A gestão de riscos financeiros é crucial no atual mercados de capitais, caracterizado por retornos mais baixos, alta volatilidade e competição intensa. Sabemos que, além disso, instituições financeiras enfrentam uma pressão crescente dos órgãos reguladores, exigindo uma abordagem estratégica na gestão de riscos para alcançar objetivos de negócio.
Esse campo está em constante expansão e complexidade, exigindo metodologias e tecnologias mais avançadas para lidar com novos fatores e variáveis em um mundo globalizado e regulamentado. Apesar desse cenário, a integração da gestão de riscos com os ambientes estratégico, tecnológico e de processos de negócios é tanto um desafio, quanto uma oportunidade significativa.
Para os profissionais de compliance que operam neste ambiente complexo, entender e aplicar efetivamente estratégias de gestão de riscos operacionais é essencial. Neste artigo, vamos explorar em detalhes como esses profissionais podem enfrentar os desafios e implementar as melhores práticas nesse campo.
O que é risco?
Risco é a probabilidade de eventos incertos afetarem negativamente os objetivos estabelecidos, com o impacto desses eventos influenciando os resultados desejados.
Estamos constantemente expostos a riscos em nossas vidas pessoais e no mundo corporativo, independentemente de nossa atenção a eles. A cada decisão que tomamos, podemos aumentar ou reduzir a exposição a este risco. A reação de cada administração em relação a cada risco pode variar de acordo com sua maturidade, experiências passadas e habilidades para lidar com ele.
À medida que amadurecemos, tornamo-nos mais conscientes do ambiente em que estamos inseridos e mais capazes de identificar ameaças e oportunidades. Ao analisar nosso ambiente e objetivos, podemos decidir sobre medidas ou controles internos para gerenciar os riscos de acordo com nosso nível de preparo.
Sendo assim, a gestão de risco nada mais é do que ter total consciência de tudo que nos rodeia e ter conhecimento o suficiente para entender o que pode afetar positiva ou negativamente a organização, como veremos a seguir.
O que é gestão de riscos?
A gestão de riscos é um processo que engloba todos os fatores internos e externos da organização, composta por atividades coordenadas para identificar, analisar, avaliar, tratar e monitorar os riscos, visando garantir uma segurança razoável na realização dos objetivos.
As organizações adotam uma variedade de abordagens, desde informais até altamente estruturadas, dependendo de seu tamanho e complexidade.
Seguir padrões e boas práticas estabelecidos em modelos reconhecidos é uma maneira eficaz de implementar uma abordagem sistemática para a gestão de riscos, promovendo eficiência e resultados consistentes, evitando procedimentos burocráticos descoordenados que podem criar uma falsa sensação de controle.
Uma pesquisa conduzida pela Deloitte, e exclusivamente compartilhada com o Valor Econômico, revela que empresas que investem adequadamente na gestão de riscos de terceiros demonstram maior maturidade e agilidade na tomada de decisões, especialmente em ambientes de negócios complexos.
O estudo envolveu 1.356 executivos globalmente, incluindo 275 no Brasil, pertencentes a grandes empresas que lidam com um grande número de profissionais terceirizados diariamente. Os resultados indicam que quanto mais avançada é a gestão de terceiros de uma empresa, mais visíveis são os benefícios.
No Brasil, das 275 empresas entrevistadas, 85% têm até 10 mil profissionais e 45% têm um faturamento superior a US$1 bilhão. Elas operam em setores como financeiro, energia, consumo e tecnologia. Entretanto, apenas 6% das empresas brasileiras pesquisadas estão em estágios iniciais de estruturação da gestão de riscos de terceiros.
A pesquisa destaca um progresso notável nas empresas brasileiras em relação à gestão de riscos de terceiros. No entanto, tanto no Brasil, quanto no exterior, os executivos expressaram preocupação com a qualidade dos dados coletados.
De acordo com o estudo, as cadeias de fornecimento das empresas brasileiras pesquisadas ainda são predominantemente locais, ao contrário da média global, que tem operações terceirizadas em todo o mundo. Essa característica localizada ajuda a reduzir a complexidade do trabalho e pode servir como um ponto de partida para empresas que buscam melhorar sua conformidade global.
Gestão de riscos, governança e ESG
Ainda de acordo com a Deloitte, a Pesquisa Global de Gestão de Riscos de Terceiros 2023 destaca a importância contínua do aprimoramento da gestão de riscos de terceiros, a adoção de práticas sólidas de resiliência, a busca pela transformação digital e a administração da agenda ESG (ambiental, social e de governança).
Com base em entrevistas com 1.356 líderes empresariais, incluindo 275 do Brasil, a pesquisa revela que as organizações estão fortalecendo suas capacidades para lidar com incertezas crescentes e desafios macroeconômicos. Investimentos adequados em gestão de riscos de terceiros estão associados a maior maturidade e agilidade, tornando as empresas mais resilientes e sustentáveis.
A compreensão e a gestão de riscos ESG estão em ascensão, assim como o uso de métricas quantitativas relacionadas a áreas específicas ESG, apesar de preocupações com a qualidade dos dados.
No entanto, há uma lacuna na coordenação entre iniciativas de sustentabilidade e resiliência. A integração de práticas de resiliência em toda a organização é uma prioridade, alcançada ao integrar riscos às estratégias de negócio e adotar uma abordagem centralizada, com suporte tecnológico.
Empresas com práticas maduras de gestão de riscos de terceiros estão mudando o foco da governança para conversas mais colaborativas sobre inovação e crescimento estratégico.
Regulamentações e normas
As empresas do mercado financeiro estão sujeitas a uma série de regulamentações e normas que governam a gestão de riscos operacionais.
Desde as diretrizes estabelecidas pelo Banco Central do Brasil (BCB) até as exigências de órgãos reguladores como o Comissão de Valores Mobiliários (CVM) e Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (ANBIMA), é vital para os profissionais de compliance entenderem e aderirem a essas normas para garantir a conformidade e a segurança das operações.
Por isso, a estrutura de compliance em uma empresa do mercado financeiro é multifacetada, envolvendo não apenas o departamento de compliance, mas também áreas como auditoria interna, gestão de riscos e controles internos. Os profissionais de compliance desempenham um papel central na coordenação dessas funções e garantem que a empresa opere dentro dos parâmetros legais e éticos estabelecidos.
Identificação, mitigação e controle de riscos
A identificação eficaz de riscos operacionais é o primeiro passo crucial na gestão desses riscos. Utilizando metodologias como Análise de Causa Raiz (RCA), Análise SWOT e Avaliação de Impacto, os profissionais de compliance podem identificar e avaliar os riscos específicos enfrentados pela empresa, desde fraude até falhas de tecnologia.
Uma Matriz de Riscos também é uma ferramenta utilizada para identificar e avaliar os riscos associados às atividades de uma organização. Geralmente representada em forma de tabela, os riscos são listados em linhas e os critérios de avaliação (como probabilidade e impacto) são listados em colunas.
Para aplicar a matriz de riscos em um programa de compliance, siga estas etapas:
- Identificação: liste todos os possíveis riscos que podem afetar a organização, como riscos legais, éticos, financeiros, de reputação, entre outros;
- Avaliação de Probabilidade e Impacto: para cada risco identificado, avalie a probabilidade de ocorrência e o impacto potencial caso o risco se materialize. Essas avaliações podem ser feitas utilizando critérios específicos da organização, benchmarks da indústria ou de forma automatizada, por meio de pesquisas internas e externas;
- Preenchimento: coloque os riscos identificados na matriz, considerando sua probabilidade e impacto, para visualizar quais riscos são mais críticos e exigem maior atenção. Algumas tecnologias permitem que esse preenchimento seja totalmente automatizado;
- Priorização: com base na matriz preenchida, priorize os riscos de acordo com sua gravidade e direcione recursos e esforços do programa de compliance para as áreas de maior risco;
- Desenvolvimento de estratégias de mitigação: para os riscos prioritários, desenvolva estratégias de mitigação que ajudem a reduzir sua probabilidade de ocorrência ou minimizar seu impacto, seja a implementação de controles internos ou treinamentos, políticas e procedimentos.
Monitoramento e revisão contínua
Uma vez implementadas as estratégias de mitigação, monitore regularmente os riscos e revise a matriz conforme necessário. Os riscos podem evoluir ao longo do tempo, portanto, é importante manter a matriz atualizada e adaptar as estratégias de mitigação conforme apropriado.
Ao seguir essas etapas, a matriz de riscos pode se tornar uma ferramenta valiosa no programa de compliance, ajudando a identificar, avaliar e gerenciar os riscos que podem afetar a conformidade da organização com leis, regulamentos e padrões éticos.
A Pesquisa Global de Riscos 2022, da PwC, destaca cinco ações principais que as organizações devem considerar para impulsionar seus recursos de gerenciamento de risco. Em resumo, são elas:
1. Envolva-se desde o início e use os insights de riscos para apoiar as decisões
A integração dos recursos de gerenciamento de riscos desde o início é essencial para apoiar as decisões estratégicas das organizações. Os ambientes empresariais estão em constante mudança, exigindo uma revisão frequente das estratégias. As organizações de destaque não apenas gerenciam, mas também assumem riscos com confiança, sendo ágeis e envolvendo os recursos adequados em decisões fundamentadas em análises abrangentes de riscos.
A inclusão dos recursos de gerenciamento de riscos desde o início de novos projetos e iniciativas estratégicas é crucial, porém, atualmente, menos de 40% dos executivos consultam profissionais de riscos no início de seus projetos estratégicos.
2. Adote uma visão geral dos riscos
As organizações devem adotar uma abordagem semelhante ao usar indicadores-chave de riscos (KRIs) para medir e monitorar os riscos, assim como fazem com os indicadores-chave de desempenho (KPIs) em relação aos objetivos estratégicos.
Os KRIs conectados aos principais riscos de negócios fornecem uma visão do ambiente de riscos da organização. Mudanças nos KRIs servem como alertas para os líderes reavaliarem estratégias e atividades de mitigação de riscos, podendo indicar tanto oportunidades quanto riscos.
Exemplos de KRIs incluem ocorrências de phishing para o risco de ransomware e classificações de qualidade do fornecedor para o risco da cadeia de suprimentos. A capacidade de usar e questionar dados também é fundamental para detectar mudanças no cenário de riscos.
Além disso, a pesquisa mostra que as empresas estão investindo em análise de dados, automação de processos e tecnologia para apoiar a detecção e o monitoramento de riscos: cerca de 65% dos líderes estão aumentando os gastos gerais com tecnologia de gerenciamento de riscos no mundo. Compartilhar investimentos e integrar tecnologia e dados nas três linhas de defesa pode ajudar a gerar uma visão panorâmica dos riscos em toda a empresa.
3. Defina e empregue o apetite a riscos para aproveitar as oportunidades de ganho
Durante a pandemia, os líderes empresariais identificaram oportunidades de crescimento em meio à disrupção, questionando seus modelos de negócios e formas de trabalho, e projetaram mudanças de longo prazo, acompanhadas de riscos, reconhecendo a associação inseparável entre risco e retorno. O gerenciamento de riscos organizacionais pode gerar valor significativo ao ajudar a capturar oportunidades de ganho.
A definição do apetite a riscos (grau de exposição a perdas que a organização vê como aceitável) é crucial para os líderes empresariais entenderem onde podem assumir mais riscos em busca de crescimento e representa o limite de riscos toleráveis estabelecido pelo conselho de administração, orientando as decisões estratégicas dos executivos.
Cerca de 17% dos participantes brasileiros (22% dos globais) relatam benefícios ao definir ou redefinir o apetite a riscos de suas organizações.
A cultura de riscos também é fundamental para aproveitar oportunidades de ganho. Uma forte cultura de compliance pode inibir a inovação, enquanto uma ênfase insuficiente pode afetar a reputação da marca.
Uma cultura de riscos eficaz permite que os líderes compreendam claramente o apetite a riscos da organização, garantindo que os riscos sejam identificados e gerenciados conforme desejado em toda a empresa.
Quando estratégia, apetite a riscos e cultura de riscos estão alinhados, os líderes empresariais podem agir com decisão.
Cultura de Risco
Uma cultura organizacional que promove a conscientização e a responsabilidade em relação aos riscos operacionais é essencial para o sucesso da gestão de riscos.
Os profissionais de compliance desempenham um papel fundamental na promoção dessa cultura, educando os funcionários sobre os riscos e incentivando uma abordagem proativa para sua gestão.
Sendo assim, 56% dos líderes mundiais em 2022 investiram em uma cultura de riscos e avaliações de risco comportamental
4. Use processos e sistemas para facilitar decisões fundamentadas em riscos
Com a crescente complexidade e interdependência dos riscos, é crucial ter acesso a informações oportunas e relevantes para tomar decisões embasadas em riscos. No entanto, muitas organizações enfrentam dificuldades devido à falta de uma linguagem comum de riscos, o que dificulta a tomada de decisões produtivas.
A padronização dos recursos de gerenciamento de riscos em toda a organização é desafiadora devido à implantação de processos e sistemas diferentes, o que dificulta a obtenção de uma visão consolidada dos riscos.
Investir em sistemas, frameworks e processos relacionados aos riscos é essencial para estabelecer uma abordagem coerente e padronizada.
Embora 75% das organizações reconheçam que a falta de integração entre sistemas de tecnologia é um desafio relevante, apenas 35% estão lidando formalmente com essa questão.
Tecnologia e inovação
A tecnologia está desempenhando um papel cada vez mais importante na gestão de riscos operacionais.
Desde a utilização de inteligência artificial (AI) para análise de dados até a automação de processos de conformidade, as empresas do mercado financeiro estão aproveitando as últimas inovações tecnológicas para fortalecer sua capacidade de gerenciar riscos de forma eficaz.
De acordo com a pesquisa da PwC, cerca de 74% dos líderes planejam aumentar gastos com automação de processos e 72% planejam aumentar gastos com tecnologia para apoiar a detecção e o monitoramento de riscos.
5. Redobre os esforços em relação aos principais riscos
A gestão de talentos, cadeia de suprimentos, compliance regulatório, ameaças cibernéticas e ESG representam riscos de alta prioridade e interconectados, afetando as estratégias e operações organizacionais em diversos setores.
Esses riscos podem se amplificar uns aos outros, resultando em impactos de longo alcance, como uma violação cibernética que pode se transformar em riscos operacionais, financeiros e de reputação significativos.
Os recursos de gerenciamento de riscos devem ir além da análise tradicional e focar nos riscos prioritários e em rápida evolução, identificando gatilhos e sinais de risco, e compreendendo as interdependências que afetam o perfil de riscos da organização. Avaliações dos planos de gerenciamento de riscos devem identificar ações para aumentar a resiliência organizacional.
Nem todos os riscos podem ser totalmente mitigados, então é essencial desenvolver planos robustos de continuidade de negócios e resposta a crises para responder e isolar os riscos de maneira rápida e ágil, fortalecendo a resiliência da organização.
Treinamento e desenvolvimento profissional
O treinamento contínuo e o desenvolvimento profissional são essenciais para os profissionais de compliance no mercado financeiro.
A rápida evolução das regulamentações e das melhores práticas exige que esses profissionais estejam sempre atualizados e prontos para enfrentar os desafios em constante mudança da gestão de riscos operacionais.
Em um ambiente de negócios cada vez mais complexo e regulamentado, a gestão de riscos operacionais é uma prioridade crítica para empresas do mercado financeiro. Para os profissionais de compliance encarregados dessa função vital, entender os princípios fundamentais e implementar as melhores práticas é essencial para garantir o sucesso e a sustentabilidade a longo prazo da empresa.
Ao adotar uma abordagem proativa e centrada no risco, os profissionais de compliance podem ajudar suas empresas a navegar com sucesso pelos desafios e oportunidades que enfrentam no mercado financeiro em constante mudança.
%20(1)%20(1)%20(3).jpg)
