Assine

Elaboração do mapa de riscos (heat map)

Autores: Jefferson Kiyohara, líder da prática de Riscos & Compliance, Luis Guilherme Whitaker, diretor de BPI, Risk & Compliance, e Heloísa Macari, sócia, todos da ICTS Protiviti

ATUALIZADO

O mapa de riscos ou heat map consiste em uma visão gráfica contendo os riscos identificados, posicionados em função de sua probabilidade de materialização e do respectivo impacto. Sendo assim, o heat map nos permite visualizar, em uma só figura, todos os riscos e sua respectiva criticidade para o negócio, conforme a figura ilustrativa a seguir:

O processo de elaboração do heat map é de extrema relevância para a qualidade final do risk assessment. Por esse motivo, é recomendado ter em mente uma clara separação da atividade operacional de plotagem dos riscos no mapa, e da análise crítica dos resultados obtidos.

Plotagem dos riscos no mapa

A plotagem dos riscos no mapa será realizada em função da probabilidade e impacto atribuídos ao risco no momento do preenchimento da matriz de riscos.

A dispersão dos riscos no mapa se dará em função da régua de probabilidade e impacto definidas previamente como variáveis discretas (0, 1, 2, ...) e, por esse motivo, ocorrerá a concentração de diversos riscos em um mesmo ponto, o que deverá ser ajustado com um leve deslocamento dos pontos para viabilizar a visualização dos diferentes riscos ali presentes, sem, no entanto, alterar o quadrante em que cada risco foi posicionado.

É possível que um mesmo risco figure na matriz de riscos com diferentes probabilidades ou impactos (no caso de diferentes vulnerabilidades apontando para um mesmo risco). Nesses casos, tal risco é plotado em sua classificação de maior criticidade.

Análise crítica

A sumarização do grande volume de informações coletadas em workshops e entrevistas de risk assessment, a vinculação aos devidos riscos e a adequada atribuição das réguas de probabilidades e impactos é sempre um desafio, inclusive para profissionais experientes na aplicação da metodologia.

Sendo assim, a análise crítica dos resultados obtidos é fundamental para adaptar eventuais distorções na classificação dos riscos, aprimorar a consolidação ou descrição dos riscos apurados e identificar a eventual ausência de elementos relevantes ao negócio representados nos riscos coletados.

Para essa etapa é recomendada a presença da equipe responsável pelos levantamentos e do(s) mais experiente(s) profissional(is) envolvido(s) no trabalho. A experiência pregressa e visão crítica sobre o resultado do modelo poderão contribuir para o posicionamento do trabalho em alto nível, evitando a perda de foco com o volume de informações coletadas.

Como preparação para análise crítica do mapa de riscos é necessário revisitar importantes informações já analisadas na preparação do assessment, tais como:

  • planejamento estratégico, eventos relevantes recentes ou planejados (IPOs, M&A, entrada em novos mercados, novas offerings, joint ventures, entrada de investidores, entre outros), grandes investimentos e projetos relevantes;

  • inputs coletados em briefings preparatórios junto ao C-level e conselho, contemplando o ambiente externo (mercado de atuação) e o ambiente interno (preocupações da alta gestão com o negócio);

  • modelo de riscos definido para o assessment;

  • cases e/ou modelos de riscos do setor de atuação da empresa (ou modelos típicos de riscos do setor).

Ao criticar um mapa de riscos, é necessário responder às seguintes perguntas:

  • Independentemente do nível de criticidade constatado, os riscos típicos do setor de atuação estão representados no mapa?

    • Eventuais ausências podem ser sanadas revisando a consolidação de informações coletadas, ou pela realização de entrevistas ou levantamento pontual sobre o tema.

  • Os riscos interligados ou majorados por projetos relevantes estão mapeados?

  • Como as preocupações da alta gestão estão refletidas no mapa de riscos?

    • Os elementos para corroborar ou contrapor as preocupações da alta gestão são igualmente importantes (ao mesmo tempo em que ratificar uma crença infundada é um desserviço à empresa, contrapor a visão de um executivo sênior requer embasamento).

  • A criticidade dos riscos mapeados faz sentido perante a visão do negócio? Comparativamente, faz sentido o tema A ter uma criticidade maior que o tema B equivalente ao tema C?

    • As respostas para tais críticas devem ser obtidas na matriz de riscos; é possível identificar necessidades de correção das réguas ou da classificação de um risco; no entanto, não é aceitável alterar um mapa de riscos puramente por feeling ouopinião.

O exercício da crítica ao mapa de riscos pode se desdobrar em mais de uma sessão de trabalho, e eventualmente na necessidade de levantamentos adicionais de informações. No entanto, está nessa etapa o controle de qualidade e checagem de consistência mais importantes do trabalho.

Essa etapa também é o principal exercício para a preparação de um sumário executivo e comunicação dos principais findings do levantamento.

Atenção com “cisnes negros”

Inspirado no trabalho e publicações do autor Nassim Taleb, a teoria do cisne negro chama a atenção para eventos caracterizados como altamente imprevisíveis e impactantes (TALEB, Nassin Nicholas. A lógica do cisne negro: o impacto do altamente improvável. Rio de Janeiro: Best Seller, 2015).

Os eventos citados e analisados pelo autor se referem a eventos tanto positivos como extremamente negativos para a humanidade. Essa teoria é citada aqui como provocação à necessidade de se considerar em mapas de riscos a ocorrência de eventos de baixíssima probabilidade e impactos extremamente severos para a empresa.

Diferentemente de algumas abordagens utilizadas para o enterprise risk assessment, na metodologia de compliance risk assessment está menos presente o estudo ou a realização de brainstormings sobre possíveis eventos de riscos (independentes de vulnerabilidades ou controles) e seus respectivos impactos. No entanto, cabe chamar a atenção para a utilização de um modelo e mapa de riscos que permita a visualização e monitoramento de situações como essa.

A figura a seguir ilustra o que seria o posicionamento e a criticidade de um evento como o cisne negro em um mapa de riscos.

Alguns modelos de mapa de riscos comumente encontrados no mercado desconsideram tal fator e impossibilitam chamar a atenção da alta gestão da companhia para eventos de baixa ou até mesmo média probabilidade com impactos extremamente severos e que poderiam afetar a perenidade do negócio.

Em um exemplo teórico, no âmbito do compliance anticorrupção, como qualificar a criticidade da ocorrência de um evento de corrupção em uma empresa com um programa efetivo de compliance, profissionais e acionistas controladores pautados por um código efetivo de conduta ética, instrumentos independentes de controle e monitoramento de transações, canais independentes de denúncias e investigação estabelecidos?

A probabilidade de ocorrência seria muito baixa. Ainda assim, a ocorrência de um evento de corrupção teria impacto severo para a companhia, justificando atribuir-se uma alta criticidade ao risco.

Veja a seguir a Nota Prática Elaboração do sumário executivo.

Você está lendo 1 de 3 documentos liberados este mês

Cadastre-se gratuitamente

para ter acesso por 7 dias

ou

Por apenas

R$130,00

por mês no cartão de crédito

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.