financeiros e de gestão de riscos empresariais (Enterprise Risk Management - ERM) em instituições financeiras e corporações nos permite compreender os seus diferentes antecedentes e impulsionadores evolutivos. Existem quatro camadas básicas de um sistema ERM, conforme mostrado na imagem abaixo:

Conteúdo do artigo

  1. Governança e organização: Abrange a estrutura de responsabilização (as três linhas de defesa), abordando a forma como a apropriação do risco, o controle do risco e a responsabilização pela sua mitigação são atribuídos, exercidos através de comitês de risco e formalizados através de uma estrutura de políticas relacionada.

  2. Processos e metodologias de ERM: Aqui são definidos a abordagem e os processos gerais de ERM. Geralmente são adotadas abordagens diferentes para riscos financeiros versus riscos não financeiros. No caso de riscos financeiros, as abordagens concentram-se em estruturas de limites, enquanto que para riscos não financeiros as abordagens baseiam-se em matrizes de severidade e probabilidade que mapeiam riscos inerentes e residuais.

  3. Controles de riscos específicos: Esta camada envolve todos os mecanismos de gerenciamento de tipos de riscos específicos. Os riscos não financeiros são geridos através de controles específicos, muitas vezes chamados de controles-chave, uma vez que são formalmente regidos pela abordagem ERM. Podem ser controles em torno de reconciliações para divulgações financeiras, o princípio dos “quatro olhos” (“four-eye” principle) para aprovações de parcerias comerciais ou controles integrados em sistemas, frequentemente utilizados para riscos cibernéticos.

  4. Cultura de risco: Esta última camada refere-se à gestão de normas e comportamentos em torno do risco, incluindo a estrutura de incentivos, o tom definido pela alta gestão (tone from the top), a consistência da governança formal do risco com o seu comportamento real, e a abordagem para descobrir e equilibrar questões de risco e conflitos em toda a organização (como metas de desempenho de P&L vs. adesão às normas de risco e integridade).

Estas camadas de ERM e os seus componentes existem normalmente em instituições financeiras e corporações. A sua maturidade e desenvolvimento, contudo, podem diferir significativamente. Existem, por exemplo, diferenças significativas de aplicação, uma vez que a gestão de risco no setor financeiro é fortemente regulamentada, enquanto as práticas corporativas de ERM são geralmente orientadas por padrões da indústria, como aqueles relacionados com o COSO (Committee of Sponsoring Organizations of the Treadway Commission).

Corporações versus instituições financeiras: principais diferenças na gestão de riscos não financeiros e possíveis aprendizados para as IFs

Diferenças na governança e organização

Uma diferença marcante entre instituições financeiras e corporações pode ser vista nas respectivas estruturas de governança do risco e na medida em que são formalizadas. Até 10% do pessoal de uma instituição financeira poderá estar situado em funções centrais de risco (risco, conformidade, etc.). Nas corporações, contudo, o percentual correspondente é muitas vezes bem inferior a 1%. A razão para essa diferença é que as instituições financeiras necessitam de funções centrais de risco mais pesadas para cumprir requisitos regulamentares mais rigorosos.

Estes incluem um mandato de um CRO como um executivo distinto de segunda linha. As corporações, por outro lado, concentram-se mais em incorporar a gestão de riscos nos seus processos operacionais na linha da frente. A maior parte da gestão de riscos não financeiros, no que se refere ao modelo operacional corporativo, está incorporada nos negócios. Geralmente as funções de risco e conformidade são atribuídas ao diretor financeiro.

Poucas empresas não financeiras têm um diretor de risco dedicado. Muitas instituições financeiras aumentam a propriedade do risco na primeira linha com áreas de controle específicas. Isto permite que elas abordem as causas profundas dos problemas de forma mais eficaz e permanente. Para as corporações, as funções centrais de risco e conformidade geralmente não são responsáveis pela certificação da conformidade relativamente aos riscos que surgem nos negócios (tais como riscos de saúde e segurança na mineração ou de segurança de rede para empresas de telecomunicações).

As corporações, no entanto, superaram a delimitação muitas vezes artificial entre primeira/segunda linhas que as instituições financeiras aplicam. Para as instituições financeiras esta divisão pode criar um muro entre uma função de controle independente e um centro de competência. Curiosamente, o termo “controle independente” foi eliminado dos padrões organizacionais do COSO no que diz respeito à segunda linha, enquanto que no setor financeiro o termo ainda é utilizado em toda a regulamentação.

Diferenças nos processos e metodologias de ERM

As instituições financeiras enfatizam forçosamente o risco financeiro no seu ERM tradicional. Adotam uma abordagem altamente quantitativa em torno do capital como recurso do balanço. O perfil de risco é normalmente definido de cima para baixo em relação ao capital disponível (após determinadas reservas), medido tanto em termos regulamentares como econômicos, e depois distribuído na organização. Por diversas razões, esta abordagem é impraticável para riscos não financeiros, a não ser na mensuração do impacto potencial que estes riscos podem ter no capital como último recurso de compensação.

As instituições financeiras aplicam modelos de capital para obter uma visão completa da adequação dos seus níveis de capitalização e depois alocam-nos entre diferentes negócios, apesar das suposições para isso serem estatisticamente fracas. No entanto, a abordagem permite uma orientação análoga numa base de capital alinhada com os riscos financeiros.

A desvantagem dessa abordagem é dupla. Em primeiro lugar, a história não é um indicador fiável de riscos não financeiros, dadas as contínuas mudanças no modelo de negócio, melhorias de processos e alterações regulamentares. O contraste com os riscos de crédito e de mercado é claro, uma vez que a solvência, por exemplo, pode ser prevista com bastante precisão a partir de dados de balanço, tal como a volatilidade do mercado pode ser medida a partir de dados de mercado. Em segundo lugar, os riscos não financeiros têm de ser avaliados no contexto do modelo de negócio específico e das expectativas dos clientes. O apetite pelo risco é muito diferente para riscos que envolvem saúde e segurança, como no caso de software em centrais nucleares ou mesmo de produtos de consumo, como automóveis.

As corporações desenvolveram, portanto, abordagens de gestão de riscos baseadas em dados especializados e dados de desempenho para processos e sistemas. Esses dados proporcionam uma melhor base para orientar o risco não financeiro. As empresas industriais adotam esta abordagem para o controle de qualidade e para o gerenciamento da maioria dos riscos relacionados ao produto (e à produção). As instituições financeiras, por outro lado, enfrentam mais dificuldades, pois devem abordar processos heterogêneos e produtos altamente complexos construídos ao longo do tempo. Algumas institituições começaram a desenvolver frameworks de qualidade de processos (ou produtos) para gerir riscos não financeiros, porém, a grande maioria ainda precisa fazer essa conexão.

Diferenças nas abordagens de controles de riscos específicos

Algumas corporações desenvolveram abordagens altamente sofisticadas para gerir o risco não financeiro nos seus modelos de negócio. As experiências de setores específicos podem fornecer orientações úteis às instituições financeiras:

  • Gestão de riscos de processos: As instituições financeiras que desenvolvem produtos e modelos de negócio complexos podem aprender lições importantes com as indústrias automobilística e farmacêutica. No setor automotivo, as abordagens para gerenciar riscos de processo e produção incorporam experiência considerável e são altamente sofisticadas, especialmente em relação ao custo, qualidade e segurança do produto. A ênfase na terceirização na indústria automobilística, por exemplo, é aliada ao monitoramento contínuo dos fornecedores em relação a custo e qualidade. Na indústria farmacêutica, a gestão de riscos relacionados com pesquisa e desenvolvimento e padrões de produção (fortemente regulamentados), por exemplo, está altamente desenvolvida.

  • Gestão de riscos de desenvolvimento e implementação de software: As instituições financeiras começaram a desenvolver e implementar softwares em ciclos rápidos, uma abordagem que reflete aquela usada pelas empresas de tecnologia. No entanto, a relativa estabilidade dos produtos desenvolvidos pelas empresas de tecnologia, bem como a suavidade da sua subsequente adoção, contrasta com a experiência de muitas instituições financeiras. Há muito o que aprender com a experiência dessas corporações de tecnologia.

  • Segurança corporativa e continuidade dos negócios: A indústria aeronáutica tem abordado os riscos geopolíticos e os requisitos de segurança desde a sua criação. Sua vasta experiência inclui muitos mecanismos para lidar com a segurança física.

Diferenças na cultura de riscos

Dada a pequena dimensão das funções de risco das corporações em relação às das instituições financeiras, as primeiras tiveram de dar maior ênfase aos elementos culturais. A maioria dos principais riscos não financeiros que as corporações enfrentam têm sérios problemas de integridade associados, como evidenciado em alguns casos espetaculares: desde os escândalos de emissões no setor automóvel até às falhas do piloto automático na indústria aeronáutica.

Para mitigar esses riscos, as corporações implementaram uma série de medidas: sistemas de denúncia de irregularidades, investigações, programas de formação e comunicação, questionários e pesquisas aos funcionários, entre outras. As instituições financeiras adotaram algumas das mesmas medidas, mas em menor escala. Em algumas delas, a cultura de risco não é muito valorizada como alavanca de gestão de risco. Também desempenha um papel menor na gestão do risco financeiro versus não financeiro, dada a maior transparência proporcionada ao primeiro nas operações bancárias.

Conclusão

A experiência das corporações fornece às instituições financeiras lições para melhorar a forma como estas abordam os riscos não financeiros. As corporações continuam a desenvolver os seus sistemas de ERM, indo além dos processos formais. Elas estão se concentrando em incorporar a gestão de riscos na linha de frente e em elevar questões de resiliência estratégica à equipe executiva e ao conselho.

As instituições financeiras podem seguir estes passos de forma lucrativa, uma vez que possuem mais recursos de gestão de riscos devido às exigências regulatórias. As instituições financeiras devem se adaptar melhor ao cenário de risco em mudança, integrando eficazmente a gestão do risco não financeiro na linha da frente e repensando a sua abordagem ao apetite pelo risco (além da atual cascata de métricas de capital ou de uma seleção arbitrária de indicadores-chave de desempenho e indicadores-chave de risco). Tal como acontece com as principais corporações, as instituições financeiras devem construir uma abordagem eficaz ao risco não financeiro, melhorando a gestão da qualidade em torno dos processos e sistemas relevantes e reforçando a resiliência em geral.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

O que são riscos financeiros para instituições financeiras?
Riscos financeiros são aqueles que se refletem nas posições financeiras dos balanços dos bancos.Eles resultam diretamente da atividade de assunção de riscos inerente às operações bancárias.
O que são riscos não financeiros e onde eles surgem?
Riscos não financeiros são aqueles que surgem das operações de uma organização, especificamente de seus processos e sistemas.Eles são semelhantes aos riscos enfrentados por empresas fora do setor financeiro, chamadas de “corporações” para fins de distinção no contexto da gestão de riscos.
Como as instituições financeiras historicamente abordaram a gestão de riscos financeiros?
Desde meados da década de 1990, as instituições financeiras, especialmente os bancos, lideraram o desenvolvimento de abordagens avançadas para a gestão de riscos financeiros, como o risco de crédito, risco de mercado e risco de liquidez.Essas práticas evoluíram paralelamente aos esforços regulatórios, começando com o acordo original de Basileia I em 1988, seguido por Basileia II e Basileia III na década de 2000, e as alterações conhecidas como “Basileia IV” na década de 2020. Adicionalmente, muitos reguladores passaram a exigir exercícios anuais de testes de estresse.A base dessas abordagens é a quantificação dos riscos e sua expressão em termos de uma reserva de capital que os bancos devem manter para cobrir potenciais perdas.
Qual é a premissa central da abordagem das instituições financeiras para quantificar riscos?
A premissa central da abordagem das instituições financeiras para a gestão de riscos é o entendimento fundamental de que os riscos podem ser quantificados.Uma vez quantificados, esses riscos são expressos em termos de uma reserva de capital que os bancos precisam deter para compensar potenciais perdas.
Como as corporações (empresas não financeiras) geralmente abordam os riscos não financeiros?
As corporações desenvolveram abordagens específicas para lidar com o risco não financeiro, ao mesmo tempo que adaptaram métodos originados nas instituições financeiras para gerir os riscos financeiros que também enfrentam.Contudo, as corporações apresentam uma variedade de pontos de vista sobre os riscos não financeiros e suas respectivas abordagens, que são largamente determinadas pelo mercado e pelo setor em que atuam. Essas perspectivas divergentes geralmente se relacionam com o apetite ao risco e às práticas de gestão de risco específicas de cada setor.
De que forma o apetite ao risco e as práticas de gestão de risco variam entre diferentes setores corporativos?
O apetite ao risco e as práticas de gestão de risco em corporações variam consideravelmente, sendo moldados principalmente pelo mercado e pelo setor de atuação. Alguns exemplos incluem:No setor aéreo, a segurança é primordial. A valorização de dados sobre “quase acidentes” é tão alta que pilotos podem ser mais severamente penalizados por omitir essas informações do que por cometerem erros.Em empresas de tecnologia, especialmente fornecedores de cloud (nuvem), o foco é na estabilidade. O bom desempenho desses serviços durante a pandemia de Covid-19 levou muitas organizações a superar dúvidas sobre os riscos do cloud computing, passando a considerá-los mais seguros que data centers locais.Na indústria automotiva, que possui uma produção global altamente sofisticada com até 80% de terceirização na cadeia de suprimentos, há uma constante necessidade de repensar estratégias em cadeias de abastecimento, software e conformidade ambiental e de produtos. Isso se deve a vulnerabilidades a riscos geopolíticos e a mudanças regulatórias e tecnológicas.
Qual a importância da segurança no setor aéreo em relação à gestão de riscos?
No setor aéreo, a segurança é de suma importância na gestão de riscos.Isso é evidenciado pela alta valorização dos dados sobre “quase acidentes”. A cultura do setor é tal que os pilotos são penalizados mais severamente por não fornecerem essas informações do que por terem cometido erros reais, destacando o compromisso com a prevenção e a aprendizagem a partir de incidentes potenciais.
Como os fornecedores de <em>cloud computing</em> demonstraram sua capacidade de gerenciar riscos, especialmente durante a pandemia de Covid-19?
Os fornecedores de cloud computing (nuvem) demonstraram sua capacidade de gerenciar riscos focando na estabilidade de seus serviços.Durante a pandemia de Covid-19, o desempenho robusto desses serviços foi tão notável que muitas instituições financeiras e outras corporações superaram suas dúvidas anteriores sobre os riscos associados ao cloud computing. Anteriormente, essas preocupações eram uma barreira para a migração de serviços de software críticos.Após observarem os elevados padrões de segurança mantidos pelos fornecedores de cloud, muitas organizações passaram a considerá-los mais seguros do que seus próprios data centers locais.
Quais são os desafios de gestão de riscos na indústria automotiva devido à sua cadeia de suprimentos global e terceirizada?
A indústria automotiva enfrenta desafios significativos de gestão de riscos devido à sua produção global altamente sofisticada, que pode envolver até 80% de terceirização na cadeia de suprimentos.Essa estrutura, embora permita uma escalabilidade única do produto, cria vulnerabilidades decorrentes de riscos geopolíticos, bem como de mudanças regulamentares e tecnológicas.Consequentemente, essa indústria está constantemente empenhada em repensar estratégias em todas as suas cadeias de abastecimento, desenvolvimento de software e abordagens à conformidade ambiental e de produtos.
O que é ERM (<em>Enterprise Risk Management</em>)?
ERM, ou Enterprise Risk Management (Gestão de Riscos Empresariais), refere-se às estruturas e processos que as organizações utilizam para gerenciar os riscos em toda a empresa.Comparar as estruturas de ERM em instituições financeiras e corporações permite compreender seus diferentes antecedentes e os fatores que impulsionaram sua evolução.
Quais são as quatro camadas básicas de um sistema de ERM?
Um sistema de Enterprise Risk Management (ERM) é geralmente composto por quatro camadas básicas:1. Governança e organização: Define a estrutura de responsabilização e a atribuição de papéis na gestão de riscos.2. Processos e metodologias de ERM: Estabelece a abordagem geral e os processos para identificar, avaliar e tratar riscos.3. Controles de riscos específicos: Envolve os mecanismos práticos para gerenciar tipos específicos de riscos.4. Cultura de risco: Refere-se à gestão de normas, comportamentos e atitudes em relação ao risco dentro da organização.Essas camadas e seus componentes existem tanto em instituições financeiras quanto em corporações, mas sua maturidade e desenvolvimento podem variar significativamente.
O que envolve a camada de "Governança e organização" em um sistema ERM?
A camada de "Governança e organização" de um sistema de Enterprise Risk Management (ERM) abrange a estrutura de responsabilização pela gestão de riscos.Isso inclui o modelo das três linhas de defesa, que aborda como a apropriação do risco (risk ownership), o controle do risco e a responsabilização pela sua mitigação são atribuídos dentro da organização.Essa estrutura é exercida por meio de comitês de risco e formalizada através de um conjunto de políticas relacionadas.
O que caracteriza a camada de "Processos e metodologias de ERM"?
A camada de "Processos e metodologias de ERM" define a abordagem e os processos gerais de Enterprise Risk Management (ERM) de uma organização.Geralmente, são adotadas abordagens distintas para riscos financeiros e riscos não financeiros. Para riscos financeiros, as metodologias frequentemente se concentram em estruturas de limites. Já para riscos não financeiros, as abordagens costumam se basear em matrizes de severidade e probabilidade, que mapeiam riscos inerentes (antes dos controles) e riscos residuais (após os controles).
O que são "Controles de riscos específicos" na estrutura de ERM?
Os "Controles de riscos específicos" constituem a terceira camada de um sistema de Enterprise Risk Management (ERM) e envolvem todos os mecanismos utilizados para gerenciar tipos de riscos particulares.Os riscos não financeiros são gerenciados por meio de controles específicos, frequentemente chamados de controles-chave, pois são formalmente regidos pela abordagem ERM. Exemplos desses controles incluem aqueles relacionados a reconciliações para divulgações financeiras, o princípio dos “quatro olhos” (four-eye principle) para aprovações de parcerias comerciais, ou controles integrados em sistemas, que são frequentemente utilizados para mitigar riscos cibernéticos.
O que abrange a camada de "Cultura de risco" em um sistema ERM?
A camada de "Cultura de risco" em um sistema de Enterprise Risk Management (ERM) refere-se à gestão das normas e comportamentos relacionados ao risco dentro de uma organização.Isso inclui diversos elementos, como a estrutura de incentivos, o tom definido pela alta gestão (tone from the top), a consistência entre a governança formal do risco e o comportamento real observado na organização, e a abordagem para descobrir e equilibrar questões de risco e conflitos em toda a empresa (por exemplo, o conflito entre metas de desempenho financeiro e a adesão às normas de risco e integridade).
Como a maturidade e o desenvolvimento dos sistemas ERM diferem entre instituições financeiras e corporações?
Embora as camadas de Enterprise Risk Management (ERM) e seus componentes existam tanto em instituições financeiras (IFs) quanto em corporações, sua maturidade e desenvolvimento podem diferir significativamente.Uma diferença fundamental reside na aplicação: a gestão de risco no setor financeiro é fortemente regulamentada. Em contraste, as práticas corporativas de ERM são geralmente orientadas por padrões da indústria, como aqueles relacionados ao COSO (Committee of Sponsoring Organizations of the Treadway Commission).
Quais são as principais diferenças na governança e organização da gestão de riscos entre instituições financeiras e corporações?
Existem diferenças marcantes na governança e organização da gestão de riscos entre instituições financeiras (IFs) e corporações.Nas instituições financeiras, as estruturas de governança de risco são mais formalizadas. Até 10% do pessoal de uma IF pode estar alocado em funções centrais de risco (como risco, conformidade, etc.). Elas também possuem um mandato para um Diretor de Risco (CRO - Chief Risk Officer) como um executivo distinto de segunda linha, devido a requisitos regulamentares mais rigorosos.Nas corporações, o percentual de pessoal em funções centrais de risco é frequentemente bem inferior a 1%. Elas tendem a focar mais em incorporar a gestão de riscos nos processos operacionais da linha de frente. Geralmente, as funções de risco e conformidade são atribuídas ao Diretor Financeiro (CFO), e poucas empresas não financeiras possuem um diretor de risco dedicado.
Como a estrutura de "linhas de defesa" é percebida e aplicada de forma diferente entre instituições financeiras e corporações?
A aplicação da estrutura de linhas de defesa na gestão de riscos apresenta nuances entre instituições financeiras (IFs) e corporações.As corporações, em geral, superaram a delimitação muitas vezes artificial entre a primeira linha (negócios) e a segunda linha (controle) que as IFs aplicam. Para as IFs, essa divisão pode criar uma barreira entre uma função de controle independente e um centro de competência.É interessante notar que o termo “controle independente” foi eliminado dos padrões organizacionais do COSO no que diz respeito à segunda linha. No entanto, no setor financeiro, o termo ainda é amplamente utilizado em toda a regulamentação.Muitas IFs buscam aumentar a apropriação do risco (risk ownership) na primeira linha por meio de áreas de controle específicas, permitindo que abordem as causas profundas dos problemas de forma mais eficaz. Nas corporações, as funções centrais de risco e conformidade geralmente não são responsáveis pela certificação da conformidade relativa a riscos que surgem diretamente nos negócios, como riscos de saúde e segurança na mineração.
Quais são as diferenças na abordagem de processos e metodologias de ERM para riscos não financeiros entre instituições financeiras e corporações?
Instituições financeiras (IFs) e corporações abordam os processos e metodologias de Enterprise Risk Management (ERM) para riscos não financeiros de maneiras distintas.As instituições financeiras tradicionalmente enfatizam o risco financeiro em seu ERM, adotando uma abordagem altamente quantitativa centrada no capital como recurso do balanço. O perfil de risco é definido de cima para baixo em relação ao capital disponível e distribuído na organização. Para riscos não financeiros, as IFs aplicam modelos de capital para obter uma visão da adequação da capitalização e alocam esse capital entre negócios, mesmo que as premissas estatísticas para isso sejam fracas. Essa abordagem visa uma orientação análoga e alinhada com os riscos financeiros.As corporações, por outro lado, desenvolveram abordagens de gestão de riscos não financeiros baseadas em dados especializados e dados de desempenho de processos e sistemas. Esses dados fornecem uma base mais sólida para orientar o risco não financeiro. Empresas industriais, por exemplo, usam essa abordagem para controle de qualidade e gerenciamento de riscos de produto e produção.
Quais são as desvantagens da abordagem tradicional das instituições financeiras para avaliar riscos não financeiros?
A abordagem tradicional das instituições financeiras para avaliar riscos não financeiros, que frequentemente se baseia na alocação de capital, apresenta algumas desvantagens significativas:Primeiro, a história não é um indicador confiável para riscos não financeiros. Isso se deve às contínuas mudanças no modelo de negócio, melhorias de processos e alterações regulamentares, o que contrasta com riscos de crédito e de mercado, onde dados históricos podem ter maior valor preditivo (por exemplo, a solvência pode ser prevista com dados de balanço e a volatilidade do mercado com dados de mercado).Segundo, os riscos não financeiros precisam ser avaliados no contexto específico do modelo de negócio e das expectativas dos clientes. O apetite pelo risco varia drasticamente dependendo da natureza do risco, como aqueles envolvendo saúde e segurança (por exemplo, em software de centrais nucleares ou produtos de consumo como automóveis), o que não é adequadamente capturado por uma métrica única de capital.
Como as corporações utilizam dados para gerenciar riscos não financeiros?
As corporações desenvolveram abordagens para a gestão de riscos não financeiros que se baseiam fortemente na utilização de dados especializados e dados de desempenho relativos a processos e sistemas.Esses dados proporcionam uma base mais robusta e contextualizada para orientar a gestão do risco não financeiro. Por exemplo, empresas industriais adotam essa abordagem para o controle de qualidade e para o gerenciamento da maioria dos riscos relacionados ao produto e à produção.Essa metodologia permite uma análise mais precisa e direcionada, diferentemente de abordagens que tentam quantificar todos os riscos não financeiros apenas através do impacto potencial no capital.
Que lições as instituições financeiras podem aprender com a indústria automotiva e farmacêutica sobre gestão de riscos de processos?
As instituições financeiras, especialmente aquelas que desenvolvem produtos e modelos de negócio complexos, podem obter lições valiosas sobre gestão de riscos de processos das indústrias automobilística e farmacêutica.No setor automotivo, as abordagens para gerenciar riscos de processo e produção são altamente sofisticadas e incorporam considerável experiência, especialmente em relação a custo, qualidade e segurança do produto. A ênfase na terceirização é acompanhada por um monitoramento contínuo dos fornecedores em relação a esses aspectos.Na indústria farmacêutica, a gestão de riscos relacionados à pesquisa e desenvolvimento (P&D) e aos padrões de produção, que são fortemente regulamentados, está em um estágio muito desenvolvido.
O que as instituições financeiras podem aprender com as empresas de tecnologia sobre a gestão de riscos no desenvolvimento e implementação de <em>software</em>?
As instituições financeiras podem aprender significativamente com as empresas de tecnologia no que tange à gestão de riscos no desenvolvimento e implementação de software.Embora as instituições financeiras tenham começado a desenvolver e implementar software em ciclos rápidos, uma abordagem que reflete a prática das empresas de tecnologia, a experiência muitas vezes difere. As empresas de tecnologia frequentemente alcançam uma relativa estabilidade nos produtos desenvolvidos e uma subsequente adoção mais suave por parte dos usuários.Em contraste, muitas instituições financeiras enfrentam desafios nesse processo. Portanto, há muito o que aprender com a experiência e as metodologias das corporações de tecnologia para aprimorar esses aspectos.
Que conhecimento a indústria aeronáutica pode oferecer às instituições financeiras em termos de segurança corporativa e continuidade dos negócios?
A indústria aeronáutica pode oferecer um vasto conhecimento às instituições financeiras em termos de segurança corporativa e continuidade dos negócios.Desde a sua criação, este setor tem lidado com riscos geopolíticos e rigorosos requisitos de segurança. Como resultado, acumulou uma vasta experiência e desenvolveu muitos mecanismos eficazes para lidar com a segurança física e outros aspectos relacionados à continuidade operacional em ambientes desafiadores.
Por que as corporações tendem a dar maior ênfase à cultura de risco em comparação com as instituições financeiras?
As corporações tendem a dar maior ênfase aos elementos culturais na gestão de riscos, em parte devido à menor dimensão de suas funções centrais de risco em comparação com as instituições financeiras.Com equipes de risco mais enxutas, a internalização de uma forte cultura de risco em toda a organização torna-se crucial. Além disso, muitos dos principais riscos não financeiros que as corporações enfrentam têm sérios problemas de integridade associados, como exemplificado por escândalos de emissões no setor automotivo ou falhas de piloto automático na indústria aeronáutica. Isso reforça a necessidade de focar na cultura como uma linha de defesa.Em algumas instituições financeiras, a cultura de risco pode não ser tão valorizada como uma alavanca de gestão de risco, e desempenha um papel menor na gestão do risco financeiro (devido à sua maior transparência) em comparação com o risco não financeiro.
Quais medidas as corporações implementam para mitigar riscos não financeiros relacionados à integridade?
Para mitigar riscos não financeiros que têm sérios problemas de integridade associados, como os vistos em alguns casos espetaculares (escândalos de emissões no setor automotivo, falhas de piloto automático na indústria aeronáutica), as corporações implementaram uma série de medidas.Essas medidas incluem: sistemas de denúncia de irregularidades (whistleblowing), condução de investigações internas, desenvolvimento de programas de formação e comunicação focados em ética e conformidade, e a aplicação de questionários e pesquisas aos funcionários para aferir a cultura e identificar potenciais problemas.Embora as instituições financeiras também adotem algumas dessas medidas, nas corporações o foco nesses mecanismos culturais costuma ser mais acentuado.
Como as instituições financeiras podem melhorar sua abordagem aos riscos não financeiros com base na experiência das corporações?
As instituições financeiras (IFs) podem melhorar significativamente sua abordagem aos riscos não financeiros aprendendo com a experiência das corporações. As IFs devem se adaptar melhor ao cenário de risco em constante mudança, integrando mais eficazmente a gestão do risco não financeiro na linha da frente de suas operações.Isso envolve repensar sua abordagem ao apetite pelo risco, indo além da atual cascata de métricas de capital ou de uma seleção por vezes arbitrária de indicadores-chave de desempenho (KPIs) e indicadores-chave de risco (KRIs). Seguindo o exemplo das principais corporações, as IFs devem construir uma abordagem eficaz ao risco não financeiro, melhorando a gestão da qualidade em torno dos processos e sistemas relevantes e reforçando a resiliência organizacional de forma geral.As corporações estão continuamente desenvolvendo seus sistemas de ERM, indo além dos processos formais e concentrando-se em incorporar a gestão de riscos na linha da frente e em elevar questões de resiliência estratégica ao nível da equipe executiva e do conselho. As IFs, que já possuem mais recursos de gestão de riscos devido às exigências regulatórias, podem se beneficiar ao seguir esses passos.
O que significa o princípio dos "quatro olhos" (<em>four-eye principle</em>)?
O princípio dos “quatro olhos” (four-eye principle) é um mecanismo de controle de risco específico. Ele exige que pelo menos duas pessoas aprovem ou revisem uma ação, decisão ou transação antes que ela seja concluída.Este princípio é mencionado como um exemplo de controle-chave para gerenciar riscos não financeiros, como nas aprovações de parcerias comerciais.A explicação detalhada do funcionamento ou aplicação específica do princípio não está disponível no conteúdo original, apenas sua menção como um tipo de controle.
O que são os Acordos de Basileia e qual sua relevância para a gestão de riscos financeiros em bancos?
Os Acordos de Basileia são uma série de recomendações sobre regulação bancária emitidas pelo Comitê de Basileia para Supervisão Bancária.Desde o acordo original de Basileia I em 1988, seguido por Basileia II e Basileia III na década de 2000, e as alterações conhecidas como “Basileia IV” na década de 2020, esses acordos têm sido fundamentais na evolução das práticas de gestão de riscos financeiros em instituições financeiras.Eles visam criar uma regulamentação mais sistemática para os bancos, influenciando como eles quantificam riscos e mantêm reservas de capital para compensar potenciais perdas.
O que é o COSO (<em>Committee of Sponsoring Organizations of the Treadway Commission</em>) e qual seu papel na gestão de riscos corporativos?
O COSO (Committee of Sponsoring Organizations of the Treadway Commission) é uma organização que fornece orientação sobre gestão de riscos empresariais (ERM), controles internos e dissuasão de fraudes.As práticas corporativas de ERM, em contraste com as das instituições financeiras (que são fortemente regulamentadas), são geralmente orientadas por padrões da indústria, como aqueles relacionados ao COSO. Isso significa que as estruturas e diretrizes do COSO servem como uma referência importante para empresas não financeiras desenvolverem e implementarem seus sistemas de gestão de riscos.O conteúdo também menciona que o termo “controle independente” foi eliminado dos padrões organizacionais do COSO no que diz respeito à segunda linha de defesa.

Autor

Foto de perfil de Victor Machado

Victor Machado

Director, Risk Management @Mastercard | Turning risks into opportunities | Doing well by doing good

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

Gestão de Riscos Sociais, Ambientais e Climáticos em Instituições Financeiras: Desafios e Sugestões

Artigo

Testes de Estresse para Riscos Não Financeiros em Instituições Financeiras

Artigo

Estrutura de Apetite à Risco para Riscos Não Financeiros e sua Governança