Suporte Okai

Tudo o que você precisa para tirar dúvidas sobre cursos, certificados, pontuação do CRC e OK.

Índice da coleção

Registrar riscos

Aplica-se a: Riscos relacionados a normas, processos, controles, projetos, achados, auditorias, incidentes e exposições operacionais acompanhados na Okai.

Risco é uma exposição que ainda precisa ser governada

Registrar um risco na Okai é criar um ponto de governança para uma exposição que pode afetar a organização. O registro deve explicar o que pode acontecer, por que isso pode acontecer, qual seria o impacto, quem acompanha a evolução e quais controles ou ações reduzem a exposição.

Um bom registro não é uma descrição alarmista nem uma tarefa disfarçada. Ele ajuda a tomar decisão: aceitar, mitigar, transferir, monitorar ou escalar. Para isso, precisa separar o evento de risco da causa, da consequência e das providências já em andamento.

Use esse cadastro quando houver incerteza relevante e acompanhamento contínuo. Se a situação já é uma não conformidade confirmada, um plano de ação pode ser mais direto. Se é apenas uma atividade pendente, registre como tarefa. Se a dúvida é interpretativa, conclua a análise antes de abrir o risco.

A pergunta que orienta o registro: Se nada for feito, qual evento plausível pode ocorrer e que perda, descumprimento, falha operacional ou impacto reputacional ele pode gerar?

Antes de cadastrar, feche a origem da exposição

O risco precisa apontar para uma origem compreensível: exigência nova, lacuna em controle, mudança de processo, achado de auditoria, incidente recorrente, dependência de fornecedor ou obrigação regulatória ainda não absorvida pela operação. Sem origem clara, o registro fica amplo demais para orientar mitigação.

  • Norma ou obrigação: vincule quando a exposição nasce de requisito regulatório, prazo, interpretação, evidência ou comunicação obrigatória.
  • Processo: use quando a falha provável está em execução, conferência, segregação de funções, documentação ou rotina operacional.
  • Controle: relacione quando o controle não cobre o cenário, não está testado, está vencido ou depende de execução manual frágil.
  • Projeto, achado ou auditoria: vincule quando a exposição aparece durante implantação, revisão, atraso, dependência externa ou remediação ainda não comprovada.

Escreva o evento em formato auditável

A descrição deve permitir entendimento sem reunião de contexto. Uma estrutura útil é causa, evento e consequência: devido a uma condição, pode ocorrer um evento, resultando em um impacto. Essa lógica evita registrar um problema já ocorrido como risco futuro ou registrar uma consequência sem explicar o que a provocaria.

  1. Nomeie a exposição com precisão: Use um título curto que mostre o assunto e o ponto vulnerável, como atraso na evidência de obrigação periódica, falha de atualização de procedimento ou dependência de controle manual em processo crítico.
  2. Descreva a causa provável: Explique a condição que torna o risco possível: ausência de controle, mudança normativa, processo sem dono, fornecedor sem SLA, volume acima do previsto ou evidência sem padrão.
  3. Defina o evento de risco: Registre o que pode acontecer de forma observável. Evite frases vagas como risco de problemas no processo. Prefira uma ocorrência que possa ser acompanhada, como envio fora do prazo, cálculo incorreto, execução sem aprovação ou ausência de comprovação em auditoria.
  4. Explique o impacto esperado: Mostre a consequência para compliance, operação, cliente, financeiro, reputação, auditoria ou regulador.

Avalie impacto e probabilidade sem maquiar a decisão

A avaliação de impacto e probabilidade deve refletir a exposição atual, considerando controles existentes e contexto de negócio. A nota orienta prioridade, frequência de revisão e necessidade de escalonamento. Quando a avaliação é suavizada para evitar atenção, a governança perde sinal.

  • Impacto mede a consequência caso o evento ocorra: sanção, descumprimento, retrabalho relevante, indisponibilidade, perda financeira, falha de prestação de contas ou dano reputacional.
  • Probabilidade mede a chance de ocorrência no cenário atual: frequência do processo, maturidade do controle, histórico de incidentes, dependência manual, mudanças recentes e volume de casos.
  • A área afetada deve representar onde a consequência será sentida ou governada, não apenas quem percebeu o problema.
  • A justificativa deve citar fatos, evidências ou premissas. Se a nota depende apenas de impressão, registre a incerteza e trate o diagnóstico como ação.

Dono, status e prazo precisam contar uma história

Todo risco precisa de uma pessoa responsável por manter o registro vivo. Ela não executa necessariamente todas as mitigações, mas responde pela atualização, articulação com as áreas e clareza do status. O status deve indicar o momento de governança: identificado, em análise, em mitigação, monitorado, aceito, encerrado ou equivalente no seu fluxo.

  • Defina responsável pelo risco e, quando necessário, responsáveis separados para controles, ações de mitigação e validação.
  • Use prazo de revisão para riscos monitorados e prazo de entrega para ações de mitigação. São compromissos diferentes.
  • Explique mudanças de status com comentário ou evidência vinculada, especialmente quando houver redução de nível.
  • Mantenha o risco aberto enquanto a exposição existir, mesmo que algumas ações já tenham sido concluídas.

Mitigação não é promessa, é vínculo com execução

Descrever uma mitigação no texto do risco ajuda, mas não basta para acompanhamento. Quando a redução da exposição depender de trabalho concreto, relacione controles, tarefas, planos de ação, evidências ou documentos. O registro deve mostrar como a mitigação será comprovada.

  1. Relacione controles existentes: Informe quais controles já reduzem impacto ou probabilidade e qual parte do risco eles cobrem. Se o controle só atua depois do evento, deixe claro que ele reduz consequência, não ocorrência.
  2. Crie ou vincule ações de mitigação: Quando a resposta exigir mudança de processo, implantação de controle, revisão documental, treinamento ou coleta de evidências, acompanhe por plano de ação ou tarefa vinculada.
  3. Defina evidência de efetividade: Indique qual evidência demonstrará que a mitigação funciona: teste, aprovação, execução recorrente, registro operacional ou validação da área responsável.
  4. Atualize o nível somente depois da mudança real: Reduza probabilidade ou impacto quando a mitigação estiver implantada, validada ou formalmente aceita. Se a ação está em andamento, o status pode evoluir, mas a exposição ainda deve refletir o cenário atual.

Como registrar na Okai sem perder rastreabilidade

  1. Abra o cadastro a partir do contexto correto: Se o risco nasceu em norma, projeto, controle ou achado, registre o vínculo logo no início para preservar a origem da exposição.
  2. Preencha título e descrição com causa, evento e impacto: Evite textos longos que misturam histórico, decisão e ação. Separe a narrativa do risco das informações de mitigação e evidência.
  3. Informe categoria, área afetada, responsável e avaliação: Use os campos estruturados para permitir filtro, priorização e acompanhamento. Justifique impacto e probabilidade quando a escolha não for óbvia.
  4. Vincule controles, planos, tarefas e evidências: Inclua os itens que comprovam mitigação ou explicam a origem. Comentários ajudam a registrar decisões, mas vínculos estruturados tornam o rastreamento mais confiável.
  5. Defina a próxima revisão: Registre quando nível, status, mitigação e evidências serão revisados novamente.

Validação antes de levar para comitê, auditoria ou revisão

Antes de usar o registro em reunião de risco, auditoria ou reporte regulatório, faça uma leitura crítica. Um risco bem registrado permite entender exposição, prioridade e resposta sem explicação oral.

  • A descrição diferencia causa, evento e consequência.
  • A origem está vinculada a norma, processo, controle, projeto, achado ou incidente quando existir.
  • Impacto e probabilidade têm justificativa compatível com fatos conhecidos.
  • Existe responsável pelo acompanhamento e responsáveis claros pelas mitigações.
  • Controles, ações e evidências vinculados realmente tratam a exposição descrita.
  • Mudanças de nível, status ou aceitação possuem registro de justificativa.

Diagnóstico de registros que não ajudam a decidir

Quando o cadastro existe, mas ninguém consegue decidir o que fazer, procure a causa da ambiguidade antes de trocar etiquetas, mudar notas ou escrever uma mitigação genérica. O problema geralmente está na formulação do risco ou na ausência de vínculo com execução.

  • Se o risco parece uma ocorrência já confirmada, separe o incidente ou achado do risco residual que ainda precisa ser acompanhado.
  • Se a descrição só fala da consequência, volte à causa provável e ao evento que pode disparar essa consequência.
  • Se a mitigação parece suficiente, mas o nível não mudou, verifique se há evidência de implantação e efetividade.
  • Se o risco não tem dono real, atribua responsabilidade de acompanhamento antes de discutir detalhes de classificação.
  • Se o registro acumula várias exposições diferentes, divida em riscos separados para não misturar causas, controles e decisões.

O objetivo do cadastro: Um risco bem registrado não elimina a incerteza. Ele torna a incerteza governável, com contexto, prioridade, resposta e evidência suficientes para decidir o próximo movimento.