Assine

Dicionário e matriz de risco

Autores: Jefferson Kiyohara, líder da prática de Riscos & Compliance, Luis Guilherme Whitaker, diretor de BPI, Risk & Compliance, e Heloísa Macari, sócia, todos da ICTS Protiviti

ATUALIZADO

Uma das questões mais relevantes ao objetivo de um risk assessment é: quais os riscos mais críticos da empresa? Para responder a essa questão, é preciso organizar e agrupar os riscos levantados, seguindo uma metodologia e um modelo de risco, suportado por um dicionário de riscos.

Termo técnico utilizado na área de gestão de riscos, o dicionário de riscos serve de balizador no preenchimento da matriz de risco e também é útil para orientar o entrevistado sobre quais questões são relevantes para o mapeamento, e para nortear o entrevistador sobre a devida abrangência de suas perguntas.

Certamente o risco de interesse é o de compliance, mas essa visão é muito ampla e pouco útil para a gestão e tomada de decisão. Obter o desdobramento, os tipos e subtipos, permite identificar o que de fato é crítico e merece atenção. Também é com base nessa categorização que poderá ser feita a classificação e a priorização dos riscos levantados.

Modelo de riscos

Trata-se de exemplo de modelo de riscos, que pode ser adaptado a realidade e necessidade de cada organização e outras opções podem ser buscadas no mercado. A experiência e a expertise na gestão de riscos permitem a adoção de modelos e dicionários de riscos mais completos e efetivos.

Dicionário de riscos

Trata-se de exemplo de dicionário de riscos, que pode ser adaptado a realidade e necessidade de cada organização e outras opções podem ser buscadas no mercado. A experiência e a expertise na gestão de riscos permitem a adoção de modelos e dicionários de riscos mais completos e efetivos.

Leis e regulamentações

  • Novas/alterações em leis e regulamentações – possibilidade de impactos no negócio oriundos de novas leis e regulamentações ou alteração nas existentes.

  • Sanções e multas – possibilidade de a organização sofrer penalizações por não cumprimento de determinada lei ou regulamentação.

Governança e gestão

  • Cultura organizacional – possibilidade de ter como resultado de dada situação uma cultura de compliance incipiente, sem força suficiente ou não internalizada.

  • Estrutura e recursos de compliance – possibilidade de não efetividade do programa em razão de estrutura de compliance não alinhada com as boas práticas, recursos insuficientes e/ou inadequados.

  • Comprometimento da alta administração – possibilidade de não efetividade do programa em razão de suporte insuficiente ou inadequado da alta administração para o programa de compliance e para a promoção da cultura de compliance.

  • Engajamento da liderança – possibilidade de não efetividade do programa em razão de suporte insuficiente ou inadequado da liderança para o programa de compliance e para a promoção da cultura de compliance.

  • Normas e diretrizes corporativas – possibilidade de não conformidade em razão de falta ou inadequação de normas e diretrizes corporativas formais.

  • Comunicação – possibilidade de não conformidade em razão de comunicação ausente, insuficiente ou falha, para os envolvidos, do que é esperado pela organização, de quais são as diretrizes de atuação.

  • Incentivos e sanções – possibilidade de não conformidade em razão de não utilização de incentivo para quem faz o certo e/ou de sanções para quem age fora das regras estabelecidas pela organização.

  • Gestão da informação – possibilidade de não tomar a decisão correta ou não a tomar no tempo necessário, em razão de gestão de informação falha.

  • Capacidade de resposta a incidentes – possibilidade de não reagir tempestivamente a um incidente, em situação de crise ou de denúncia e investigação.

Integridade

  • Atos ilegais e ilícitos – possibilidade da ocorrência de atos em desrespeito às normas externas, em razão de deficiência nos controles internos.

  • Fraude ou violação de regras internas – possibilidade da ocorrência de atos em desrespeito às normas internas, em razão de deficiência nos controles internos.

Controles

  • Fluxos e alçadas – possibilidade de erros e atos indevidos por falha nos fluxos de aprovação e indeterminação de limites de alçada.

  • Rastreabilidade – falta ou insuficiência de logs e registros.

  • Controles internos e monitoramento – possibilidade de erros e atos indevidos por falta ou insuficiência de controles internos e monitoramento.

  • Canais de reporte e investigação – possibilidade de não responder adequadamente por falta ou inadequação de canais de reporte e de recursos e metodologia para investigação.

  • Reportes financeiros – possibilidade de inadequação ou falta de confiabilidade nos reportes financeiros.

  • Reportes regulatórios – possibilidade de inadequação ou falta de confiabilidade nos reportes regulatórios.

Reputação

  • Imagem e marca – possibilidade de provocar danos à imagem da organização e/ou suas marcas.

  • Relação com stakeholders – possibilidade de provocar danos na relação com os stakeholders ou parte deles.

Definição da matriz de risco

Basicamente há dois tipos de matriz de risco no mercado:

  • matriz de riscos e controle – padrão de mercado, alinhado com o framework do COSO, trabalha com o conceito de riscos e quais os controles para mitigá-los; e

  • matriz de vulnerabilidade e riscos – modelo diferenciado, trabalha com a identificação da causa-raiz e tratamento do problema para mitigação dos riscos.

Escolher o modelo mais adequado depende da preferência de cada um.

É importante definir uma régua para os campos de “Probabilidade” e “Impacto” utilizados para classificar o risco. Sugere-se o uso de 1 a 5, sendo 1 para “Muito baixo” e 5 para “Muito alto”.

O passo seguinte é montar uma tabela com os parâmetros a serem utilizados para a classificação. Essa atividade é customizada, e deve refletir a realidade e necessidade de cada empresa e setor.

Exemplo ilustrativo de matriz:

Veja a seguir a Nota Prática Mapeamento de riscos.

Você está lendo 1 de 3 documentos liberados este mês

Cadastre-se gratuitamente

para ter acesso por 7 dias

ou

Por apenas

R$130,00

por mês no cartão de crédito

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.