Artigo
20/08/2023
Atualizado em 10/04/2026

Integrando Compliance e Risco Operacional X Papel da Autoavaliação de Riscos por Controle Interno

A autoavaliação de controles internos integra risco operacional e compliance, promovendo identificação, avaliação e mitigação colaborativa de riscos, incluindo cibernéticos, humanos e legais, para fortalecer a gestão e conformidade.

Imagem de capa do artigo

Nos dias cada vez mais dinâmicos e incertos de hoje, as empresas enfrentam muitos grandes desafios, que exigem a gestão e a mitigação eficazes de riscos, ao mesmo tempo que também precisam estar em conformidade com as exigências regulatórias.

Estou fazendo uma consultoria para uma instituição financeira ajudando no processo de melhorar seu relatório de efetividade de PLD, que nada mais é do que um relatório de controles internos, para saber, fazendo uma autoavaliação, se estão fazendo o processo correto.

Queria então comentar hoje sobre o tema da integração da autoavaliação de controles internos de risco, que lá fora costumam chamar pela sigla: RCSA, com os chamados risco operacional e compliance. Aqui de uma maneira mais ampla do que apenas PLD, pois a ideia pode (e deve) ser usada para todos os demais riscos.

Começo então dizendo que a autoavaliação de controles internos de risco é um processo que permite às organizações identificar, avaliar e mitigar riscos, envolvendo partes interessadas relevantes. Neste processo, a participação e colaboração de todas as áreas, e não apenas a de riscos, é fundamental, garantindo assim que os riscos sejam compreendidos e que medidas de controle adequadas sejam implementadas, também servindo como uma ferramenta valiosa para monitorar e revisar a eficácia dos controles existentes.

Sempre digo que mais importante do que o relatório final em si, é o processo para chegar nele, onde várias áreas e pessoas da empresa se reúnem para identificar riscos potenciais e avaliar seu impacto potencial. Essa abordagem colaborativa garante que os riscos não sejam negligenciados e que seja alcançado um entendimento abrangente do perfil de risco da empresa.

Uma vez identificados os riscos, eles são avaliados com base em sua probabilidade e impacto potencial. Essa avaliação ajuda a priorizar os riscos e alocar recursos de acordo. Ao compreender os riscos que enfrentam, as empresas podem implementar medidas de controle adequadas para mitigá-los e minimizar possíveis perdas.

Este processo de autoavaliação também serve como uma ferramenta valiosa para monitorar e revisar a eficácia dos controles existentes. Ao realizar avaliações regularmente, as organizações podem identificar pontos fracos de controle e tomar ações corretivas para fortalecer suas práticas de gerenciamento de riscos. Pode parecer bobo e até simples, mesmo assim nem todas fazem isto, ou mesmo valorizam este processo, mas que traz benefícios claros.

O risco operacional refere-se ao risco de perdas resultantes de processos, pessoas e sistemas internos inadequados, bem como eventos externos, o que exige uma abordagem proativa, incluindo a identificação de riscos tecnológicos, erros humanos e riscos legais e de conformidade.

Nos dias de hoje, um dos principais riscos que me preocupa em particular são os chamados Riscos Cibernéticos e de Tecnologia (sistemas), como ameaças cibernéticas e falhas de sistema, que podem interromper as operações e comprometer a confidencialidade, integridade e disponibilidade de dados e sistemas críticos. Ainda na categoria dos riscos operacionais, não podemos esquecer dos erros humanos, que podem resultar de negligência, falta de treinamento ou supervisão inadequada, levando a falhas operacionais e perdas financeiras.

Temos ainda dentro de RO os chamados riscos legais e de conformidade, que também são componentes significativos do risco operacional. A não conformidade com leis, regulamentos e padrões do setor pode resultar em penalidades legais, danos à reputação e perda de oportunidades de negócios.

Falando em conformidade, esta desempenha um papel crítico, permitindo às organizações alinhar suas operações com os requisitos regulatórios e as melhores práticas do segmento que atua. Os programas de conformidade ajudam as organizações a identificar e abordar esses riscos, garantindo que permaneçam em conformidade, enquanto abraçam a inovação e a mudança.

Os programas de conformidade geralmente incluem: políticas, procedimentos e controles projetados para prevenir, detectar e responder a violações de conformidade. Esses programas também envolvem monitoramento e testes contínuos para garantir que os controles sejam eficazes e que quaisquer problemas de conformidade sejam resolvidos prontamente.

Feitas estas definições básicas, a pergunta que surge é: mas como tudo isto se relaciona?

Ainda que muitos não percebam (ainda), a conformidade e o risco operacional estão estreitamente interligados, afinal as eventuais falhas de conformidade geralmente podem levar a riscos operacionais, pois a não conformidade com regulamentos e padrões do setor pode resultar em perdas financeiras, danos à reputação e consequências legais.

Por outro lado, uma gestão eficaz do risco operacional pode ajudar a prevenir violações de conformidade, identificando riscos potenciais que podem surgir da não conformidade. Com isto, ao integrar os requisitos de conformidade nas avaliações de risco operacional, as organizações podem garantir que suas práticas de gerenciamento de risco estejam alinhadas com as expectativas regulatórias.

Integrar conformidade e gerenciamento de risco operacional permite que as organizações tratem desses riscos coletivamente e os reduzam antes que eles aumentem. Essa abordagem não apenas minimiza o impacto potencial das violações de conformidade, mas também aprimora os recursos gerais de gerenciamento de riscos da organização.

Mas como fazer esta tal integração da autoavaliação com RO e Compliance na prática?

Vou tentar resumir um passo a passo abaixo:

1) Identificação dos Envolvidos e da Equipe:

A formação de uma equipe multifuncional responsável pelo processo de integração.

2) Definição de Objetivos e Escopo:

Considerando metas organizacionais e requisitos regulatórios.

3) Avaliação de Processos Existentes:

Identificando lacunas ou oportunidades para integração.

4) Desenvolvimento de Estrutura Integrada:

Definindo como a autoavaliação, o risco operacional e a conformidade serão integrados.

5) Implementação:

Colocando a estrutura em ação e treinando todos os stakeholders.

6) Monitoramento Contínuo:

Avaliando a eficácia dos processos e sistemas integrados.

Queria também comentar sobre os desafios desta integração, pois algumas dificuldades são comuns e vemos sempre incluem a resistência à mudança, a integração de dados e a complexidade regulatória.

Resistência à Mudança:

A integração de diferentes componentes pode enfrentar resistência por parte de indivíduos ou áreas acostumados a trabalhar de forma isolada. Superar essa resistência exige estratégias eficazes de gestão de mudanças e comunicação clara sobre os benefícios da integração.

Integração de Dados:

Garantir a integração contínua de dados entre diferentes sistemas pode ser complexo e demorado. Requer planejamento cuidadoso, mapeamento de dados e testes para garantir que os dados fluam de maneira eficiente entre os sistemas.

Complexidade Regulatória:

Os requisitos regulatórios variam entre jurisdições, o que representa desafios para as empresas que operam globalmente, exigindo um profundo entendimento das regulamentações locais e a capacidade de adaptar os processos de acordo.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante