Risk assessment

Autores: Jefferson Kiyohara, líder da prática de Riscos & Compliance, Luis Guilherme Whitaker, diretor de BPI, Risk & Compliance, e Heloísa Macari, sócia, todos da ICTS Protiviti

ATUALIZADO
Acesse aqui o INFOGRÁFICO DE RISK ASSESSMENT.

O compliance risk assessment é uma etapa fundamental para o estabelecimento de um programa efetivo de compliance. O programa de compliance dependerá da abrangência e qualidade do levantamento dos fatores externos e internos de riscos feitos ao longo dessa etapa.

O caráter preventivo do compliance risk assessment possibilita a identificação de vulnerabilidades e priorização de esforços para mitigação de riscos em função de sua criticidade. Em muitas situações são identificadas soluções de ganhos rápidos (quick wins – soluções de baixo esforço de implantação e alto benefício) para aplicação pelos próprios gestores das áreas de negócios.

Essa etapa cumpre também o papel de demonstrar aos órgãos reguladores a proatividade da companhia em atuar em compliance, desde que de fato se tenha o comprometimento da alta gestão com a implantação das medidas necessárias apontadas, dentro de um cronograma coerente.

Entre todos os benefícios do risk assessment, o mais importante é prover para a organização um mapa completo de todos os riscos internos e externos relacionados ao compliance, seguindo uma metodologia estruturada para coleta e respectiva mensuração desses riscos.

Principais conceitos

Os principais conceitos presentes em um compliance risk assessment são: vulnerabilidade, evento, risco, probabilidade e impacto. Em alguns casos pode existir o conceito de controle e efetividade do controle, dependendo da metodologia e matriz de riscos a serem adotadas.

Nas organizações em que a gestão de riscos corporativos (ERM – Enterprise Risk Management) está estabelecida, já existe uma linguagem comum de riscos e, portanto, uma definição interna dos conceitos e metodologia de mensuração sobre os quais o compliance risk assessment deve se apoiar para coletar os riscos junto aos executivos.

Para efeito da realização de um compliance risk assessment, é importante definir e comunicar aos executivos envolvidos no processo de coleta de riscos quais os conceitos utilizados e a correta interligação entre eles.

Riscos

Existem diversas definições aceitas para o conceito de risco, atrelando-o a incertezas e à possibilidade de insucesso, ou seja, a possibilidade da ocorrência de um evento futuro ou um conjunto de eventos que afetem a realização de determinado objetivo ou o atingimento de um resultado.

A materialização de um risco se dá pela ocorrência de um evento. O evento transforma a incerteza ligada ao risco em fato e torna concreto o impacto.

Invariavelmente, os riscos são medidos em função de sua probabilidade de materialização e respectivo impacto. Sobre mensuração, veja o item Definição da matriz de riscos e a Nota Prática Elaboração do mapa de riscos (heat map).

Vulnerabilidade

A vulnerabilidade é uma fragilidade ou brecha (gap) em processos, sistemas, ambiente, infraestrutura, controles ou gestão. Em outras palavras, a vulnerabilidade é um problema que permite (ou facilita) a ocorrência de um evento. Sendo assim, a vulnerabilidade está diretamente relacionada à probabilidade de ocorrência de um evento.

Visão esquemática da integração entre os principais conceitos

A figura a seguir resume a integração entre os conceitos aqui descritos:

Enterprise risk management X compliance risk assessment

O compliance risk assessement não cobrirá a amplitude de riscos corporativos abordados em um Enterprise Risk Assessment (ERA) – fase equivalente ao mapeamento de riscos na metodologia de implantação de um Enterprise Risk Management (ERM). Veja a distinção entre ERA e ERM:

Enterprise Risk Assessment (ERA)Enterprise Risk Management (ERM)
Mapeamento dos riscos de negócioGestão dos riscos de negócio
Etapa inicial, de diagnóstico, para gerir os riscos corporativosProcesso contínuo de gestão dos riscos corporativos

Dentro de um modelo de riscos corporativos, grande parte dos riscos operacionais de origem interna e dos riscos externos ao negócio não serão foco do compliance risk assessment. No entanto, é importante notar que existem sobreposições das áreas de interesse. Em muitos dos casos de realização do enterprise risk assessment, existem riscos atrelados ao compliance já identificados. Sendo assim, é fundamental ter o entendimento desses levantamentos previamente executados. Tal análise pode ainda suportar uma adequação melhor do escopo do compliance risk assessment, permitindo maior aprofundamento em temas nunca abordados.

Assim como existem sobreposições dos riscos abordados, a sinergia e o alinhamento de metodologia entre o enterprise risk assessment e o compliance risk assessment é muito relevante. A adoção de linguagem comum de riscos e metodologia de mensuração de riscos é importante. Por mais profundo que possa ser o mergulho nos riscos de compliance, eles deverão figurar no modelo de riscos adotado pelo ERM, ao lado dos demais riscos corporativos da companhia.

Veja os temas abordados neste subtópico:

Preparação para o risk assessment

Normativos e pessoas no risk assessment

Dicionário e matriz de risco

Mapeamento de riscos

Elaboração do mapa de riscos (heat map)

Elaboração do sumário executivo

Monitoramento periódico

Este conteúdo é exclusivo para assinantes Lexis 360

Cadastre-se gratuitamente

para ter acesso por 7 dias

ou

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.