Artigo
04/07/2025

Mapa de Calor de Risco Residual – Uma Abordagem Prática

Explica como construir e usar mapas de calor para visualizar, priorizar e comunicar riscos residuais após mitigação.

Avatar Victor Machado

Registros selecionados

Imagem de capa do artigo

O Mapa de Calor de Risco Residual (Residual Risk Heat Map - RRHM) é uma ferramenta estratégica na gestão de risco operacional que fornece uma representação clara e visual dos riscos residuais após os esforços para a sua mitigação, ajudando as organizações a gerenciar, priorizar e comunicar esses riscos de forma eficaz.

Muito mais do que apenas uma ferramenta de comunicação, os RRHMs são um ativo estratégico na gestão do risco operacional, pois auxiliam na tomada de decisão, na alocação de recursos e na conformidade, ao mesmo tempo que melhoram a capacidade da organização para responder e gerir riscos. Entre os benefícios da sua utilização, podemos citar:

• Visualização da exposição aos riscos: os RRHMs fornecem uma representação visual do nível de criticidade dos riscos e a adequação dos controles relacionados, permitindo que as partes interessadas obtenham rapidamente informações complexas e entendam onde estão as vulnerabilidades mais importantes.

• Priorização de riscos: ao exibir os riscos em formato de matriz com base em sua criticidade, os RRHMs ajudam as organizações a priorizar seus esforços de gerenciamento, fator crucial para a alocação eficaz de recursos às áreas que representam a maior ameaça à estabilidade operacional.

• Apoio à tomada de decisão: Um RRHM bem construído oferece insights claros sobre a eficácia dos controles atuais e a extensão do risco residual, informação vital para a tomada de decisões estratégicas sobre onde investir em medidas adicionais de mitigação de riscos ou quando aceitar determinados riscos.

• Gestão dinâmica de riscos: Riscos não financeiros não são estáticos. Eles evoluem à medida que as condições externas e internas mudam. Um RRHM pode ser atualizado regularmente para refletir esta natureza dinâmica, ajudando as organizações a adaptarem as suas estratégias de gestão de riscos em tempo real.

• Ferramenta de comunicação: Os RRHMs servem como uma excelente ferramenta de comunicação em todos os níveis de uma organização. Ajudam a garantir que todos, desde os membros do conselho de administração até o pessoal operacional, compreendam o panorama dos riscos, promovendo uma cultura de sensibilização e conformidade.

• Conformidade regulatória: Muitas estruturas regulatórias exigem que as organizações não apenas identifiquem e avaliem os riscos, mas também demonstrem gerenciamento e controle eficazes desses riscos. Um RRHM pode fazer parte da documentação que demonstra a conformidade com estes requisitos regulamentares.

Quatro Etapas para Construção de um Mapa de Calor de Risco Residual

Para construir um Mapa de Calor de Risco Residual capaz de realmente ajudar uma organização a compreender e gerenciar seus riscos residuais de forma eficaz, é necessário levar em conta a lista completa dos tipos de riscos que são relevantes para seu modelo operacional, aplicar uma metodologia consistente para avaliar riscos e controles, e gerar resultados de mitigação acionáveis e factíveis. Na minha experiência, este processo envolve pelo menos quatro etapas principais:

1. Identificação de tipos de risco, fatores de risco e indicadores-chave de risco.

2. Avaliação dos tipos de risco, fatores de risco e indicadores-chave de risco.

3. Avaliação dos controles como medidas de mitigação de riscos.

4. Determinação do risco residual e ações necessárias de mitigação de risco.

A função de risco operacional, as demais funções de gestão de risco não financeiro (compliance, jurídico, etc.) e a unidade responsável pelo sistema de controle interno na organização devem estar estreitamente integrados em todas essas quatro etapas, as quais são detalhadas a seguir.

Etapa 1 - Identificação de tipos de risco, fatores de risco e indicadores-chave de risco

Para cada tipo de risco não financeiro, a organização precisa compreender como ele se materializa, ou seja, quais os fatores de risco que precisam ocorrer nas suas atividades para a materialização do risco.

Uma vez identificados os fatores de risco, é necessário agora identificar os indicadores-chave de risco (KRIs) por trás de cada fator de risco. Os KRIs indicam o quão arriscado é um processo / atividade e fornecem sinais precoces de aumento da exposição ao risco nas diversas áreas organização. Na medida do possível, devem ser utilizados KRIs já estabelecidos, por exemplo, no contexto da identificação e avaliação de risco operacional. Com esse processo é então obtida uma árvore relacional de tipo de risco, fatores de risco e KRI.

Para ilustrar o exposto acima, segue um exemplo simples de uma árvore relacional de TIPO DE RISCO -> FATORES DE RISCO -> KRIs, para o tipo de risco ‘Crime Financeiro’:

Etapa 2 - Avaliação dos tipos de risco, fatores de risco e indicadores-chave de risco

Com os KRIs identificados, é agora essencial definir os seus limiares (thresholds) específicos. A avaliação dos KRIs identifica potenciais violações de metas, alertas ou limites no período avaliado. Os thresholds podem ser expressos em números absolutos ou como percentagens dos volumes de negócios subjacentes. Sempre que possível, deverão ser definidos pelo menos três níveis de thresholds, com os respectivos graus de violação, a menos que os requisitos regulamentares ou de políticas internas exijam explicitamente algo diferente (por exemplo, tolerância zero para determinado tipo de risco).

O threshold “meta” determina o nível ótimo de risco e deve ser definido com base no risco que a instituição está disposta a aceitar em condições normais de atividade e em linha com o apetite de risco relacionado (por exemplo, o nível “meta” para clientes de alto risco de lavagem de dinheiro pode ser definido como menor ou igual a 6% da população total de clientes). Nenhuma ação corretiva adicional e dedicada será necessária se os volumes de negócios permanecerem dentro do threshold “meta”.

O threshold “atenção” descreve um nível de risco um pouco mais elevado, mas geralmente ainda aceitável (por exemplo, o nível “atenção” para clientes de alto risco em crimes financeiros pode ser definido como mais de 6% até 10% da população total de clientes). Nesse caso é desencadeada a implementação de medidas de mitigação predefinidas e relatórios de gestão dedicados.

O threshold “limite” descreve o nível de risco que a organização já não está disposta a aceitar e representa o nível de escalada mais elevado (por exemplo, o nível “limite” para clientes de alto risco em crimes financeiros pode ser definido em mais de 10% da população total de clientes). Aqui são exigidas ações mais rigorosas e concretas (por exemplo: acompanhamento mais frequente, intensificação de controles, etc.) geralmente com a definição planos de ação específicos dentro de um cronograma definido.

A avaliação então deve ser realizada numa abordagem em cascata, ou seja, em primeiro lugar, os KRIs individuais são avaliados para determinar se algum limiar correspondente foi violado (meta, atenção ou limite).

Em seguida, as avaliações individuais dos KRIs devem ser agregadas para obter uma avaliação de risco consolidada do fator de risco relacionado, que geralmente é feito agrupando uma seleção de KRIs. Essa avaliação agregada dos fatores de risco pode ser determinada de forma simples, com base na média aritmética das avaliações subjacentes a cada KRI. Por exemplo: meta=1; atenção=2; limite=3. Com base nesses valores, podem ser utilizadas as seguintes faixas para a avaliação global dos fatores de risco:

• Meta: 1,0 - 1,6

• Atenção: 1,7 - 2,3

• Limite: 2,4 - 3,0

Por fim, as avaliações de risco para todos os fatores de risco são novamente agregadas para obter uma avaliação de risco consolidada para o tipo de risco.

A figura abaixo ilustra o processo de agregação de avaliação descrito anteriormente:

Quando adequado, a avaliação do risco para os KRIs ou fatores de risco pode ser ajustada através da aplicação de uma ponderação baseada no risco. Ou seja, os KRIs ou fatores de risco específicos recebem mais peso (por exemplo, pelo fator 1,5 ou 2) em comparação com os seus pares, resultando numa avaliação de risco global que tende mais para os componentes ponderados. Tal abordagem ajuda a destacar áreas de preocupação específica que necessitam de mais escrutínio e atenção para mitigar os riscos no futuro.

Etapa 3 - Avaliação dos controles como medidas de mitigação de riscos

Na Etapa 3, a primeira coisa a fazer é capturar e atribuir os controles-chave existentes nos tipos de risco não financeiro aos KRIS e fatores de risco correspondentes, construindo agora uma uma árvore relacional de tipo de risco, fatores de risco e controles. Os dados e informações relevantes necessários para esta etapa devem provir das funções responsáveis da 2ª Linha de Defesa, inclusive dos relatórios de risco preparados por elas.

Para ilustrar o exposto acima, segue um exemplo simples de uma árvore relacional de TIPO DE RISCO -> FATORES DE RISCO -> CONTROLES-CHAVE para o tipo de risco ‘Crime Financeiro’:

Após a associação dos controles-chave aos KRIs e fatores de risco correspondentes, os controles devem então ser avaliados em função dos seus três critérios principais:

• Implementação: o controle está implementado.

• Design: quando operado corretamente, o controle é adequadamente projetado para abordar e prevenir os riscos relevantes.

• Eficácia: com base no teste de uma amostra de controle, o controle está operando da maneira pretendida, de forma consistente e está devidamente documentado.

O exercício de avaliação dos controles deve ser realizado pelas funções responsáveis da 2ª Linha de Defesa, ou em estreita colaboração com elas. Com base no resultado da avaliação, os controles devem ser classificados de acordo com uma escala predefinida ou fatores de controle qualitativos com um resumo da lógica subjacente. Estes podem ser:

• O controle é satisfatório.

• O controle precisa de melhorias.

• O controle é deficiente.

Após a avaliação dos controles individuais, as classificações devem ser agregadas em nível de fator de risco, de forma análoga ao que foi feito na Etapa 2. Essa avaliação agregada da adequação do controle também pode ser determinada de forma simples com base na média aritmética das avaliações de controle subjacentes, ou seja, satisfatório=1; necessita de melhorias=2; deficiente=3. A mesma lógica de faixas também pode ser utilizada na avaliação agregada do controle ao nível dos fatores de risco:

• Satisfatório: 1,0 - 1,6

• Precisa de Melhorias: 1,7 - 2,3

• Deficiente: 2,4 - 3,0

E por fim, novamente como foi feito na Etapa 2, as avaliações da adequação do controle dos fatores de risco também devem ser agregadas ao nível do tipo de risco.

Aqui também as avaliações da adequação dos controles podem ser ajustadas através da aplicação de uma abordagem de ponderação baseada no risco, ou seja, dando aos controles para fatores de risco específicos mais peso em comparação com os seus pares.

Etapa 4 - Determinação do risco residual e ações necessárias de mitigação de risco

Na Etapa 4 é então determinado o nível de risco residual, derivado de uma combinação do nível de risco avaliado inicialmente e da classificação da adequação do controle. Dependendo da utilização e do público-alvo pretendidos, o risco residual pode ser demonstrado ao nível de KRIs individuais, fatores de risco ou tipo de risco.

No caso de risco residual situado em um quadrante vermelho (ou seja, alto), são necessárias medidas substanciais para resolver os déficits estruturais. Se ainda já não for o caso, esses déficits serão provavelmente detectados pela auditoria interna, pelo auditor externo ou mesmo pelos reguladores – resultando numa pressão bem mais elevada de remediação. Devido ao impacto da remediação e ao risco potencial de escrutínio regulamentar, as partes interessadas diretamente envolvidas em riscos residuais altos devem incluir nos planos de ação mitigatórios correspondentes sempre um membro responsável da gestão executiva, representantes seniores da 1ª e 2ª Linhas de Defesa e potencialmente outros interessados (por exemplo, auditoria interna).

O risco residual no situado em um quadrante amarelo (ou seja, médio) é um pouco menos urgente, mas ainda requer total atenção. Dependendo da situação individual, as medidas corretivas devem concentrar-se numa redução adicional da atividade subjacente geradora de risco (por exemplo, suspensão do onboarding de clientes de alto risco de lavagem de dinheiro), aumento de posições em áreas críticas de gestão de risco ou o reforço dos controles existentes.

Já um risco residual situado em um quadrante verde (ou seja, baixo) não deve desencadear medidas de mitigação imediatas. Em vez disso, a função de controle responsável da 2ª Linha de Defesa deverá monitorar a situação.

Como observação final e melhor prática, deve-se adotar sempre a diretriz de que que somente KRIs individuais, fatores de risco ou tipo de risco inicialmente avaliados nos thresholds “alerta” e “meta” podem resultar num risco residual baixo. Riscos avaliados no threshold "limite", independentemente da adequação do controle, não devem qualificar-se para risco residual baixo.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

O que é um Mapa de Calor de Risco Residual (RRHM)?
O Mapa de Calor de Risco Residual (Residual Risk Heat Map - RRHM) é uma ferramenta estratégica empregada na gestão de risco operacional.Ele oferece uma representação visual clara dos riscos que permanecem após a aplicação de esforços para mitigá-los, auxiliando as organizações a gerenciar, priorizar e comunicar esses riscos de maneira eficaz.
Quais são os principais benefícios da utilização de um Mapa de Calor de Risco Residual (RRHM)?
A utilização de um Mapa de Calor de Risco Residual (RRHM) oferece diversos benefícios, atuando como um ativo estratégico na gestão do risco operacional. Os principais benefícios incluem:Visualização da exposição aos riscos: O RRHM fornece uma representação gráfica do nível de criticidade dos riscos e da adequação dos controles, facilitando a compreensão de informações complexas e a identificação de vulnerabilidades importantes.Priorização de riscos: Ao apresentar os riscos em formato de matriz com base na sua criticidade, o RRHM ajuda as organizações a direcionar seus esforços de gerenciamento e alocar recursos de forma eficaz para as áreas de maior ameaça.Apoio à tomada de decisão: A ferramenta oferece insights claros sobre a eficácia dos controles atuais e a extensão do risco residual. Essas informações são cruciais para decisões estratégicas sobre investimentos em medidas adicionais de mitigação de riscos ou sobre quando aceitar determinados riscos.Gestão dinâmica de riscos: Riscos não financeiros evoluem com as mudanças nas condições externas e internas. O RRHM pode ser atualizado regularmente para refletir essa natureza dinâmica, auxiliando as organizações a adaptarem suas estratégias de gestão de riscos em tempo real.Ferramenta de comunicação: Os RRHMs servem como uma excelente ferramenta para comunicar o panorama dos riscos em todos os níveis de uma organização, desde o conselho de administração até o pessoal operacional. Isso promove uma cultura de sensibilização e conformidade.Conformidade regulatória: Muitas estruturas regulatórias exigem que as organizações demonstrem gerenciamento e controle eficazes dos riscos. Um RRHM pode integrar a documentação que comprova a conformidade com esses requisitos.
Quais são as etapas principais para a construção de um Mapa de Calor de Risco Residual (RRHM)?
A construção de um Mapa de Calor de Risco Residual (RRHM) eficaz envolve geralmente quatro etapas principais:1. Identificação de tipos de risco, fatores de risco e indicadores-chave de risco (KRIs).2. Avaliação dos tipos de risco, fatores de risco e indicadores-chave de risco.3. Avaliação dos controles como medidas de mitigação de riscos.4. Determinação do risco residual e ações necessárias de mitigação de risco.Para que o RRHM auxilie efetivamente uma organização, é crucial considerar a lista completa de tipos de riscos relevantes para seu modelo operacional, aplicar uma metodologia consistente para avaliar riscos e controles, e gerar resultados de mitigação que sejam acionáveis e factíveis.
Quais áreas da organização devem estar integradas nas etapas de construção de um Mapa de Calor de Risco Residual (RRHM)?
Para a construção eficaz de um Mapa de Calor de Risco Residual (RRHM), é essencial que a função de risco operacional, as demais funções de gestão de risco não financeiro (como compliance e jurídico) e a unidade responsável pelo sistema de controle interno na organização estejam estreitamente integradas em todas as quatro etapas do processo de construção.
O que envolve a primeira etapa da construção de um RRHM, referente à identificação de tipos de risco, fatores de risco e indicadores-chave de risco?
A primeira etapa na construção de um Mapa de Calor de Risco Residual (RRHM) foca na identificação dos componentes fundamentais do risco. Para cada tipo de risco não financeiro relevante para a organização, é necessário compreender como ele se materializa. Isso é feito identificando os fatores de risco, que são os eventos ou condições específicas nas atividades da organização que levam à materialização do risco.Uma vez que os fatores de risco são identificados, o próximo passo é determinar os Indicadores-Chave de Risco (KRIs) associados a cada fator. Os KRIs são métricas que ajudam a quantificar ou qualificar a exposição ao risco, fornecendo sinais precoces de aumento dessa exposição. O resultado desse processo é a criação de uma árvore relacional que interliga o tipo de risco, seus fatores de risco e os KRIs correspondentes.
O que são Indicadores-Chave de Risco (KRIs)?
Indicadores-Chave de Risco (KRIs) são métricas que indicam o quão arriscado é um processo ou atividade dentro de uma organização.Eles fornecem sinais precoces de aumento da exposição ao risco nas diversas áreas da empresa e são identificados a partir dos fatores de risco. Recomenda-se, na medida do possível, a utilização de KRIs já estabelecidos, como aqueles no contexto da identificação e avaliação de risco operacional.
O que é uma árvore relacional de tipo de risco, fatores de risco e KRI?
Uma árvore relacional de tipo de risco, fatores de risco e Indicadores-Chave de Risco (KRI) é uma estrutura hierárquica que demonstra a conexão entre esses três elementos.Ela parte de um tipo de risco não financeiro específico. Para esse tipo de risco, identificam-se os fatores de risco, que são as condições ou eventos que precisam ocorrer para que o risco se materialize. Por fim, para cada fator de risco, são identificados os KRIs, que são os indicadores que medem a exposição a esse fator. Essa estrutura ajuda a compreender como um tipo de risco se desdobra em elementos mais granulares e mensuráveis.Um exemplo para o tipo de risco ‘Crime Financeiro’ poderia incluir fatores de risco como ‘Processo de Onboarding de Cliente Inadequado’ e ‘Monitoramento de Transações Deficiente’, cada um com seus respectivos KRIs.
O que são *thresholds* (limiares) de KRIs e como são definidos?
Thresholds (limiares) de Indicadores-Chave de Risco (KRIs) são valores específicos definidos para cada KRI, que servem como referência para avaliar o nível de risco.A definição desses thresholds é essencial na avaliação dos KRIs, pois permite identificar potenciais violações de metas, alertas ou limites durante o período analisado. Os thresholds podem ser expressos em números absolutos ou como percentagens dos volumes de negócios subjacentes. Idealmente, devem ser definidos pelo menos três níveis de thresholds (meta, atenção e limite), com seus respectivos graus de violação, a menos que requisitos regulamentares ou políticas internas especifiquem algo diferente, como tolerância zero para certos riscos.
Quais são os três níveis de *thresholds* (limiares) geralmente definidos para KRIs e o que cada um indica?
Geralmente, são definidos três níveis de thresholds (limiares) para Indicadores-Chave de Risco (KRIs):1. Meta: Este threshold determina o nível ótimo de risco e deve ser definido com base no risco que a instituição está disposta a aceitar em condições normais de atividade, alinhado com o apetite de risco relacionado. Se os volumes de negócios permanecerem dentro do threshold “meta”, nenhuma ação corretiva adicional e dedicada será necessária. Por exemplo, o nível “meta” para clientes de alto risco de lavagem de dinheiro pode ser definido como menor ou igual a 6% da população total de clientes.2. Atenção: Este threshold descreve um nível de risco um pouco mais elevado, mas geralmente ainda aceitável. Atingir este nível desencadeia a implementação de medidas de mitigação predefinidas e relatórios de gestão dedicados. Por exemplo, o nível “atenção” para clientes de alto risco em crimes financeiros pode ser definido como mais de 6% até 10% da população total de clientes.3. Limite: Este threshold descreve o nível de risco que a organização já não está disposta a aceitar e representa o nível de escalada mais elevado. Exige ações mais rigorosas e concretas, como acompanhamento mais frequente e intensificação de controles, geralmente com a definição de planos de ação específicos dentro de um cronograma definido. Por exemplo, o nível “limite” para clientes de alto risco em crimes financeiros pode ser definido em mais de 10% da população total de clientes.
Como ocorre a avaliação de riscos em cascata, desde os KRIs até os tipos de risco?
A avaliação de riscos ocorre numa abordagem em cascata, começando pelos elementos mais granulares e agregando-os progressivamente:1. Primeiro, os Indicadores-Chave de Risco (KRIs) individuais são avaliados para determinar se algum threshold correspondente (meta, atenção ou limite) foi violado.2. Em seguida, as avaliações individuais dos KRIs são agregadas para obter uma avaliação de risco consolidada do fator de risco relacionado. Isso geralmente é feito agrupando uma seleção de KRIs. Essa avaliação agregada pode ser determinada, por exemplo, com base na média aritmética das avaliações de cada KRI (onde meta=1, atenção=2, limite=3), utilizando faixas para classificar o fator de risco (por exemplo, Meta: 1,0 - 1,6; Atenção: 1,7 - 2,3; Limite: 2,4 - 3,0).3. Por fim, as avaliações de risco para todos os fatores de risco são novamente agregadas para obter uma avaliação de risco consolidada para o tipo de risco, seguindo uma lógica similar de agregação.Opcionalmente, a avaliação do risco para os KRIs ou fatores de risco pode ser ajustada aplicando uma ponderação baseada no risco, dando mais peso a componentes específicos para destacar áreas de maior preocupação.
O que envolve a etapa de avaliação dos controles como medidas de mitigação de riscos na construção de um Mapa de Calor de Risco Residual?
A etapa de avaliação dos controles como medidas de mitigação de riscos, a terceira na construção de um Mapa de Calor de Risco Residual, inicia-se com a captura e atribuição dos controles-chave existentes aos Indicadores-Chave de Risco (KRIs) e fatores de risco correspondentes.Isso resulta na construção de uma árvore relacional que conecta tipo de risco, fatores de risco e controles. As informações para esta etapa devem vir das funções responsáveis da 2ª Linha de Defesa.Após essa associação, os controles são avaliados segundo três critérios principais: Implementação (se o controle está implementado), Design (se, operado corretamente, é adequadamente projetado para prevenir os riscos) e Eficácia (se está operando como pretendido, de forma consistente e documentada, com base em testes).Essa avaliação, realizada pelas funções da 2ª Linha de Defesa ou em colaboração com elas, classifica os controles em categorias como: Satisfatório, Precisa de Melhorias ou Deficiente. Similarmente à avaliação de riscos, as classificações dos controles individuais são agregadas em nível de fator de risco e, posteriormente, em nível de tipo de risco, podendo também utilizar médias aritméticas e ponderações baseadas no risco.
Quais são os três critérios principais para avaliar os controles-chave em um processo de gestão de risco?
Na avaliação de controles-chave como medidas de mitigação de riscos, três critérios principais são considerados:1. Implementação: Verifica se o controle está efetivamente implementado na organização.2. Design: Analisa se o controle, quando operado corretamente, é adequadamente projetado para abordar e prevenir os riscos relevantes aos quais se destina.3. Eficácia: Avalia, com base no teste de uma amostra de controle, se o controle está operando da maneira pretendida, de forma consistente, e se está devidamente documentado.A avaliação desses critérios ajuda a determinar a qualidade e a robustez dos controles existentes.
Quais são as classificações usualmente atribuídas aos controles com base em sua avaliação de implementação, design e eficácia?
Com base na avaliação dos critérios de implementação, design e eficácia, os controles são geralmente classificados de acordo com uma escala predefinida ou fatores de controle qualitativos. As classificações comuns incluem:• Satisfatório: Indica que o controle atende aos critérios de forma adequada.• Precisa de melhorias: Sugere que o controle possui algumas deficiências que precisam ser corrigidas para alcançar a efetividade desejada.• Deficiente: Aponta que o controle possui falhas significativas em sua implementação, design ou eficácia, não cumprindo seu papel na mitigação do risco.Um resumo da lógica subjacente a cada classificação deve ser fornecido.
Como a avaliação dos controles é agregada nos níveis de fator de risco e tipo de risco?
Após a avaliação e classificação individual dos controles (por exemplo, como 'Satisfatório', 'Precisa de Melhorias' ou 'Deficiente'), essas classificações são agregadas para fornecer uma visão consolidada da adequação dos controles em níveis mais altos.Primeiramente, as avaliações dos controles individuais associados a um mesmo fator de risco são agregadas para obter uma classificação de controle para aquele fator de risco. Isso pode ser feito, por exemplo, utilizando a média aritmética das avaliações (onde Satisfatório=1; Precisa de Melhorias=2; Deficiente=3) e aplicando faixas de resultado (por exemplo, Satisfatório: 1,0 - 1,6).Posteriormente, de forma análoga, as avaliações da adequação do controle dos diversos fatores de risco são agregadas para se obter uma avaliação consolidada da adequação do controle ao nível do tipo de risco. Assim como na avaliação de riscos, a avaliação da adequação dos controles também pode ser ajustada por meio de uma abordagem de ponderação baseada no risco, dando mais peso a controles críticos.
Como é determinado o nível de risco residual na construção de um Mapa de Calor de Risco Residual (RRHM)?
O nível de risco residual é determinado na quarta etapa da construção de um Mapa de Calor de Risco Residual (RRHM).Ele é derivado de uma combinação entre o nível de risco avaliado inicialmente (na Etapa 2, que considera tipos de risco, fatores de risco e KRIs) e a classificação da adequação do controle (obtida na Etapa 3, que avalia a implementação, o design e a eficácia dos controles).Dependendo da utilização e do público-alvo pretendido, o risco residual pode ser demonstrado ao nível de Indicadores-Chave de Risco (KRIs) individuais, fatores de risco ou tipo de risco. Visualmente, isso é muitas vezes representado em uma matriz onde um eixo representa a avaliação do risco inerente/bruto e o outro, a eficácia dos controles, com o risco residual sendo o resultado dessa combinação.
Quais ações são tipicamente necessárias quando o risco residual é classificado como alto (quadrante vermelho) em um Mapa de Calor de Risco Residual?
Quando o risco residual é classificado como alto (geralmente representado no quadrante vermelho de um Mapa de Calor de Risco Residual), são necessárias medidas substanciais e urgentes para resolver os déficits estruturais identificados.Esses déficits, se ainda não detectados, provavelmente o serão pela auditoria interna, pelo auditor externo ou pelos reguladores, resultando em uma pressão de remediação ainda maior.Os planos de ação mitigatórios correspondentes devem envolver partes interessadas chave, incluindo sempre um membro responsável da gestão executiva, representantes seniores da 1ª Linha de Defesa (gestores das áreas de negócio) e da 2ª Linha de Defesa (funções de controle como risco e compliance), e potencialmente outros interessados, como a auditoria interna.
Que tipo de atenção e medidas são requeridas para um risco residual classificado como médio (quadrante amarelo)?
Um risco residual classificado como médio (geralmente no quadrante amarelo de um Mapa de Calor de Risco Residual) é considerado um pouco menos urgente que o risco alto, mas ainda requer total atenção da organização.Dependendo da situação individual, as medidas corretivas devem concentrar-se em ações como uma redução adicional da atividade subjacente que está gerando o risco (por exemplo, considerar a suspensão do onboarding de clientes classificados como de alto risco para lavagem de dinheiro), o aumento de posições ou recursos em áreas críticas de gestão de risco, ou o reforço dos controles existentes que se mostraram parcialmente eficazes ou insuficientes.
Que tipo de ação é esperada para um risco residual classificado como baixo (quadrante verde)?
Um risco residual classificado como baixo (geralmente no quadrante verde de um Mapa de Calor de Risco Residual) normalmente não deve desencadear medidas de mitigação imediatas e extensivas.Em vez disso, a função de controle responsável da 2ª Linha de Defesa (como a área de gestão de riscos ou compliance) deverá monitorar a situação para garantir que o risco permaneça em um nível aceitável e que não haja mudanças significativas que justifiquem uma reavaliação ou intervenção.
Qual diretriz de melhores práticas deve ser adotada em relação aos riscos inicialmente avaliados no *threshold* "limite" e a sua classificação final como risco residual baixo?
Como uma melhor prática na gestão de riscos, deve-se adotar a diretriz de que somente Indicadores-Chave de Risco (KRIs) individuais, fatores de risco ou tipos de risco que foram inicialmente avaliados nos thresholds “alerta” e “meta” podem resultar em um risco residual baixo.Riscos que foram inicialmente avaliados no threshold "limite" (indicando o nível de risco que a organização já não está disposta a aceitar), independentemente da adequação do controle subsequente, não devem qualificar-se para uma classificação de risco residual baixo. Essa abordagem garante um tratamento mais cauteloso para riscos inerentemente altos.
Como o Mapa de Calor de Risco Residual (RRHM) auxilia na visualização da exposição aos riscos?
O Mapa de Calor de Risco Residual (RRHM) auxilia na visualização da exposição aos riscos ao fornecer uma representação gráfica clara do nível de criticidade desses riscos e da adequação dos controles relacionados.Esta representação visual permite que as partes interessadas, mesmo aquelas sem conhecimento técnico aprofundado em riscos, obtenham rapidamente informações complexas e entendam onde estão localizadas as vulnerabilidades mais importantes da organização.
De que forma o Mapa de Calor de Risco Residual (RRHM) contribui para a priorização de riscos?
O Mapa de Calor de Risco Residual (RRHM) contribui para a priorização de riscos ao exibir os riscos em um formato de matriz, geralmente com base em sua probabilidade e impacto, resultando em uma classificação de criticidade (por exemplo, alto, médio, baixo).Essa visualização ajuda as organizações a identificar quais riscos exigem atenção imediata e, assim, a priorizar seus esforços de gerenciamento. Este é um fator crucial para a alocação eficaz de recursos (tempo, dinheiro, pessoal) às áreas que representam a maior ameaça à estabilidade operacional.
Como o Mapa de Calor de Risco Residual (RRHM) apoia a tomada de decisão estratégica?
Um Mapa de Calor de Risco Residual (RRHM) bem construído apoia a tomada de decisão estratégica ao oferecer insights claros sobre dois aspectos fundamentais: a eficácia dos controles atualmente implementados e a extensão do risco residual que a organização enfrenta.Esta informação é vital para que os gestores tomem decisões estratégicas informadas, como por exemplo, onde investir em medidas adicionais de mitigação de riscos, quais controles precisam ser aprimorados, ou quando é aceitável assumir determinados níveis de risco com base no apetite de risco da organização.
Qual o papel do Mapa de Calor de Risco Residual (RRHM) como ferramenta de comunicação dentro de uma organização?
O Mapa de Calor de Risco Residual (RRHM) desempenha um papel importante como ferramenta de comunicação em todos os níveis de uma organização.Sua natureza visual e a forma como resume informações complexas sobre riscos facilitam o entendimento do panorama geral de riscos por diferentes públicos, desde os membros do conselho de administração e a alta gestão até o pessoal operacional.Isso ajuda a garantir que todos compreendam os principais riscos residuais enfrentados pela organização, promovendo uma cultura de sensibilização para o risco (risk awareness) e de conformidade com as políticas e procedimentos estabelecidos.

Autor

Foto de perfil de Victor Machado

Victor Machado

Director, Risk Management @Mastercard | Turning risks into opportunities | Doing well by doing good

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

O mapa de calor ainda é relevante?

Artigo

Eventos de Risco Operacional: Análise do Ciclo de Vida e Principais Desafios da sua Gestão

Artigo

Indicadores Chave de Risco Operacional: Sua Importância e Como Identificá-los