Resolução 4.557-Envolvimento de todas as áreas no tratamento dos riscos – Grafos GRI

 

As áreas decisórias e de negócio se envolveram ao menos nessa última etapa do processo de gerenciamento de riscos? Se não se envolveram, melhor alertá-las, pois em algum nível, elas compartilharão responsabilidade pelo estágio da gestão de riscos em cada ciclo de revisão. A omissão delas não as isenta de serem responsáveis, respectivamente, pela definição de prioridade na mitigação dos riscos e o detalhamento / implementação dos respectivos planos onde os riscos são originados. Para a área de gestão de riscos, se o tratamento das recomendações for distribuído em diferentes planos e com o agravante de tarefas delegadas a diversas áreas, monitorar esses diversos planos simultaneamente nos mais diferentes estágios de execução não será uma tarefa simples.

Revisões e fotos

A figura que abre esse artigo, com 3 poses de um filme de câmera fotográfica tradicional (acredito ainda poder utilizar esse exemplo, pois as aposentamos ‘apenas’ nessa geração), busca exemplificar 3 revisões em diferentes momentos do mesmo risco. Seguindo a numeração (1 a 3) e letras (‘A’, ‘P’ e ‘R’) destacadas no diagrama:

  • Momento 1 (hoje): foi planejado mitigar o risco (‘A’ para ‘P’) reduzindo simultaneamente seu impacto e probabilidade, conforme abordamos no artigo anterior análise e mensuração de riscos. Essa mitigação planejada provavelmente envolverá uma ou mais áreas responsáveis pelas variáveis que afetam esse risco. Um plano de mitigação, com a definição das etapas e seus responsáveis, precisa estar disponível para detalhamento do esforço e horizonte de conclusão.
  • Momento 2 (1ª revisão): a situação permanece inalterada no mesmo nível de risco. Mas o gestor de riscos pode demonstrar que há um plano de longa duração em andamento, ainda não concluído nesse instante e por esse motivo sem possibilidade de ainda reduzir o risco residual conforme planejado na revisão anterior. O plano de mitigação deve estar atualizado em relação a quais etapas concluídas e quais ainda pendentes, principalmente se estiverem atrasadas em relação ao cronograma planejado.
  • Momento 3 (2ª revisão): mesmo com o plano de mitigação concluído, ainda temos 2 prováveis cenários alternativos que podem não corresponder ao planejado:
    • A mitigação alcançada ‘R’ não foi aquela planejada por diversos motivos (orçamento, recursos, tempo, variáveis não previstas, etc.). No exemplo, foi reduzida a probabilidade sem redução no impacto.
    • Houve alterações nas variáveis originais do próprio risco inerente, fazendo com que seu risco residual também migrasse para a posição ‘N’ de novo cenário, mesmo após os esforços do plano de mitigação aplicado.

Monitoramento

Definidos os planos de mitigação, eles serão executados muitas vezes pelas próprias áreas de negócio, só que em geral subordinados à agenda principal da área que é ‘tocar o negócio’. Obter esse ‘status’ dos planos de mitigação torna-se difícil na medida que, por falta de prioridade, estarão muitas vezes em atraso. O desconforto em reportar a execução do plano em atraso (número 4 da mesma figura) pode postergar esse posicionamento e dificultar a consolidação da situação da matriz de risco da organização.

Priorização dos tratamentos (número 11 da figura acima)

Além das etapas recomendadas pela ISO 31000, consideramos acrescentar uma etapa de priorização dos tratamentos para mitigação de riscos, inspirado no processo descrito do artigo gerenciamento de riscos no Banco Central. O exemplo do evento relatado foi de um tratamento ser feito por meio de treinamento aplicado por apenas uma área, exigindo que ela organize cronologicamente diferentes turmas das diversas áreas de negócio com essa necessidade, não podendo ser feito simultaneamente. Então forçosamente alguns riscos permanecerão inalterados, enquanto tal treinamento não for aplicado, aguardando outras áreas mais sensíveis receberem tal treinamento prioritariamente. No contexto aqui abordado, permite justificar o tratamento ainda não aplicado na mitigação de determinados riscos durante um ciclo de revisão, aguardando sua vez dentro da lista de prioridades.

Acrescentaríamos outra variável: orçamento, isto é, o ‘colchão curto’. Num provável cenário com uma lista de tratamentos maior que o orçamento disponível, caberá uma priorização de investimentos. Então, além do fator tempo em planos de longa duração de implementação, a falta de orçamento pode prolongar ainda mais a mitigação de riscos identificados com menor prioridade. Isto é, apesar do apetite por risco apurado na etapa de avaliação exigir redução do risco aos limites previstos na política da organização, uma restrição orçamentária tornará inevitavelmente alguns riscos descobertos. É essa vulnerabilidade que uma matriz de riscos deverá representar.

Tratamento em diversos planos ou um plano com diversos tratamentos (número 12 da figura anterior)

A descrição de um tratamento para mitigação de riscos pode ser tanto específica como muito ampla. Essa descrição, numa linguagem de recomendação da gestão de riscos, deve ser detalhada na linguagem e em etapas de execução das áreas de negócio afetadas. A estrutura da organização pode envolver diversas ações distribuídas em planos diferentes e diversas áreas distintas. O inverso também pode ocorrer, com um plano contemplando recomendações sugeridas pelo tratamento de diversos riscos mapeados.

Papel das áreas decisórias na priorização dos tratamentos

As áreas decisórias definirão a velocidade e priorização da mitigação de riscos, em função das decisões quanto à cronologia, bem como a distribuição do orçamento. Em última análise, essas decisões definirão quais riscos terão seus riscos mitigados antes e quais serão mitigados depois. Em planos de execução de longa duração, seus respectivos riscos a serem mitigados estarão nos níveis inalterados enquanto não forem concluídos. A evolução do nível de risco residual nas ‘fotos’ de diferentes momentos será diretamente afetada por essas decisões. O não comprometimento nessa etapa de priorização é um aceite nas condições de quem as definiu. A autoridade pode ter sido delegada, mas não a responsabilidade, portanto serão em última instância também responsáveis perante a supervisão do regulador.

Papel das áreas de negócio na definição e execução do plano de mitigação

A definição do prazo dos planos de mitigação deve ter contribuição e aceite da própria área afetada e responsável pela implementação, pois ela possui sua própria agenda de tarefas normais e necessita intercala-la com seu cronograma de atividades do ‘dia a dia’. Os detalhamentos também devem ser de iniciativa da própria área, que é profundo conhecedor de sua rotina de trabalho. Caso contrário, ficará à mercê de condições definidas por terceiros sem conhecimento de sua rotina habitual ou demanda da carga de trabalho. O aceite prévio do prazo e medidas a serem tomadas gera comprometimento maior. Sua omissão também não a isenta de ser responsável no cumprimento do cronograma, pois é a fonte do risco a ser mitigado.

Outra contribuição esperada é no reporte do estágio real do plano de mitigação. A omissão desse reporte gera uma zona de desconhecimento, justificado na maioria das vezes pelo ‘dia a dia’ em ‘tocar o negócio’, mas que dificulta a consolidação do mapa geral de riscos. Um mecanismo que pode ser adotado é a omissão do reporte ser considerado automaticamente nenhum avanço em relação ao reporte anterior. Se essa ausência de avanço representar atraso, caberá à área detalhar os motivos desse atraso. Algumas vezes, pode ser a simples ausência de reporte adequado para consolidação da situação da matriz de riscos. Dessa forma, pode-se criar o hábito do reporte periódico.

O ideal é envolver efetivamente as áreas decisórias e de negócio nas várias etapas dentro do processo de gerenciamento de riscos. Mas no tratamento, essa participação é essencial pelos motivos abordados. Mesmo contando com essa colaboração, consolidar e detalhar a situação de cada risco a partir do trio ‘planilha, e-mail e telefone’ têm desafios expostos conforme os artigos indicadores da RAS com planilhas e avaliando automatização, exigindo tempo e esforços na coleta de informações de todas áreas envolvidas. A figura acima acrescenta ainda a dificuldade em representar a evolução de diversos riscos ao longo do tempo nos mais variados estágios, com a capacidade de detalhar seus respectivos planos, se tal controle for feito exclusivamente a partir de planilhas.

Tratamos algumas etapas do gerenciamento de riscos focados em metodologias. Mas é essencial o aculturamento e conscientização sobre o assunto entre todos colaboradores da organização: assunto para futuros artigos. Afinal, não adianta oferecer o volante de um ‘Fórmula 1’ se o piloto estiver capacitado para dirigir um ‘carrinho de rolimã’ (aos mais jovens, outro termo para pesquisa na web).

Bom fim de semana a todos.

 

Yoshio Hada

Fontes

Resolução 4.557/17 – Gerenciamento integrado de riscos

http://www.bcb.gov.br/pre/normativos/busca/normativo.asp?numero=4557&tipo=Resolu%C3%A7%C3%A3o&data=23/2/2017

Artigos anteriores – Gerenciamento de riscos no Banco Central

http://b3bee.com.br/site/2018/01/11/resolucao-4-557-gestao-de-riscos-no-banco-central/

Artigos anteriores – Identificação e análise de riscos

http://b3bee.com.br/site/2018/04/07/resolucao-4-557-modelagem-e-identificacao-de-riscos-integrados-parte-1/

http://b3bee.com.br/site/2018/04/16/resolucao-4-557-modelagem-e-identificacao-de-riscos-integrados-parte-2-grafos-gri/

http://b3bee.com.br/site/2018/04/21/resolucao-4-557-modelagem-e-identificacao-de-riscos-integrados-parte-3-grafos-gri/

http://b3bee.com.br/site/2018/06/01/resolucao-4-557-analise-e-mensuracao-de-riscos-integrados-grafos-gri/

Artigos anteriores – Planilhas e Sistemas

http://b3bee.com.br/site/2018/04/05/resolucao-4-557-indicadores-para-a-ras-com-planilhas-parte-2/

http://b3bee.com.br/site/2018/04/16/resolucao-4-557-indicadores-para-a-ras-parte-3-avaliando-automatizacao/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *