terça-feira, abril 16, 2024
Últimos:

Prof. Marcos Assi

Artigos

Resolução 4.557 – Declaração de Apetite por Riscos (RAS)

marcos

Aos segmentos S2 a S5, a menos de um mês para início da vigência dessa resolução, a prioridade é elaborar a RAS. Dentro dos quadros tracejados no diagrama, destacamos os capítulos sugeridos para esse documento em eventos como Febraban – INFI e ABBC. Um ponto de partida pode ser consolidar diretrizes dos relatórios de gerenciamento de risco já existentes por conta das resoluções de risco vigentes (antes segregadas e agora consolidadas na 4.557), acrescidas das iniciativas e planejamentos para integrá-las e monitoramentos sistemáticos dos limites de apetite ao risco.

Diretrizes descritas na RAS. Como elas estão implementadas?

Partindo das diretrizes descritas na RAS, basta um pequeno aprofundamento investigativo pela supervisão para detectar o nível de maturidade das estruturas que as suportam ou se o documento não é “para inglês ver”. Caso não estejam sistematizadas, essas vulnerabilidades devem ser reconhecidas e fazer parte de um planejamento de melhoria contínua. Sem tempo hábil para mudanças profundas, a meta agora é documentar o estágio atual do processo de gerenciamento de riscos com viés de melhoria planejada. Logo após a elaboração da RAS, seguem alguns desafios conforme numeração do mesmo diagrama:

1 – Processo de negócio: sua correta execução é que mantém a viabilidade financeira da organização, senão os investimentos nos demais elementos que ao redor deles gravitam não se justificam, conforme destaca o diagrama de Assi. É necessário conhecimento profundo dos negócios, prioridades e processos, sem o qual o restante das iniciativas ficarão desalinhadas com os objetivos finais da organização.

2 – Indicadores chaves de performance ou desempenho: Cada organização deve implementá-los segundo sua ideal relação de custo x benefício. O livro ‘A Meta’ (Eliyahu Goldratt) aborda a teoria dos gargalos, exemplificando em formato narrativo passagens obtendo indicadores sem altos custos a partir de informações já disponíveis da contabilidade e da TI. Em algum estágio de amadurecimento no processo de gestão de riscos, inevitavelmente a TI terá de ser acionada para consolidação e criação de novos indicadores.

3 – Mapeamento de processos: a qualidade do funcionamento da organização muitas vezes depende de iniciativas pessoais e individuais. Perde-se o colaborador, perde-se essa qualidade. O ideal é sua documentação em função de produtos e serviços numa ‘Cadeia de Valor’, relacionando a passagem dos processos pelas várias especialidades em diversas áreas e alinhando com as prioridades da organização. Mesmo num nível básico de maturidade, com processos estanques por cada área, levantar, documentar de forma clara e mantê-los atualizados são grandes desafios. Em tempos de estruturas enxutas e constantes mudanças nas áreas de negócio para manter competitividade, entregar sempre será mais prioritário que documentar, sendo um desafio manter esse mapeamento atualizado.

4 – Controles internos: implementar a Resolução 2.554/1998 dependia do mapeamento de processos para pontuar onde tais controles são aplicados ou para apurar onde deveriam ser incluídos. Esses controles devem ser periodicamente revisados e testados por meio da aplicação de CSA, RCSA, auditoria interna ou outras técnicas. Quem implementou tais estruturas foi beneficiado aproveitando-as para implementar a Resolução 3.380/2006, uma vez que os controles reduzem o risco operacional tratado por essa resolução. As resoluções, portanto, seguiram uma cronologia lógica de implementação e sinergia para os investimentos da organização.

5 – Gerenciamento integrado de riscos: Organizações em estágio inicial de maturidade no assunto teriam de planejar soluções já integradas entre os riscos para atender a Resolução 4.557/2017, caso contrário terão mais funcionalidades a serem costuradas com outros riscos já apurados de forma segregada. Além da integração entre riscos de diferentes perfis, no sentido horizontal do processo deve-se aproveitar sucessivamente as informações da etapa anterior para a posterior, e no sentido vertical personalizar a comunicação adequada para cada nível hierárquico mantendo a integridade entre os dados apresentados.

6 – Identificação: A partir de hipóteses por critérios qualitativos num nível básico de maturidade, evoluir para critérios quantitativos deve ser uma meta de melhoria contínua. A modelagem deve permitir associar riscos de diversos perfis.

7 – Indicadores de risco: Podem nascer a partir do estudo de outros indicadores de performance ou de risco, individualmente ou combinados.

8 – Análise da evolução histórica do indicador: confirma ou não um comportamento padrão numérico que represente o risco identificado. Encontrar essa correlação:

  • Permite mapear o grau de dependência entre diferentes riscos integrados baseado em comportamentos históricos.
  • Permite simular alguma variável com maior condição de previsão para que seus efeitos sejam transferidos automaticamente na mesma proporção histórica às demais variáveis correlacionadas com menor condição de previsão, num futuro teste de estresse integrado.

9 – Critérios de risco: A evolução histórica dos limites de apetite ao risco deve ser mantida para justificar decisões de priorização no tratamento de riscos, que mudam ao longo do tempo.

10 – Avaliar enquadramento do risco ou não depende da comparação do nível de desempenho passado e/ou previsto com o nível de apetite ao risco. Indicadores e limites são diferentes para cada nível hierárquico, por outro lado também devem manter coerência entre si, em função de serem consolidações sucessivas à medida que se sobe no organograma.

11 – Quanto maior o tempo, orçamento e áreas envolvidas, cujas prioridades são os processos de negócio, mais difícil é monitorar o estágio em que diversos planos de melhoria simultaneamente ainda em execução se encontram. A aplicação de um plano pode também não gerar a mitigação planejada inicialmente, bem como ser de difícil mensuração.

TI e valor agregado.

Inevitavelmente, a TI das organizações terá de ser envolvida em algum estágio de amadurecimento do processo de gerenciamento de risco face o grande volume e a grande variedade de dados a serem armazenados e consolidados, a imensa quantidade de processos simultâneos em andamento por áreas com as mais diversas prioridades, a integridade entre informações apresentadas nos diferentes níveis hierárquicos e ao longo das etapas sucessivas do processo de gestão de risco, entre outros desafios apresentados conforme o porte da organização.

Inspirado na chefe do departamento de riscos do Banco Central, acreditamos que o tempo da organização é muito maior que o tempo dos colaboradores dentro da organização. Então vale mais um bom fundamento implementado a ser evolutivamente melhorado, mesmo que seja ao longo de várias gestões ou vários colaboradores, do que apenas uma gestão concluir um processo que não agregue valor à organização.

Yoshio Hada

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.

Você pode gostar também

Agora a MASSI tem curso presencial e a distancia ao vivo

marcos

Compliance virou grife, agora muito se fala, pouco se aplica

marcos

Usina de Cuiabá: Enron e J&F donos especiais com pequenos problemas!!!!

marcos