Toda organização precisa de um arcabouço (framework) que permita implementar uma adequada gestão de risco operacional de acordo com as suas necessidades. Esse framework precisa apresentar uma imagem simples, mas coerente, das peças essenciais do quebra-cabeça de gestão e delinear como elas se unem. O fácil entendimento do framework é essencial, pois ele será comunicado desde alta gestão até os colaboradores da linha de frente, servindo como âncora e ponto de referência para toda uma série de discussões relacionadas com a gestão do risco operacional.
Porém, não existe uma abordagem única para a gestão do risco operacional. O framework de gestão deve ser customizado para as necessidades específicas da organização e continuamente adaptado às mudanças no ambiente de negócios. Dessa forma, para a auxiliar na definição do framework ideal, existem três passos que podemos executar para entender quais são as reais necessidades de gestão de risco operacional da organização e garantir de maneira contínua a eficácia e eficiência desse framework no ambiente onde ele está instalado. E esses passos são os seguintes:
1. Entender as regras e regulamentos aplicáveis à organização
O primeiro passo consiste sempre em identificar os requisitos mínimos definidos pelos reguladores relevantes. Esta etapa é fundamental, pois constrói uma base sólida, forçando as organizações a interpretar ativamente as suas obrigações fundamentais, bem como elementos mais sutis, por exemplo, requisitos relacionados a testes de controle. Se, por exemplo, a empresa estiver sujeita à regulamentação Sarbanes-Oxley, estas regras têm um impacto significativo na metodologia de autoavaliação de riscos e controles (RCSA) e exigem uma abordagem definida de testes.
É importante ressaltar que compreender os requisitos regulamentares para a gestão do risco operacional não é um exercício isolado. É fundamental obter clareza sobre quem é responsável pela varredura completa do horizonte normativo e pela captura de mudanças à medida que elas ocorrem. Às vezes, presume-se que a área de compliance está realizando essa varredura e confiamos totalmente em seu processo. Na prática, porém, a função de compliance pode estar excluindo determinados tópicos do seu processo de análise, como, por exemplo, alguns aspectos da regulamentação prudencial, orientações do setor sobre “melhores práticas” ou mesmo regiões geográficas selecionadas. A área de risco operacional precisa de garantir um acordo sobre o âmbito de tais processos e talvez até realizar as suas próprias revisões do que é uma agenda regulatória em constante mudança.
2. Desenvolver e constantemente avaliar a proposta de valor interna
Da mesma forma que a compreensão das regras externas é fundamental, os requisitos internos também necessitam ser entendidos. Essencialmente, este processo envolve a análise dos pontos fortes e fracos da empresa, para determinar os principais argumentos de “venda” da gestão do risco operacional. Embora inegavelmente existam diversas vantagens na gestão prudente de riscos, quais benefícios específicos terão maior repercussão dentro da sua organização? Esses benefícios específicos devem enfatizados durante discussões constantes com a alta gestão e com as unidades de negócios, pois eles representam cartas que serão colocadas diretamente na mesa nas conversas subsequentes e podem mudar com o tempo.
3. Realizar benchmarks constantes
As diretivas regulamentares são geralmente baseadas em princípios e geralmente não prescrevem de forma rígida ou exata, como implementar um framework de gestão de riscos ou como operar suas ferramentas. Por isso é muito importante realizar uma análise de benchmarking e avaliar criteriosamente até que ponto as melhores práticas de gestão de risco operacional já estão sendo aplicados na sua organização, identificando lacunas e áreas de melhoria.
No caso de instituições financeiras, uma primeira análise nesse sentido pode ser feita utilizando os Princípios do Comité de Basileia para a Boa Gestão do Risco Operacional, os quais fornecem orientações excepcionalmente úteis. Esses princípios são constantemente revistos pelo Comitê de Basiléia (ver link para a revisão mais recente no final desse artigo), articulam sucintamente os requisitos fundamentais e continuam a ser a principal fonte de análise comparativa com as práticas existentes. Apesar de se destinarem aos bancos, podem ser aplicados à indústria de seguros, à gestão de ativos ou a qualquer outra atividade de serviços financeiros.
Manter-se atualizado com as melhores práticas do setor é fundamental, já que melhores práticas evoluem constantemente. E a melhor forma de se manter atualizado nessas práticas é criar laços fortes com outros profissionais do setor. Atualmente existem muitos fóruns, grupos de discussão e organizações profissionais em todos os setores. Esses tipos de interações são fundamentais para manter o contato com os pares e seguir de perto as boas práticas do seu setor à medida que elas se desenvolvem.
Concluindo: os três passos descritos acima garantem que profissionais de risco operacional se mantenham vigilantes face ao ambiente em constante mudança das organizações e sempre desafiem o seu status quo, garantindo que o framework de gestão de risco operacional instalado seja sempre o mais atualizado e adequado possível.
Basel Committee on Banking Supervision - Revisions to the Principles for the Sound Management of Operational Risk (March, 2021)