Conhecimento & Insights > Wiki BPM > Riscos e Controles


Visão Geral das Soluções

 

 

       4. Taxonomia de Riscos


4.1 Apresentação

Apenas reconhecer a existência do risco dentro de uma organização não é suficiente para que a organização consiga tratá-lo de forma adequada. Para gerir o risco, uma organização precisa ser capaz de descrevê-lo, avaliá-lo, comunicar-se a seu respeito para tomar medidas para trata-lo.

Nesse contexto, surge uma série de desafios que necessitam de uma linguagem comum de gestão de riscos. É necessária uma abordagem que permita que todos dentro da organização sejam capazes de interpretar e descrever os riscos da mesma forma. Além disso, devem-se delegar responsabilidades relacionadas aos esforços de gestão de riscos de maneira que se assegure que não haja duplicidade de esforços nem vácuos de responsabilidade. A avaliação dos riscos também precisa ser feita de forma homogênea, possibilitando que sejam realizadas também avaliações em maior nível de agregação a partir de riscos mais detalhados. Por fim, deve-se facilitar a comunicação a respeitos dos riscos dentro da organização envolvendo, por exemplo, boas práticas para tratamento de determinados riscos, discussões relacionadas à criticidade de cada risco etc.

Na prática, essa linguagem comum de gestão de riscos se sustenta através da aplicação de diversos conceitos e categorias como, por exemplo: fonte de risco, evento e conseqüência. A própria definição da ISO Guide 73 para risco apresenta um preocupação em tratar a forma como os riscos são descritos:

 “Risco
Efeito da incerteza sobre os objetivos

NOTA 1 - Um efeito pode ser positivo, negativo ou um desvio do esperado
NOTA 2 - Um objetivo pode ser financeiro, relacionados a saúde e segurança, ou definido em outros termos.
NOTA 3 – Um risco é (freqüentemente) descrito por um evento, um conjunto de circunstâncias, uma conseqüência, ou uma combinação destes e como eles afetam o alcance dos objetivos
NOTA 4 – Um risco pode ser expresso como a combinação das conseqüências de um evento, ou mudanças de uma circunstância, e sua probabilidade”

As Notas 3 e 4 estão claramente preocupadas com a expressão do risco dentro da organização, já sugerindo conceitos que facilitam a sua descrição. A taxonomia de gestão de riscos é então a abordagem, suportada por um conjunto de conceitos e categorias que permite a construção de uma linguagem comum de riscos dentro da organização.

 

4.2 Visão geral de Taxonomia de Riscos

A taxonomia de riscos diz respeito à forma como o risco, assim como os outros objetos relevantes para a gestão de risco, são descritos dentro de uma determinada organização. A taxonomia de riscos é formada por um conjunto de conceitos e categorias usadas para descrever cada tipo de objeto.

Por exemplo, se uma determinada organização deseja descrever cadeiras de forma homogênea, ela poderia utilizar uma taxonomia que utilizasse conceitos de material, com as classificações de plástico, alumínio e ferro e o conceito de cor com as categorias branca, preta, azul, vermelha e verde. Assim, cada cadeira seria descrita de acordo com o seu material e a sua cor, por exemplo uma cadeira de plástico branca.

Entretanto, se por um lado existem diversas abordagens utilizadas para a taxonomia de riscos, não se pode dizer que haja um consenso a respeito do uso dessas abordagens, mesmo em relação a quais seriam melhor aplicáveis a cada contexto. Com isso, cada organização tem de decidir que abordagem adotar para construir a sua taxonomia de riscos.

A título de ilustração, será apresentada aqui uma abordagem para descrever riscos usando os conceitos de fonte de risco, evento e conseqüência:

  • As Fontes de Risco podem ser entendidas como as causas, inerentes à organização, responsáveis pela existência da incerteza que originam os eventos.
  • Eventos, por sua vez, são circunstâncias que geram um conjunto de conseqüências.
  •  Por fim, as conseqüências podem ser entendidas e expressas diretamente como variações no alcance dos objetivos.

 

 A Figura abaixo representa um conjunto de categorias a serem usadas para descrever cada risco . Por exemplo, pode-se descrever o risco de indisponibilidade de sistema da seguinte forma: Fontes de risco do tipo “Competências”, “infra-estrutura tecnológica” e “Fornecedores e Terceiros” podem causar um evento do tipo “Falha Tecnológica” levando a conseqüências sobre “Imagem da organização” e “Eficiência operacional”.


Como referência para as categorias de eventos foi usada a Standard & Poors e, para as categorias de conseqüências, o Kaplan e Norton

 

Figura 6: Categorias de descrição de Risco

 

Um outro ponto de grande importância é a classificação dos riscos de forma quantitativa ou semi-quantitativa. Nesse ponto em particular, pode-se encontrar um consenso expressivo na literatura e aplicação da Gestão de Riscos. Tal consenso se dá ao redor da classificação dos riscos enquanto um atributo de probabilidade (ou termo equivalente) e severidade (ou termo equivalente) em escalas semi-quantitativas (por exemplo, baixo, médio ou alto).

Pode-se inclusive combinar a abordagens relacionadas à descrição do risco com os atributos de probabilidade e severidade. Uma forma de fazer isso para a abordagem apresentada anteriormente é definir uma probabilidade de que as fontes de risco causem um evento e uma severidade relacionada à conseqüência a ser trazida pelo evento. A figura a seguir ilustra essa combinação.

Figura 7: Combinação entre as categorias de descrição e atributos de um risco

 

Voltando ao exemplo da descrição do risco de indisponibilidade de sistema podemos adicionar à nossa descrição os atributos de probabilidade e severidade da seguinte forma: Fontes de risco do tipo “Competências”, “infra-estrutura tecnológica” e “Fornecedores e Terceiros” possuem uma baixa probabilidade de causar um evento do tipo “Falha Tecnológica” levando a conseqüências classificadas como altas nas categorias de “Imagem da organização”e “Eficiência operacional”.

Alguns exemplos de conceitos e classificações bastante usados na construção de taxonomias de gestão de risco são as categorias de eventos da Basiléia: fraudes, demandas trabalhistas etc. e as categorias relacionadas às assertivas das contas materiais existentes nos relatórios financeiros usadas pelas organizações que possuem programas de compliance para com a SOX: existência e ocorrência, completude/integração, avaliação e alocação, direitos e obrigações e apresentação e divulgação.

De acordo com o Risk Management Toolkit publicado pela Lloyd’s em 2006, uma linguagem comum de riscos deve prover possui um importante papel em:

  • Ajudar a coordenar esforços na identificação avaliação e controle de riscos;
  • Agregar clareza e entendimento para todas as partes e permitir consistência para a avaliação de riscos;
  • Assegurar que todos os riscos são considerados;
  • Assegurar que toda a informação sobre riscos significativos, de diferentes áreas de negócio possam ser agregadas.

 

4.3 Desafios ao entendimento uniforme dos riscos

Deve-se chamar a atenção a alguns fatores que dificultam o entendimento global do risco dentro da organização e a avaliação da exposição a risco de cada objetivo. Seja qual for a abordagem aplicada à construção da taxonomia de risco adotada pela organização, ela deve levar em consideração cada um desses fatores.

Em primeiro lugar está a própria natureza do risco. A forma como a incerteza afeta o ambiente de negócios não se dá através de eventos isolados com causas e conseqüências bem definidas como as abordagens para descrição do risco parecem querer mostrar.

O que ocorre na realidade é uma cadeia de causas e conseqüências que não respeitam os silos funcionais, nem os limites da organização. Assim, a criação de um novo vírus de computador (evento externo à organização) pode deixar temporariamente indisponível os computadores utilizados pela área atuarial para o cálculo de reserva, obrigando o pessoal desta área a continuar trabalhando após o expediente, o que impactaria, em última análise, na moral deste pessoal.

A figura a seguir ilustra uma cadeia de causas e conseqüências, de razoável complexidade, que acaba por afetar a receita da organização. Na prática, cadeias de causas e conseqüências como essa devem ser traduzida através de uma abordagem homogênea, o que pode resultar na identificação de um ou mais riscos.

Figura 8: Cadeia complexa de causas e conseqüências

 

Uma outra variável importante, que dificulta a avaliação da exposição ao risco é o fato de que a mesma se encontra em constante mudança. Toda vez que um processo manual é automatizado, por exemplo, riscos de cálculos incorretos e utilização de métodos incorretos são trocados por riscos de parada de sistema e riscos de acesso a informações indevidas.

Quando um empregado é substituído, um risco de falta de competência é substituído por um risco de falta de experiência e familiaridade com os processos da empresa. Toda vez que uma nova legislação é emitida por um órgão regulador, surgem novos riscos de compliance. Novamente, uma metodologia bem construída se faz imprescindível – neste caso para permitir uma rápida alteração nos registros dos riscos.

Um último elemento consiste no fato de que o risco depende de relações causais entre as diferentes fontes de risco existentes, que são de difícil identificação. Por exemplo, como definir se uma fraude interna ocorreu por falta de supervisão adequada, por uma fraqueza dos sistemas de contabilidade ou por uma segregação inadequada de atividades? Inclusive é possível que todos os três fatores tenham contribuído de algum modo para que tal evento ocorresse. Aqui a metodologia deve simplificar o trabalho envolvido na descrição dos riscos que envolvem essas intricadas cadeias de causalidade.


       5. Control Self-Assessment e Matrizes de Risco

 

 

5.1. Apresentação

CSA (Control Self Assessment) é uma metodologia de auto-avaliação que se apóia na percepção de que não há ninguém melhor que os envolvidos com o dia-a-dia de uma área, função ou processo para avaliar os riscos relacionados a essa mesma área, função ou processo.

No CSA, cabe aos próprios indivíduos avaliar se os controles existentes são suficientes para assegurar a concretização dos seus objetivos dados os riscos aos quais esses objetivos estão expostos.

Trata-se de uma ferramenta excelente para realizar avaliações de risco em larga escala dentro de uma organização. Programas de CSA podem mesmo abranger uma organização em toda a sua extensão, incluindo todos os seus processos e objetivos.

Programas de CSA também podem possuir diversos focos diferentes, podendo variar desde avaliar os controles que atuam sobre riscos relacionados ao reporte financeiro de uma organização, até programas de foco mais operacional onde se avalia a adequação do sistema de controles em evitar eventos de perdas capazes de minar a eficiência dos processos da organização.

A Matriz de Risco é um template para o registro da informação levantada a respeito de cada risco. Como o CSA é a principal ferramenta para o levantamento de riscos e a matriz de risco a principal ferramenta para registro do mesmo, existe um altíssimo grau de interdependência entre essas duas ferramentas de forma que ambas serão tratadas como uma só solução.

 


5.2 Visão geral de CSA e Matrizes de Risco

Em essência, um CSA é a realização de uma auto-avaliação em larga escala, distribuída por toda ou parte da organização para verificar a suficiência dos controles existentes na mitigação dos riscos e provendo segurança com relação ao atingimento dos objetivos. No entanto, essa auto-avaliação pode ser realizada por meio de diversos métodos e assumindo formas diferentes.

Existem principais duas questões a serem respondidas para a definição de um método de CSA. A primeira diz respeito a quais informações serão coletadas a respeito de cada risco. Essa questão é equivalente à estruturação da própria matriz de riscos. A segunda questão é a definição da melhor abordagem para realizar essa coleta.

5.2.1 Definindo as informações a serem coletadas

A figura a seguir apresenta um exemplo de matriz de risco utilizada em um projeto de gestão de riscos corporativos (em inglês Enterprise Risk Management,- ERM) realizado em uma seguradora de vida.

Nesse projeto, uma matriz foi elaborada para cada risco corporativo (riscos razoavelmente agregados que a gerência decidiu monitorar). Para cada um desses riscos, foram mapeados diversos componentes de risco que são eventos que, caso ocorram, impactariam negativamente nos objetivos da organização.

Para cada componente de risco foram levantados também controles que seriam mecanismos que mitigam um ou mais dos componentes de risco (esses controles foram registrados em uma matriz de processo, por isso apenas o código dos mesmos aparece na matriz de risco).

Cada componente de risco foi classificado em termos de sua severidade e da vulnerabilidade da organização à sua ocorrência (o conceito de vulnerabilidade usado dessa forma torna-se equivalente ao conceito de probabilidade). Vemos também na matriz de risco uma lista de categorias de impacto segundo a qual o risco corporativo foi classificado.

Na parte superior à direita encontramos a qualificação do risco corporativo enquanto à sua severidade e a vulnerabilidade da organização a ele, além de um rating que é calculado de forma a combinar essas duas qualificações. Na parte inferior, encontramos ainda o acompanhamento histórico de dois KRIs (olhar a ferramenta KRI para maiores informações) que foram identificados como relevantes para o acompanhamento do risco corporativo.

Figura 9: Matriz de Risco

 

O objetivo da matriz de risco é consolidar uma grande quantidade de informação relevante a respeito de uma determinada preocupação dos gestores. Assim, espera-se que se possa dar a eles uma boa visibilidade da exposição da organização a esse risco corporativo.

Vale chamar a atenção para o fato de que essa matriz de risco é baseada no conceito de ERM onde cada risco corporativo é um objeto relevante a ser monitorado pelos gestores da organização. A idéia é que a informação mais detalhada normalmente coletada pela auditoria, como a informação a respeito dos componentes de risco e controles do nosso exemplo, só podem ser interpretadas em um contexto mais amplo. Daí surge a necessidade de criar riscos corporativos – eles são os objetos a serem monitorados e geridos através do conjunto de informações mais detalhadas apresentadas na matriz de risco.

Um exemplo pode ajudar a melhor entender essa discussão: um gerente da área atuarial pode estar preocupado com a possibilidade de atrasos no processo de cálculo da reserva atuarial de forma que esse passa a ser um risco corporativo. Os eventos capazes de contribuir para esses atrasos são, entre outros, a indisponibilidade de computadores com os softwares necessários devidamente instalados, a indisponibilidade de pessoal qualificado (por motivo de doença, por exemplo), a necessidade de retrabalho devido à execução de cálculos errados e o atraso no recebimento de novas informações.

Entre os controles está fornecer um prazo mínimo para a execução do processo duas vezes maior que o mínimo necessário. Assim, se apenas um dos componentes de risco levar a um atraso, esse controle será suficiente para assegurar que o processo termine antes do prazo. O prazo só seria estourado através de uma combinação de componentes de risco (por exemplo, um cálculo errado e um computador que está em manutenção). Dessa forma, embora a avaliação de apenas um componente de risco tenha pouco significado quando feita de forma isolada, o seu valor surge na medida em que contribui juntamente com outras informações (de outros componentes de risco, controles, KRIs, etc.) para a avaliação mais agregada do risco corporativo. Dessa maneira, a associação contextualizada de diversas informações mais detalhadas traz a necessária visibilidade em relação à verdadeira preocupação do gestor.

5.2.2 Definindo a abordagem para coleta de informação

Uma vez que se saibam quais as informações as serem coletadas através do CSA, chegamos à segunda questão a ser respondida para definição do método de CSA: que abordagem utilizar para coletar a informação dentro da organização.

Das abordagens utilizadas para a coleta de informação em CSAs, três métodos merecem destaque por serem mais freqüentemente aplicados e abordados pela literatura: questionários, entrevistas e workshops. Como era de se esperar, a decisão pela utilização de cada um desses métodos irá depender das particularidades de cada empresa e de cada projeto.Contudo, a melhor opção, via de regra, depende da utilização combinada desses três métodos, permitindo assim a geração de resultados mais completos, rápidos e efetivos.

  • Questionário – ideal para a coleta extensiva e rápida de informação. Podem ser utilizados para um diagnóstico relativamente superficial da estrutura de controles e/ou quando a empresa possui informações suficientemente estruturadas sobre riscos; controles e objetivos. Outra forte indicação para o seu uso é no momento de priorização de processos a serem avaliados (podendo inclusive restringir a análise mais detalhada dos processos mais críticos). Finalmente, trata-se de uma ferramenta interessante para monitorar mudanças na estrutura de controles já mapeada (revisão das matrizes de risco)
  • Entrevistas – ferramenta indicada para o primeiro levantamento da estrutura de controles internos de uma empresa, já que permite a interação entre quem detêm o método da construção da matriz de risco (consultores externos ou áreas específicas da organização) e quem possui o conhecimento profundo da operação (executores e gerentes). Sua aplicação demanda mais tempo do que os questionários, mas produz informações significativamente mais detalhadas. Entrevistas costumam ser feitas em duas etapas: uma primeira entrevista de levantamento e uma segunda de validação. Cabe ressaltar que o levantamento extensivo de controles existentes, realizado através de entrevistas, deve seguir um padrão para o registro e detalhamento das informações, permitindo a geração de um relatório final homogêneo e uma análise da viabilidade para manutenção da base de dados gerada.
  • Workshops – ferramenta indicada para situações que exigem decisões importantes e a participação de múltiplos stakeholders com tempo disponível limitado, como gerentes e diretores. Workshops são ideais para dois momentos: primeiro, no momento de identificação dos objetivos e principais riscos no início da ação; e, segundo, para validação do resultado geral de uma ação de controles internos, na qual planos de ação e respostas de tratamento aos riscos são aprovados e priorizados.

 

Para a coleta da informação da matriz de risco que acabamos de apresentar foi realizado um workshop para mapeamento dos componentes de risco e controles, além da identificação de KRIss a serem monitorados. Questionários foram distribuídos para a avaliação da vulnerabilidade e da severidade de cada componente de risco e, por fim, uma entrevista foi realizada com o gerente responsável pelo risco corporativo para o preenchimento das categorias de impacto, vulnerabilidade, severidade e rating.


5.3 CSA como promotor de accountability em uma organização

Uma visão interessante do papel que o CSA vem representando dentro das organizações é dada por Michael Power em seu livro Organized uncertainty, de 2007. Segundo o autor: “CSA promove uma lógica de controle dentro de uma organização que é similar à lógica de ‘ownership’ da qualidade. Questões a respeito da comunicação de riscos estão no coração do CSA como uma ferramenta ‘soft’ para avaliar o conhecimento tácito coletivo a respeito de riscos dentro da organização e então formalizá-lo através de registros possuídos coletivamente”.

A opinião de Power se sustenta sobre o fato de que cada indivíduo que participa do Control Self-Assessment pode afirmar se os controles são ou não adequados para a concretização dos seus objetivos. Em ambos os casos, o indivíduo estará assumindo a responsabilidade pela parte do sistema de controles que lhe diz respeito: seja por ter assegurado a sua suficiência, seja por apontar as suas falhas (ficando obrigado a corrigi-las). Assim, o CSA assume um papel duplo de funcionar como um método para coletar e consolidar o conhecimento tácito e explícito sobre a exposição a risco da organização ao mesmo tempo em que distribui responsabilidades e gera accountability a respeito da gestão desses riscos.

 

      6. Apetite a Risco



5.1. Apresentação

Deixar que riscos sejam aceitos sem um parâmetro para guiar os tomadores de decisão em relação ao que é tolerável é equivalente a permitir a incubação de um acidente. Por outro lado, uma postura excessivamente avessa ao risco pode prejudicar seriamente a competitividade e a capacidade de inovar de uma organização, além de levar a grandes desperdícios devido ao inchaço da estrutura de controles. Assim, é essencial que exista um parâmetro capaz de permitir que os riscos sejam aceitos de forma balanceada por toda a organização. Na literatura de gestão de riscos, o apetite a risco é apresentado como esse parâmetro. A ISO Guide 73 define o apetite a risco como:

“Montante e tipo de Risco que uma organização está prearada para perseguir ou tomar
Nota – O apetite a risco é um reflexo de como a organização balancea as suas metas de eficiência, crescimento, retorno e risco.

O apetite a risco deve ser articulado por toda a organização para funcionar como uma referência para todos os tomadores de decisão. Dessa maneira, assegura-se que todas as decisões tomadas na organização estejam alinhadas em relação a que tipos de risco podem ou não ser considerados aceitáveis. Como resultado, consegue-se otimizar o retorno sobre os riscos tomados ao longo de toda a organização, ou seja, consegue-se diferenciar os riscos que valem à pena ser tomados daqueles que não o valem.

 

6.2 Visão geral de Apetite a Risco

6.2.1 O processo de definição e desdobramento de apetite a risco

Estabelecer quais riscos são ou não aceitáveis dentro de uma organização é uma tarefa bastante complexa. A definição do apetite a risco não deve se restringir a uma simples escolha de um número, mágico por parte do conselho administrativo ou da alta gestão da organização. Pelo contrário, é necessário um processo que envolva as diversas camadas da organização. Um exemplo possível é apresentado na figura a seguir, retirada do documento Thinking about Risk: Setting and communicating your risk appetite publicado em 2006 pela Her Majesty Treasury (ministério econômico e financeiro da Grã-Bretanha).

Figura 10: Processo de definição e desdobramento do apetite ao risco


Este processo se inicia com a definição do apetite de forma mais abrangente por parte das camadas superiores da administração. A seguir, essa definição é desdobrada pela gestão intermediária da organização em tolerâncias a risco e, finalmente, no nível operacional são levantadas respostas a risco para assegurar que essas tolerâncias sejam observadas.
Entretanto, nem sempre será possível atingir os níveis de risco considerados toleráveis e, em outros momentos, o risco aceito está muito abaixo da tolerável (possibilitando novas oportunidades). Quando isso ocorre, deve-se escalar as exceções às camadas intermediárias e superiores da organização. A última etapa é a própria resolução dessas exceções, o que pode incluir na alteração das tolerâncias a risco e, até mesmo, do apetite a risco em si.

6.2.2 O apetite a risco e a governança corporativa

Uma consideração importante é o entendimento de que a definição e desdobramento do apetite ao risco é uma poderosa ferramenta para executar a governança corporativa. O apetite ao risco permite que os gestores sejam responsabilizados de forma clara a respeito não apenas dos resultados obtidos, mas também dos riscos incorridos na perseguição de tais resultados. Assim, ele dá liberdade aos gestores para serem criativos na busca por respostas a risco sem que se perca de vista a fronteira daquilo que pode ou não ser considerado aceitável. Por fim, o processo de desdobramento do apetite ao risco, ao trazer de volta para as camadas superiores da organização os riscos considerados intoleráveis, permite também a identificação dos pontos onde há necessidade de um maior aporte de recursos para o tratamento dos riscos.

6.2.3 Benefícios esperados

O mesmo documento da HM Treasury também apresenta um conjunto de benefícios trazidos para uma organização através de uma clara articulação do apetite ao risco:
"

1. Apoiar o processo de tomada de decisão e fornecer evidência sobre ele;
2. Demonstrar como cada elemento do negócio contribui para o perfil de risco da organização como um todo;
3. Mostrar como diferentes estratégias de alocação de recursos podem melhorar ou piorar o ônus do risco;
4. Apoiar os processos de aprovação;
5. Identificar áreas específicas onde o risco deve ser removido;
6. Transparência e consistência das decisões de negócio;
7. Melhor entendimento dos orçamentos baseados em risco.

"


6.3 Desdobrando o apetite a risco em tolerâncias a risco

Se as tolerâncias a risco não puderem ser expressas de forma clara para os tomadores de decisão, a definição e o desdobramento do apetite ao risco não trarão nenhum benefício para a organização. Veremos aqui algumas idéias que podem ajudar na definição dessas tolerâncias.
As primeiras três idéias vêm de outro documento da HM Treasury, também de 2006, o Thinking about risk – Managing your risk appetite: Good practice examples.

Primeiro, o documento recomenda a utilização de uma Matriz de Apetite a Risco onde o risco seja dividido em diversas categorias a serem classificadas de acordo com níveis de apetite a risco da organização para cada uma delas (os níveis usados como exemplo foram: avesso, minimalista, cuidadoso, aberto e faminto). O significado padrão de cada um desses níveis de apetite também é descrito. Por exemplo, faminto é descrito como “ansioso por ser inovador e por escolher opções baseando-se no potencial de recompensas elevadas (a despeito de um maior risco inerente)”.

Figura 11: Descrição das classificações para uma matriz de apetite a risco


A segunda idéia apresentada é a construção de pequenas narrativas padronizadas com o objetivo de tornar tangível o que é ou não tolerável para cada tipo de risco. A Matriz de Apetite a Risco pode ser usada para definir o nível de tolerância acerca de cada tipo de risco e a narrativa para melhorar o entendimento por toda a organização a respeito do significado e mesmo do porquê cada um desses níveis.

A última idéia está em especificar como se espera que cada nível de risco seja tratado. Essa especificação pode incluir, entre outras informações, a quantidade de tempo e recursos a serem dedicados ao tratamento do risco ou as situações em que os riscos devem ser escalados aos níveis superiores. Por exemplo, para riscos menos relevantes, deve-se continuar respeitando as políticas de gestão de riscos, mas procurando minimizar o tempo, esforço e dinheiro em seu tratamento, enquanto os riscos classificados na categoria de maior criticidade devem ser evitados. Com isso, é possível equilibrar o risco aceito ao longo de toda a organização por meio da padronização do seu tratamento, e não apenas por meio de uma referência do que é ser ou não aceitável. O grande benefício dessa prática é a otimização dos recursos alocados ao tratamento dos riscos.

Figura 12: Matriz de apetite a risco baseada na especificação de como cada risco deve ser tratado

 

As três últimas idéias são retiradas do Risk Management Toolkit da Lloyd’s, publicado em 2006. O documento apresenta quatro diferentes formas para articular o apetite a risco.

A primeira delas é através de frases qualitativas que expressam o que a organização deveria considerar aceitável. Entretanto, essa abordagem é muito próxima à aplicação da idéia de utilizar narrativas para expressar o apetite a risco discutida anteriormente, de forma que não vamos considerá-la uma nova idéia.

A segunda ferramenta (essa sim pode ser considerada uma nova idéia) é a utilização de números para expressão quantitativa do apetite a risco. Isso pode ser feito definindo-se a quantidade máxima de perdas devido a um tipo de risco (por exemplo, as perdas máximas devido a multas relativas ao não cumprimento de acordos de nível de serviço devem ser inferiores a uma quantia pré-estabelecida ou não receber mais que cinco reclamações de clientes ao mês). Com isso, tem-se uma referência clara a respeito do que se espera do gestor responsável pelo risco, facilitando a monitoração da efetividade do tratamento do risco. Outra vantagem é que essa forma de articulação gera uma previsão a respeito de perdas esperadas e pode ser usada como apoio na elaboração de orçamentos.

Uma terceira idéia está em definir três intervalos para a expressão quantitativa do risco (no lugar de apenas um limite máximo). Assim, o risco pode ser classificado como aceitável, tolerável ou intolerável. Quando estiver no nível aceitável, nenhuma ação extra se faz necessária. No nível tolerável, deve-se monitorar de perto o risco para assegurar que o mesmo não se eleve. No nível inaceitável, devem-se tomar medidas imediatas para a redução do risco. Essa abordagem permite que os riscos que não são inaceitáveis, mas que estão em um nível relativamente alto, possam receber atenção diferenciada.

Uma última idéia está na segunda ferramenta apresentada: a utilização de indicadores chaves de risco (para mais informações ver seção sobre a solução KRIs deste WIKI) para expressão do apetite a risco. A idéia aqui é relacionar os níveis de um determinado KRI monitorado pela organização com o tipo de atitude que se espera para cada nível (aumentar a intensidade de monitoração, reportar a níveis superiores da organização, tomar medidas específicas etc.). A vantagem da utilização dos KRIs é que os mesmos permitem uma monitoração mais completa das causas do risco e não apenas das suas conseqüências.

 

 

       7. KRI (Key Risk Indicator ou Indicador-chave de Risco)



6.1. Apresentação

KRIs são indicadores definidos para dar maior visibilidade às principais fontes de riscos da organização. KRIs podem estar ligados tanto a métricas internas (ligadas aos próprios processos organizacionais), quanto a métricas externas à organização, representando sempre grandezas capazes de indicar a exposição a um determinado risco. Por exemplo, o turnover de uma organização pode ser uma métrica interna capaz de dar maior visibilidade ao risco de perda de conhecimento (entre muitos outros riscos). Portanto, o turnover é um KRI. Já o crescimento do PIB é uma métrica externa capaz de, da mesma forma, dar visibilidade ao risco de variação no tamanho do mercado consumidor.
Deve-se tomar cuidado para não confundir o KRI com o próprio risco – O risco, de acordo com a ISO Guide 73  é o efeito da incerteza sobre os objetivos; portanto a sua manifestação só pode se dar sobre indicadores que representem o atingimento de objetivos (conhecidos como KPIs ou indicadores-chave de performance). Embora não sejam uma representação do risco em si, os KRIs ainda conseguem auxiliar o tomador de decisão na monitoração do nível de risco e na identificação de eventos inesperados.
A figura abaixo apresenta um conjunto de exemplos de KRIs.

\

Figura 13: Exemplos de KRIs

 

7.2 Visão geral do KRI

7.2.1 Em que KRIs se diferenciam dos KPIs

KRIs são indicadores que mensuram a exposição a risco da organização. Compreender o que é um KRI se torna mais fácil ao focar-se na distinção entre eles e os KPIs (Indicadores-Chave de Performance). Pode-se diferenciá-los da seguinte maneira: enquanto os KPIs estão focados na monitoração dos resultados realizados, os KRIs focam-se na monitoração dos fatores capazes de influenciar esses resultados. Enquanto os KPIs trazem ao presente informações sobre o que já foi realizado, os KRIs trazem ao gestor informações sobre o que está acontecendo no momento presente, permitindo-o agir em tempo real, influenciando os resultados antes de sua realização.

Eis um exemplo que ilustra a diferença entre KPI e KRI: um ciclista tem como objetivo bater o recorde mundial do circuito em que está correndo. Nesse sentido, podemos afirmar que uma variável essencial a ser medida é o tempo decorrido desde a largada do ciclista.

Dessa forma, considera-se um KPI o cronômetro do ciclista, o qual, além de medir o tempo decorrido ao longo da prova, é de extrema importância para mantê-lo atento sobre o tempo recorde da prova, apontando se esse tempo recorde já está acima ou se ainda está abaixo do tempo marcado pelo cronômetro do ciclista.

No entanto, o cronômetro não emite alertas sobre outras variáveis que podem influenciar, direta ou indiretamente, a performance do ciclista e, conseqüentemente, o sucesso do seu objetivo. Para isso, é importante termos um bom parâmetro de mensuração – tão acessível e de fácil entendimento quanto o cronômetro- que possa deixá-lo atento para fatores como, por exemplo, a sua freqüência cardíaca ou a velocidade da bicicleta.

Nesse caso, os KRIs seriam o velocímetro e o monitor de freqüência cardíaca do ciclista. Através desses KRIs, o ciclista teria uma visão clara de como está o desempenho atual tanto em relação à sua performance (velocidade instantânea) quanto em relação às suas reservas de energia (freqüência cardíaca) estando em condições de gerir os seus esforços de forma a maximizar as chances de concretizar os seus objetivos.

7.2.2 Benefícios esperados

De acordo com o Risk Management Toolkit da Lloyd’s, os KRIs são de grande importância, pois:

  • Habilitam a prevenção de potenciais “pontos quentes de risco”, podendo ajudar empresas a evitar ou minimizar perdas;
  • Ajudam a identificar fraquezas em processos e/ou controles de forma a permitir que ações sejam tomadas com o objetivo de fortificar o controle e resolver casos específicos.
  • Metas para KRIs podem ser definidas para direcionar o comportamento e os resultados esperados de empresas
  • Um dos métodos para articular o apetite a risco, particularmente para riscos relacionados à operação, é através da definição de níveis de escala e de tolerância de KRIs
  • Identificação e gestão de KRIs é uma área de foco regulatório
  • Dados de KRIs estabelecidos podem ser usados como um input para cálculos de capital para riscos operacionais   

 

Complementando essa visão, podemos citar uma pesquisa realizada pela Risk Management Association, feita em 2005, com 38 instituições financeiras a fim de se descobrir quais eram os objetivos dessas organizações – mais especificamente, dos gestores –  no tocante à modelagem de KRIs e quais eram suas prioridades e propósitos.

De acordo com a pesquisa, a prioridade mais alta era estabelecer um report de riscos estruturado para os gestores e integrar os riscos de maior foco de atenção a um instrumento de mensuração claro e de fácil entendimento.  Apenas 9 das 38 empresas pesquisadas preteriram essa meta. Outra prioridade, a qual também é mencionada no Risk Management Toolkit, é a utilização dos KRIs para o estabelecimento do apetite a riscos da organização: 23 empresas já estabeleceram esse objetivo para os seus KRIs.

7.2.3 Focando sobre os poucos KRIs essenciais

Os KRIs precisarão ser suportados por um sistema de coleta e reporte de informações. A implantação de tal sistema pode se tornar muito cara caso se deseje trabalhar com um conjunto muito extenso de KRIs. Por isso, muitas vezes só é economicamente viável a implementação de poucos KRIs essenciais.

Vale ressaltar que a implantação de um sistema de gestão pode ser uma excelente oportunidade para a implantação de um conjunto mais extenso e robusto de KRIs. Nesse momento, diversos indicadores de desempenho serão, invariavelmente, elaborados, criando economias de escala para a implementação de KRIs.

7.3 A comunicação dos KRIs

Um dos maiores desafios na aplicação de KRIs é assegurar que os KRIs adequados sejam reportados aos indivíduos corretos. De acordo com o artigo Key Risk Indicators – Their Role in Operational Risk Measurement,  de autoria de Jonathan Davies, Mike Finlay, Tara McLenaghen e Dulcan Wilson e publicado no livro The Advanced Measurement Aproach to Operational Risk Management editado por Ellen Davis para a Risk Books, cada gestor deveria ser informado com os KRIs que lhe permitissem identificar problemas de maneira proativa dentro das suas áreas de preocupação e tomar ações apropriadas. Para isso, os seguintes fatores devem ser considerados:

  • Nível de granularidade ou exposição a risco medida pelo KRI: KRIs que tratam de riscos mais específicos (por exemplo, a temperatura de uma determinada máquina em uma indústria) devem ser apresentados para gerentes de menor nível hierárquico cujas responsabilidades coincidam com a informação do indicador. Por outro lado, KRIs que trazem informações mais abrangentes (como o tempo médio para recuperação de máquinas quebradas), devem ser apresentados a gerentes mais seniores.
  • A abrangência representada pelo KRI: quanto maior a quantidade de possíveis eventos advindos das causas monitoradas pelo KRI, maior a senioridade dos gestores aos quais o KRI deve ser reportado.
  • A “Temperatura” (vermelho, amarelo ou verde) atual do KRI – Indicadores bottom-up: cada temperatura representa um determinado intervalo de valores para o KRI e está associada a um determinado nível gerencial. Assim, o KRI é reportado para o nível gerencial ao qual a sua temperatura atual está associada.
  • O foco de risco específico do KRI – Indicadores top-down: Tais indicadores são criados com o propósito de serem revisados pela alta gestão da organização, normalmente o próprio CEO. Normalmente, esses indicadores são formulados com o propósito de gerar visibilidade sobre causas de risco bastante gerais ou sobre falhas ou eventos potenciais em um processo. Exemplos e indicadores top-down são: o número e valor total de processos judiciais movidos contra a empresa no total e por linha de negócio; o número de ataques externos ao firewall; a quantidade de pontos de atenção encontrados pela auditoria interna em cada área da organização.

 

       8. Bases de Perdas


8.1. Apresentação

Como o nome sugere, Bases de Perdas Internas são bases de dados para o registro de informações a respeito das perdas sofridas pela organização.
Do ponto de vista prático, uma Base de Perdas Internas é uma ferramenta de análise qualitativa e quantitativa que ajuda os tomadores de decisão a responder perguntas como, por exemplo:

  • Qual o montante financeiro de perdas que a organização vem sofrendo devido a determinado tipo de falha?
  • As perdas financeiras estão de acordo com o apetite a risco da organização?
  • Quais as características da distribuição de probabilidade de um determinado tipo de falha?
  • Qual a probabilidade de que um determinado tipo de evento ocorra ao longo de um dia?
  • A implantação do controle Y teve efeito real sobre a ocorrência da falha X?

 

O desenvolvimento e implantação de bases de perdas internas foram fortemente impulsionados pelo acordo de Basiléia II, que estipulava que os bancos possuíssem reservas de capital condizentes com os riscos operacionais aos quais estivessem expostos. Para estipular essas reservas, os bancos poderiam optar por:

  • métodos de cálculo simples como o indicador básico (no qual a reserva é diretamente proporcional à receita), ou;
  •  o indicador avançado (que considera percentagens diferentes para receitas obtidas em linhas de negócio de naturezas diferentes), ou;
  • métodos de mensuração avançada, no qual instituições devidamente qualificadas podem construir modelos próprios com base nos seus históricos de perdas operacionais para o cálculo de capital.

 

A figura a seguir ilustra os diversos campos que poderiam estar presentes em uma base de perdas internas:

Figura 14: Exemplo de base de perdas internas

 

8.2 Visão Geral de bases de perdas externas

8.2.1 Eventos de perda

Bases de perdas internas são bancos de dados sobre possíveis acontecimentos com conseqüências indesejáveis aos quais uma organização está exposta. Nas bases de perdas, tais acontecimentos são tratados por eventos de perda. A publicação Risk Management Toolkit da Lloyd’s aponta três categorias de eventos de perdas internas:

  • Perdas ocorridas – um incidente que resultou num impacto financeiro negativo para o negócio;
  • Perda potencial – Um incidente que foi descoberto podendo ou não resultar efetivamente em uma perda financeira
  • Quase-perda – Um incidente com potencial de perda para a organização, descoberto por meios diferentes dos seus padrões normais de operação, e que, por sorte ou por uma ação específica e não programada da gerência, teve um impacto nulo ou mesmo positivo

 

Ainda segundo o Risk Management Toolkit, novos eventos de perdas podem ser cadastrados na Base de Perdas Internas de duas formas:

  • Aparecimento de novos riscos que ameaçam a organização
  • Falta ou falha de controle relacionado a um risco já identificado

 

8.2.2 Implantação da base de perdas internas

A implantação de uma base de perdas internas pode ser feita com base em diferentes tecnologias de softwares, desde planilhas Excel e bancos de dados Access, até softwares de fornecedores especializados em Gestão de Riscos e Controles Internos ou mesmo especialmente desenvolvidos para a organização.  É muito importante que se envolva as diversas unidades organizacionais que lidarão de alguma forma com o software na definição do escopo da base de perdas.

Por escopo, entende-se não só as categorias de perdas a serem estudadas, como também os campos de informação que irão constar em cada registro de evento de perda. Por fim, é sempre interessante que a Base de Perdas Internas seja analisada e aprovada por especialistas no assunto.

8.2.3 Benefícios esperados

O Risk Management Toolkit da Lloyd’s também trata da importância das Bases de Perdas Internas, justificando-a por meio dos seguintes fatores:

  • Medir a exposição a risco de forma apurada
  • Avaliar a eficácia e eficiência de controles existentes e justificar o investimento em novos controles
  • Identificar padrões e lições a serem aprendidas
  • Usar os dados sobre perdas para alimentar modelos matemáticos para cálculo de capital

 






8.3 Critérios para registro de eventos de perda

Deve-se ter em mente que nem todos os eventos que se enquadrem como eventos de perdas devem ser registrados. Faz-se necessário estabelecer critérios mínimos para assegurar a significância da informação armazenada na base de perdas internas. Muitas organizações estabelecem um limite inferior para registro de eventos relacionados a seu impacto financeiro, fazendo com que o custo de coleta não ultrapasse o valor em registrar aquele evento. Além disso, a integridade, veracidade, volume e abrangência dos dados armazenados são essenciais para que a base de perdas internas possa, efetivamente, ser útil.

8.4 Integrando diversas fontes de informação

Um dos maiores desafios para a implantação de uma base de dados que contenha as perdas internas sofridas por uma organização é unificar os diversos fluxos de informação existentes nas áreas de uma empresa. Evitar a formação de silos onde os dados sobre perdas internas estejam disponíveis apenas para os funcionários de uma unidade organizacional é extremamente importante.  Por exemplo, perdas relativas ao ressarcimento de funcionários envolvidos em um acidente dentro da empresa (registrada pelo RH na base de perdas internas) e perdas relativas a multas devido ao atraso no pagamento de impostos (registrados levadas pelo Contas a Pagar para a base de perdas internas) devem ser, posteriormente, abrigadas em um grande repositório de informações, o qual deve estar sempre disponível para toda organização.

Ainda em relação à implantação de um fluxo de informações para formar uma base de perdas internas, é essencial atentar para a integridade dos dados coletados e capturados para essa base. Quando se fala em integridade de dados, deve-se ter duas perguntas em mente:

  • As informações relativas às perdas coletadas estão completas? Há alguma informação essencial para o entendimento dessas perdas que esteja faltando?
  • As informações transferidas para a base de perdas são confiáveis?Elas são consistentes e aderentes à realidade, ao que realmente aconteceu?

Dessa forma, são comuns os conceitos de gestão e validação de uma base de perdas com a finalidade de evitar redundâncias – como dados duplicados – e informações inverídicas ou pouco confiáveis. Designar responsáveis pela “limpeza” da base de dados, submeter as informações coletadas a orientações e validações periódicas de gestores são algumas das práticas que podem ser empreendidas para gerir uma base de perdas internas.  Em um dos bancos mais importantes dos Estados Unidos, Wachovia, medidas como essas foram fundamentais para a construção de uma nova abordagem, mais confiável e segura, para o processo de construção e implementação de bases de perdas internas.

8.5 Base de Perdas Externas

Embora seja uma fonte valiosíssima de informação, o histórico de perdas de uma organização não é capaz de representar toda a real exposição a risco da mesma. Isso porque a informação nela contida diz respeito apenas às perdas que a organização experimentou ou, no máximo, foi capaz de detectar. Uma prática muito utilizada para contornar essa limitação é o uso de informações de perdas de outras empresas: a Base de Perdas Externas.

Novamente de acordo com o Risk Management Toolkit, as bases de perdas externas podem trazer benefícios à organização através de três formas principais:

  • Testar a capacidade de resposta do ambiente de controle contra eventos de perdas externas com o objetivo de averiguar a efetividade dos controles em ajudar a evitar ou mitigar tais eventos.
  • Ajudar na criação de análises de cenários mais robustos com o propósito de averiguar requerimentos de capital.
  • Prover dados adicionais com potencial para apoiar a modelagem de requerimentos de capital. No entanto um julgamento cuidadoso é necessário a respeito da relevância desses dados, tendo em vista diferenças relativas a indústrias e setores industriais, escalas operacionais, sistemas de controle, culturas e à provável completude dos dados.

 

Além disso, com uma base de perdas externa, o conjunto de dados formado por eventos de perda torna-se mais universal, ou seja, representa a realidade e as experiências sofridas por outras empresas, tornando esse conjunto de dados mais aderente e mais condizente com o ambiente em que a organização se encontra.

Para ter acesso às informações sobre perdas de outras organizações, as empresas costumam recorrer a consórcios especializados. Nesses consórcios, cada membro deve ceder os dados da sua própria base de perdas externas em troca das informações dos outros membros. Logicamente, todos os dados fornecidos ao consórcio devem obedecer a determinados padrões de compatibilidade e qualidade. Alguns exemplos de consórcios são o Operational Risk data eXchange association (ORX) e o ABI Operational Loss Consortium (OLC).

No entanto, o uso de base de perdas externa esbarra em uma dificuldade significativa: a pouca boa vontade das organizações em divulgar as reais perdas que sofreram. Se uma empresa não receber qualquer incentivo para divulgar suas perdas financeiras, elas raramente o farão por livre e espontânea vontade. Isso nos leva a uma segunda dificuldade: as perdas divulgadas não são tão importantes para aqueles que pretendem utilizá-las, já que as informações com caráter mais relevante serão mais dificilmente divulgadas.   

Finalmente, é importante ressaltar a existência de uma crença comum – como aponta o livro The Advanced Measurement Approach to Operational Risk – que é o fato das organizações acreditarem que conduzem seus negócios de forma mais eficaz e mais qualificada do que os seus concorrentes. Graças a esse sentimento, muitas empresas acreditam que não irão passar pelas mesmas experiências sentidas por outras empresas, o que representa um grande obstáculo ao seu aprendizado com os eventos de perda sofridos por outros.