O Mapa de Calor de Risco Residual (Residual Risk Heat Map - RRHM) é uma ferramenta estratégica na gestão de risco operacional que fornece uma representação clara e visual dos riscos residuais após os esforços para a sua mitigação, ajudando as organizações a gerenciar, priorizar e comunicar esses riscos de forma eficaz.
Muito mais do que apenas uma ferramenta de comunicação, os RRHMs são um ativo estratégico na gestão do risco operacional, pois auxiliam na tomada de decisão, na alocação de recursos e na conformidade, ao mesmo tempo que melhoram a capacidade da organização para responder e gerir riscos. Entre os benefícios da sua utilização, podemos citar:
• Visualização da exposição aos riscos: os RRHMs fornecem uma representação visual do nível de criticidade dos riscos e a adequação dos controles relacionados, permitindo que as partes interessadas obtenham rapidamente informações complexas e entendam onde estão as vulnerabilidades mais importantes.
• Priorização de riscos: ao exibir os riscos em formato de matriz com base em sua criticidade, os RRHMs ajudam as organizações a priorizar seus esforços de gerenciamento, fator crucial para a alocação eficaz de recursos às áreas que representam a maior ameaça à estabilidade operacional.
• Apoio à tomada de decisão: Um RRHM bem construído oferece insights claros sobre a eficácia dos controles atuais e a extensão do risco residual, informação vital para a tomada de decisões estratégicas sobre onde investir em medidas adicionais de mitigação de riscos ou quando aceitar determinados riscos.
• Gestão dinâmica de riscos: Riscos não financeiros não são estáticos. Eles evoluem à medida que as condições externas e internas mudam. Um RRHM pode ser atualizado regularmente para refletir esta natureza dinâmica, ajudando as organizações a adaptarem as suas estratégias de gestão de riscos em tempo real.
• Ferramenta de comunicação: Os RRHMs servem como uma excelente ferramenta de comunicação em todos os níveis de uma organização. Ajudam a garantir que todos, desde os membros do conselho de administração até o pessoal operacional, compreendam o panorama dos riscos, promovendo uma cultura de sensibilização e conformidade.
• Conformidade regulatória: Muitas estruturas regulatórias exigem que as organizações não apenas identifiquem e avaliem os riscos, mas também demonstrem gerenciamento e controle eficazes desses riscos. Um RRHM pode fazer parte da documentação que demonstra a conformidade com estes requisitos regulamentares.
Quatro Etapas para Construção de um Mapa de Calor de Risco Residual
Para construir um Mapa de Calor de Risco Residual capaz de realmente ajudar uma organização a compreender e gerenciar seus riscos residuais de forma eficaz, é necessário levar em conta a lista completa dos tipos de riscos que são relevantes para seu modelo operacional, aplicar uma metodologia consistente para avaliar riscos e controles, e gerar resultados de mitigação acionáveis e factíveis. Na minha experiência, este processo envolve pelo menos quatro etapas principais:
1. Identificação de tipos de risco, fatores de risco e indicadores-chave de risco.
2. Avaliação dos tipos de risco, fatores de risco e indicadores-chave de risco.
3. Avaliação dos controles como medidas de mitigação de riscos.
4. Determinação do risco residual e ações necessárias de mitigação de risco.
A função de risco operacional, as demais funções de gestão de risco não financeiro (compliance, jurídico, etc.) e a unidade responsável pelo sistema de controle interno na organização devem estar estreitamente integrados em todas essas quatro etapas, as quais são detalhadas a seguir.
Etapa 1 - Identificação de tipos de risco, fatores de risco e indicadores-chave de risco
Para cada tipo de risco não financeiro, a organização precisa compreender como ele se materializa, ou seja, quais os fatores de risco que precisam ocorrer nas suas atividades para a materialização do risco.
Uma vez identificados os fatores de risco, é necessário agora identificar os indicadores-chave de risco (KRIs) por trás de cada fator de risco. Os KRIs indicam o quão arriscado é um processo / atividade e fornecem sinais precoces de aumento da exposição ao risco nas diversas áreas organização. Na medida do possível, devem ser utilizados KRIs já estabelecidos, por exemplo, no contexto da identificação e avaliação de risco operacional. Com esse processo é então obtida uma árvore relacional de tipo de risco, fatores de risco e KRI.
Para ilustrar o exposto acima, segue um exemplo simples de uma árvore relacional de TIPO DE RISCO -> FATORES DE RISCO -> KRIs, para o tipo de risco ‘Crime Financeiro’:
Etapa 2 - Avaliação dos tipos de risco, fatores de risco e indicadores-chave de risco
Com os KRIs identificados, é agora essencial definir os seus limiares (thresholds) específicos. A avaliação dos KRIs identifica potenciais violações de metas, alertas ou limites no período avaliado. Os thresholds podem ser expressos em números absolutos ou como percentagens dos volumes de negócios subjacentes. Sempre que possível, deverão ser definidos pelo menos três níveis de thresholds, com os respectivos graus de violação, a menos que os requisitos regulamentares ou de políticas internas exijam explicitamente algo diferente (por exemplo, tolerância zero para determinado tipo de risco).
O threshold “meta” determina o nível ótimo de risco e deve ser definido com base no risco que a instituição está disposta a aceitar em condições normais de atividade e em linha com o apetite de risco relacionado (por exemplo, o nível “meta” para clientes de alto risco de lavagem de dinheiro pode ser definido como menor ou igual a 6% da população total de clientes). Nenhuma ação corretiva adicional e dedicada será necessária se os volumes de negócios permanecerem dentro do threshold “meta”.
O threshold “atenção” descreve um nível de risco um pouco mais elevado, mas geralmente ainda aceitável (por exemplo, o nível “atenção” para clientes de alto risco em crimes financeiros pode ser definido como mais de 6% até 10% da população total de clientes). Nesse caso é desencadeada a implementação de medidas de mitigação predefinidas e relatórios de gestão dedicados.
O threshold “limite” descreve o nível de risco que a organização já não está disposta a aceitar e representa o nível de escalada mais elevado (por exemplo, o nível “limite” para clientes de alto risco em crimes financeiros pode ser definido em mais de 10% da população total de clientes). Aqui são exigidas ações mais rigorosas e concretas (por exemplo: acompanhamento mais frequente, intensificação de controles, etc.) geralmente com a definição planos de ação específicos dentro de um cronograma definido.
A avaliação então deve ser realizada numa abordagem em cascata, ou seja, em primeiro lugar, os KRIs individuais são avaliados para determinar se algum limiar correspondente foi violado (meta, atenção ou limite).
Em seguida, as avaliações individuais dos KRIs devem ser agregadas para obter uma avaliação de risco consolidada do fator de risco relacionado, que geralmente é feito agrupando uma seleção de KRIs. Essa avaliação agregada dos fatores de risco pode ser determinada de forma simples, com base na média aritmética das avaliações subjacentes a cada KRI. Por exemplo: meta=1; atenção=2; limite=3. Com base nesses valores, podem ser utilizadas as seguintes faixas para a avaliação global dos fatores de risco:
• Meta: 1,0 - 1,6
• Atenção: 1,7 - 2,3
• Limite: 2,4 - 3,0
Por fim, as avaliações de risco para todos os fatores de risco são novamente agregadas para obter uma avaliação de risco consolidada para o tipo de risco.
A figura abaixo ilustra o processo de agregação de avaliação descrito anteriormente:
Quando adequado, a avaliação do risco para os KRIs ou fatores de risco pode ser ajustada através da aplicação de uma ponderação baseada no risco. Ou seja, os KRIs ou fatores de risco específicos recebem mais peso (por exemplo, pelo fator 1,5 ou 2) em comparação com os seus pares, resultando numa avaliação de risco global que tende mais para os componentes ponderados. Tal abordagem ajuda a destacar áreas de preocupação específica que necessitam de mais escrutínio e atenção para mitigar os riscos no futuro.
Etapa 3 - Avaliação dos controles como medidas de mitigação de riscos
Na Etapa 3, a primeira coisa a fazer é capturar e atribuir os controles-chave existentes nos tipos de risco não financeiro aos KRIS e fatores de risco correspondentes, construindo agora uma uma árvore relacional de tipo de risco, fatores de risco e controles. Os dados e informações relevantes necessários para esta etapa devem provir das funções responsáveis da 2ª Linha de Defesa, inclusive dos relatórios de risco preparados por elas.
Para ilustrar o exposto acima, segue um exemplo simples de uma árvore relacional de TIPO DE RISCO -> FATORES DE RISCO -> CONTROLES-CHAVE para o tipo de risco ‘Crime Financeiro’:
Após a associação dos controles-chave aos KRIs e fatores de risco correspondentes, os controles devem então ser avaliados em função dos seus três critérios principais:
• Implementação: o controle está implementado.
• Design: quando operado corretamente, o controle é adequadamente projetado para abordar e prevenir os riscos relevantes.
• Eficácia: com base no teste de uma amostra de controle, o controle está operando da maneira pretendida, de forma consistente e está devidamente documentado.
O exercício de avaliação dos controles deve ser realizado pelas funções responsáveis da 2ª Linha de Defesa, ou em estreita colaboração com elas. Com base no resultado da avaliação, os controles devem ser classificados de acordo com uma escala predefinida ou fatores de controle qualitativos com um resumo da lógica subjacente. Estes podem ser:
• O controle é satisfatório.
• O controle precisa de melhorias.
• O controle é deficiente.
Após a avaliação dos controles individuais, as classificações devem ser agregadas em nível de fator de risco, de forma análoga ao que foi feito na Etapa 2. Essa avaliação agregada da adequação do controle também pode ser determinada de forma simples com base na média aritmética das avaliações de controle subjacentes, ou seja, satisfatório=1; necessita de melhorias=2; deficiente=3. A mesma lógica de faixas também pode ser utilizada na avaliação agregada do controle ao nível dos fatores de risco:
• Satisfatório: 1,0 - 1,6
• Precisa de Melhorias: 1,7 - 2,3
• Deficiente: 2,4 - 3,0
E por fim, novamente como foi feito na Etapa 2, as avaliações da adequação do controle dos fatores de risco também devem ser agregadas ao nível do tipo de risco.
Aqui também as avaliações da adequação dos controles podem ser ajustadas através da aplicação de uma abordagem de ponderação baseada no risco, ou seja, dando aos controles para fatores de risco específicos mais peso em comparação com os seus pares.
Etapa 4 - Determinação do risco residual e ações necessárias de mitigação de risco
Na Etapa 4 é então determinado o nível de risco residual, derivado de uma combinação do nível de risco avaliado inicialmente e da classificação da adequação do controle. Dependendo da utilização e do público-alvo pretendidos, o risco residual pode ser demonstrado ao nível de KRIs individuais, fatores de risco ou tipo de risco.
No caso de risco residual situado em um quadrante vermelho (ou seja, alto), são necessárias medidas substanciais para resolver os déficits estruturais. Se ainda já não for o caso, esses déficits serão provavelmente detectados pela auditoria interna, pelo auditor externo ou mesmo pelos reguladores – resultando numa pressão bem mais elevada de remediação. Devido ao impacto da remediação e ao risco potencial de escrutínio regulamentar, as partes interessadas diretamente envolvidas em riscos residuais altos devem incluir nos planos de ação mitigatórios correspondentes sempre um membro responsável da gestão executiva, representantes seniores da 1ª e 2ª Linhas de Defesa e potencialmente outros interessados (por exemplo, auditoria interna).
O risco residual no situado em um quadrante amarelo (ou seja, médio) é um pouco menos urgente, mas ainda requer total atenção. Dependendo da situação individual, as medidas corretivas devem concentrar-se numa redução adicional da atividade subjacente geradora de risco (por exemplo, suspensão do onboarding de clientes de alto risco de lavagem de dinheiro), aumento de posições em áreas críticas de gestão de risco ou o reforço dos controles existentes.
Já um risco residual situado em um quadrante verde (ou seja, baixo) não deve desencadear medidas de mitigação imediatas. Em vez disso, a função de controle responsável da 2ª Linha de Defesa deverá monitorar a situação.
Como observação final e melhor prática, deve-se adotar sempre a diretriz de que que somente KRIs individuais, fatores de risco ou tipo de risco inicialmente avaliados nos thresholds “alerta” e “meta” podem resultar num risco residual baixo. Riscos avaliados no threshold "limite", independentemente da adequação do controle, não devem qualificar-se para risco residual baixo.