Nos últimos anos, a ascensão da gestão do risco operacional nas organizações levou ao surgimento de iniciativas de integração e convergência e energizou as discussões sobre a gestão do risco empresarial (Enterprise Risk Management - ERM). Muitas das ferramentas qualitativas do framework de gestão de risco operacional passaram a ser também utilizadas por especialistas em risco de mercado, de crédito, estratégico, reputacional e geopolítico, uma vez que os modelos puramente quantitativos do passado revelaram fragilidades.
Além da sua influência em outras disciplinas de risco, as estruturas formais de risco operacional evoluíram e levaram a melhorias e integrações em muitas atividades relacionadas. Auditoria, conformidade, avaliações Sarbanes-Oxley (SOX), segurança da informação, continuidade de negócios e muitos outros temas têm necessidades semelhantes de avaliação, métricas e relatórios. À medida que o quadro de risco operacional amadureceu, as sobreposições, duplicações e oportunidades de alavancagem tornaram-se cada vez mais claras.
Nesse sentido, há um forte movimento na busca da integração de todas as atividades relacionadas com o risco operacional, referido comumente como "Governança, Risco e Conformidade (GRC)" ou, como eu chamo carinhosamente (rsrs), "A Grande Convergência". Esta “convergência” refere-se tanto às atividades que fazem parte da estrutura de risco operacional como às outras atividades que existem fora dessa estrutura, mas que estão relacionadas com o risco operacional.
Sem uma abordagem GRC (ou de Convergência), pode haver um desperdício de recursos, relatórios contraditórios, análises incompletas dos riscos, duplicação de esforços e uma percepção errada das exposições ao risco. Quando todas as funções relacionadas com o risco operacional trabalham de forma independente, também interagem separadamente com as áreas de negócio e de suporte e reportam separadamente à gestão. Essas visões separadas dos riscos podem ser confusas e até enganosas, ou mesmo produzir fadiga severa na avaliação, uma vez que as unidades de negócios e as áreas de suporte são solicitadas a realizar uma infinidade de avaliações diferentes que muitas vezes dependem dos mesmos indivíduos-chave em sua área.
A Convergência de Riscos ou a Abordagem GRC é, portanto, uma necessidade e um caminho sem volta. Porém, a sua execução eficiente não é forma alguma algo trivial. Para tanto, eu considero que seja necessário observar três passos fundamentais, os quais descrevo a seguir:
Passo 1: Convergência de Avaliações de Riscos
O primeiro passo de uma abordagem GRC deve se concentrar na integração das atividades de avaliação de riscos. E, para isso, é necessário compreender qual é o catálogo total dessas atividades. As organizações ficam muitas vezes surpreendidas ao descobrir que realizam mais de 20 avaliações de riscos todos os anos, todas elas abordando subconjuntos de categorias de risco operacional, . as quais geram diversas sobreposições e lacunas.
No entanto, cada uma das avaliações é provavelmente impulsionada por requisitos regulamentares ou por fortes impulsionadores estratégicos e, portanto, qualquer simplificação deve garantir que a qualidade e a integralidade das avaliações não sejam comprometidas.
Ao realizar o mapeamento dessas atividades de avaliação, a função de risco operacional descobrirá que existem tantas lacunas e sobreposições nesta colcha de retalhos que o processo de Auto Avaliação de Riscos e Controles (Risk and Control Self Assessment – RCSA) existente é muitas vezes ou insuficiente para garantir a integralidade da avaliação de riscos em todas as áreas da organização, ou leva à uma multiplicidade de avaliações muito parecidas, onerando a organização.
A FIGURA 1 abaixo ilustra um modelo de avaliações não convergentes, onde todos os proprietários das avaliações de risco interagem separadamente com as suas partes interessadas na organização. Nesta ilustração foram incluídas apenas algumas avaliações, mas é fácil perceber que haverá ineficiências e frustrações resultantes nesta. Esse é o modelo que ainda está em vigor em muitas organizações, onde o RCSA tornou-se um fardo adicional de avaliação para a empresa e cada avaliação é realizada como uma atividade separada.
FIGURA 1 - Modelo de Avaliações de Risco Não Convergente
Alternativamente, este processo poderia ser concebido de modo que o processo RCSA reúna todas as informações de avaliação necessárias para as avaliações subjacentes, ou seja, um RSCA “expandido”. Por exemplo, o programa RCSA poderia solicitar informações que vão além dos seus próprios requisitos, para que as necessidades de avaliação subjacentes sejam satisfeitas nessa atividade de avaliação.
Se esta abordagem for adotada, ela permite um modelo de comunicação altamente simplificado para avaliação de riscos na organização, conforme ilustrado na FIGURA 2 abaixo.
FIGURA 2 - Modelo de Avaliações de Risco Convergente
Porém a alavancagem e partilha de dados de avaliação descrita acima só pode acontecer, obviamente, se os dados puderem ser partilhados entre todas as equipes de avaliação. O que nos leva ao Passo 2.
Passo 2: Dados de Avaliação Convergentes
A chave para um programa de GRC eficaz é fornecer um repositório central de dados que possa ser utilizado por todas as partes interessadas. Muitas vezes, esta é uma tarefa desafiadora, pois cada avaliação provavelmente terá sistemas diferentes, desde ferramentas sofisticadas de fluxo de trabalho até planilhas simples. No entanto, é possível compartilhar dados sem ferramentas de compartilhamento.
Para conseguir isto, é necessário estabelecer uma fonte central de dados (também conhecida por “golden source”) e designar um proprietário para esses dados. A função de risco operacional está numa posição única para conduzir tal iniciativa, uma vez que necessita de acesso a todos os dados de avaliações relacionados com o risco operacional. Por esta razão, as iniciativas de GRC são frequentemente iniciadas pela função de risco operacional corporativo. E o foco da convergência dos dados deve estar na taxonomia e nas métricas, conforme descrito a seguir.
Taxonomias Convergentes
A convergência de taxonomia é essencial para garantir que todas as partes utilizem categorizações e definições da mesma forma. Todos os responsáveis pela avaliação de riscos precisarão usar os mesmos termos quando se referirem a riscos e controles. Provavelmente também precisarão desenvolver a mesma taxonomia para processos e hierarquias organizacionais. Sem estas taxonomias comuns é difícil, ou impossível, aproveitar os dados de uma avaliação para utilização noutra, ou consolidar os resultados da avaliação de forma significativa.
Desenvolver uma taxonomia para cada um dos elementos comuns é uma tarefa enorme e não deve ser subestimada. Fazer com que cada responsável pelas diferentes avaliações de risco concordem com a linguagem que será usada para processos, riscos, controle e hierarquia organizacional é uma tarefa complexa, política e muito desafiadora.
Porém, uma das formas da função de risco operacional atingir essa convergência de taxonomias é dar um passo adicional no mapeamento das conexões entre elas. Por exemplo, para cada processo, quais são os riscos que podem existir? Uma matriz que mapeie processos e riscos é muito útil para garantir que todos os riscos sejam capturados sempre que o mesmo processo for avaliado em uma área diferente da organização. Para cada risco, quais são os tipos de controles esperados? Um mapeamento matricial dos riscos para os controles é muito útil no desenvolvimento de métodos de pontuação mais padronizados para a eficácia dos controles.
Métricas Convergentes
As métricas são coletadas por áreas de avaliação de riscos, funções de controle e departamentos de negócios. Algumas são usados para medir eficiências, alguns são usados para monitorar riscos e alguns são usados para medir o desempenho em relação aos objetivos estratégicos. As complexidades tecnológicas de ter vários bancos de dados de métricas acessando os mesmos dados de métricas podem causar sérias dores de cabeça no departamento de tecnologia da informação (TI) e frustrações para os proprietários dos dados.
A FIGURA 3 abaixo ilustra a complexidade de uma abordagem não convergente para métricas. Nesta ilustração, as solicitações de dados de métricas são feitas por todas as áreas da organização. Uma unidade de negócios pode solicitar dados de operações, as operações podem solicitar dados de tecnologia e a tecnologia pode solicitar dados de finanças. Cada área da organização tem necessidades e usos de métricas exclusivos, e isso geralmente faz com que cada área receba diversas solicitações semelhantes, mas ligeiramente diferentes, de dados de métricas.
FIGURA 3 - PROCESSO DE COLETA DE METRICAS NÃO CONVERGENTE
Se taxonomias padronizadas tiverem sido desenvolvidas para a organização, então uma abordagem convergente também poderá ser adotada para coleta e uso de métricas. Esta abordagem geralmente se parece muito com uma abordagem convergente de avaliação de riscos, já que um repositório de dados centralizado para dados de métricas é acessado por todos os usuários e provedores de métricas.
A FIGURA 4 abaixo ilustra como tal abordagem limita as solicitações de dados recebidas por cada área da empresa e permite que os usuários das métricas acessem um único local para todas as suas necessidades de dados.
FIGURA 3 - PROCESSO DE COLETA DE METRICAS CONVERGENTE
Há muitas vantagens nessa abordagem centralizada de dados de métricas:
• Podem ser aplicados padrões consistentes de qualidade de dados.
• Relatórios de métricas consistentes são garantidos.
• Podem ser identificadas “golden sources” de dados.
• Fontes de dados duplicadas podem ser eliminadas.
• As melhores práticas são aproveitadas.
Passo 3: Ferramenta GRC Adequada
Por fim, uma vez definidas as convergências de avaliação riscos e dos dados relacionados, torna-se imprescindível a adoção de uma ferramenta robusta de GRC capaz de absorver o modelo definido no programa de GRC.
O modelo avaliações de risco convergentes mostrado na FIGURA 2 assume que muitos elementos fundamentais são os mesmos para todas as avaliações representadas. Por exemplo, pode-se pressupor que o “timing” do RCSA seria apropriado para as avaliações de conformidade, e que os requisitos mínimos de aprovação seriam apropriados para as avaliações SOX. Contudo, na prática, muitas vezes isso não acontece. Pode haver prazos críticos para avaliações e diferentes períodos exigidos para avaliações. Para satisfazer todos estes requisitos, poderá ser necessário que o RCSA expandido ocorra numa escala demasiada ampla e frequente, com requisitos de aprovação onerosos.
Uma solução para este problema é mover todas as avaliações para uma única ferramenta e permitir que cada equipe conduza suas avaliações com as unidades de negócios conforme necessário. O fato de existirem múltiplas avaliações a serem realizadas pode ser invisível para a unidade de negócio se a organização interagir apenas com uma única ferramenta de avaliação. Essa ferramenta poderia enviar perguntas de avaliação todos os meses, conforme necessário, e os resultados analisados para as áreas de avaliação que deles necessitam.
Ao usar ferramentas sofisticadas de fluxo de trabalho, a aprovação e a pontuação podem ser integradas à ferramenta. Dessa forma, a avaliação terá uma aparência padronizada para a unidade de negócios e a duplicação será eliminada, pois a ferramenta forneceria resultados recentes às equipes de avaliação e os excluiria da lista de questões de avaliação do negócio deste mês.
Um possível Modelo Operacional Alvo (Target Operation Model - TOM) ideal para tal abordagem é ilustrado na FIGURA 5 abaixo:
FIGURA 5 - TARGET OPERATIONAL MODEL: PROGRAMA GRC
Existem diversas dessas ferramentas no mercado hoje, mas muitas organizações também estão optando por construí-las internamente, interligando-as a outros sistemas de informação de gestão que já possuem. Seja qual for a opção adotada, essa para funcionar corretamente essa ferramenta deve contar com uma taxonomia coerente e unificada, excelentes recursos de fluxo de trabalho e dados centralizados.
Na sua forma mais robusta, uma estratégia de avaliação convergente ou GRC também resulta numa plataforma de relatórios integrada que permite à gestão rever os dados de avaliação de todas as fontes da empresa. Este tipo de gestão proativa do risco operacional é facilitado por uma abordagem convergente do risco operacional e das atividades relacionadas.