Pular para o conteúdo

[Webinar] Principais Metodologias de Gestão de Riscos

    Nas últimas semanas, participei de um webinar sobre as principais metodologias de gestão de riscos. Foi promovido pela Perinity e contou com presença de Tiago Souza (it’s me!), Clézio Alcântara e Leandro Jesus, além do apresentador Roberto Oliveira.

    O evento foi super legal e permitiu interações bem interessantes sobre o assunto. A gravação, disponível no YouTube, também pode ser assistida abaixo.

     

    Como forma de detalhar mais sobre minhas falas durante o evento, compartilho abaixo anotações e registros que poderão auxiliar.

    Importante ressaltar que as informações a seguir não se tratam da transcrição do evento, nem das minhas falas, mas apenas um “extra” sobre os assuntos que comentei.

    Principais metodologias de Gestão de Riscos

    • O risco é inerente a todas as empresas, independentemente do seu setor de atuação.
    • Geralmente, uma avaliação de risco inclui as seguintes etapas:
      • Identificar os riscos;
      • Determinar a probabilidade e o impacto;
      • Dar respostas (tratamento) aos riscos:
        • Evitar o risco;
        • Aceitar o risco;
        • Compartilhar o risco;
        • Mitigar o risco (criar controles e medidas de mitigação).
      • Registrar, revisar e monitorar constantemente.
    • Obviamente, essas são só etapas básicas, mas uma empresa pode precisar desenvolver uma visão mais clara e apurada do cenário das ameaças. E é nesse momento que entram as metodologias de gestão de riscos.
    • Abordagem Qualitativo x Quantitativo:
      • Que tipo de informação você espera reunir sobre os riscos que afetam sua empresa.
      • As abordagens qualitativas são mais comuns e contam com a experiência da equipe e do avaliador:
        • Pode-se rotular as escalas de avaliação como “Alto”, “Médio” e “Baixo”, por exemplo.
        • Pode ser benéfico usar uma matriz 4 x 4, por exemplo (por ser par), pois a tendência do ser humano, muitas das vezes, é “ficar em cima do muro”. No caso de uma matriz 5 x 5, muitos ficarão com a “média” (o “3”).
        • Outra possibilidade é nas avaliações de probabilidade e/ou impacto você ter outros vértices (como o impacto Financeiro, o impacto Operacional etc.), cada um desses com seus pesos.
        • Obtém-se o risco inerente. Após testar os controles atrelados aos riscos, você chegará no risco residual.
        • Para reduzir a subjetividade, é fundamental criar uma tabela auxiliar descrevendo “o que é baixo”, “o que é alto” etc.
      • Já uma abordagem quantitativa, você depende mais de números e dados concretos.
        • Se você é uma empresa regulada pelo Banco Central do Brasil (BACEN) e, dependendo do segmento que atuar (S1 ou S2, por exemplo), precisará ter uma abordagem quantitativa inclusive para provisão de perdas, constituição de base de dados de riscos operacionais etc.
    • Ambas abordagens têm o seu lugar. Qualquer uma das estratégias podem ser usadas com uma variedade de metodologias. Só lembre de avaliar as metodologias sempre observando a maturidade da sua companhia e assegure de ter o apoio da Alta Administração.
    • Agora, citando algumas das principais metodologias de gestão de riscos:
      • COSO
        • COSO ERM (Enterprise Risk Management, ou Gestão de Riscos Corporativos)
        • COSO ICIF (Internal Control – Integrated Framework, ou Controle Interno – Estrutura Integrada)
      • Normas da família ISO
      • COBIT (disponível em pt-br no caso do COBIT 5, e em inglês no caso do COBIT 2019)
      • NIST
      • Controles CIS 8 (disponível também em pt-br)
        • Basicamente, o CIS é um conjunto prescritivo de práticas e controles recomendados de segurança cibernética e ações defensivas que podem ajudar as empresas a evitar ataques.
        • Esses controles fornecem orientações específicas e um caminho claro para que as empresas atinjam os objetivos e metas definidas por várias estruturas legais, regulamentares, políticas etc.
        • São compostos por 20 recomendações divididos em três categorias diferentes de sub controles:
          • Básico (IG1)
          • Essencial (IG2)
          • Organizacional (IG3)
        • O CIS possui “Grupos de Implementação” (Implementation Groups – IGs), que permitem identificar quais sub controles são razoáveis para que sua empresa implemente com base em seu perfil de risco e nos recursos disponíveis.
        • As empresas são incentivadas a auto avaliar e se classificarem como pertencentes a um dos três IGs para priorizar o que fazer a seguir.
        • As empresas devem começar a implementar os sub controles no IG1, seguido pelo IG2 e pelo IG3. A implementação do IG1 deve ser considerada entre as primeiras coisas a serem feitas pela empresa. O CIS chama o IG1 de “Higiene cibernética”, que são as proteções essenciais que devem ser colocadas em prática para se defender contra ameaças e ataques comuns.

    Qual a metodologia mais utilizada no mercado?

    • Para mim, focando no assunto do webinar, entendo que seja o COSO (em especial pela grande presença no mercado financeiro) e a própria família ISO (em variados mercados).
    • A tabela abaixo apresenta a aplicabilidade das ferramentas usadas para o processo de avaliação de riscos considerando os apresentados pela ISO 31010:

    exemplo-uso-iso-31010

     

    • ISO 31010
      • Apresenta tipos de técnicas para o processo de avaliação de riscos, englobando por ex.
        • Métodos de consulta e apoio (como ‘e se’, checklists, etc.)
        • Análise de cenários (como BIA, Análise de Causa e Efeito, etc.)
        • Avaliação de controles (como LOPA [Análise de Camadas de Proteção] e Bow Tie)
        • Métodos estatísticos (como Análise de Markov, de Monte Carlo e Bayesiana).

     

    Diferenças e similaridades entre as metodologias de riscos

    • COSO x ISO 31000
    • O que é o COSO?
      • Em 1985, cinco associações profissionais nos EUA fundaram o COSO para patrocinar a Comissão Nacional de Relatórios Financeiros Fraudulentos. Essas cinco associações se organizaram para desenvolver estruturas e orientações sobre gestão de riscos, controle interno, prevenção a fraudes, relatórios financeiros, auditoria etc.
    • O que é a ISO?
      • É uma organização que nasceu em 1947 a partir do encontro em Londres de representantes de 25 países que decidiram criar um órgão internacional com o objetivo de facilitar a coordenação e a unificação de normas industriais.
    • Similaridades:
      • O processo básico de gestão de riscos (o “coração”) das duas segue a mesma linha: estabelecer objetivos, identificar e analisar os riscos, priorizá-los e mitiga-los, monitorar e informar a quem de direito.
      • Ambas estão alinhados quanto a insistência em revisar os riscos à medida que novas ameaças evoluem.
      • Os dois padrões expandem o escopo do gerenciamento de riscos. Em vez de apenas limitar os riscos negativos, ambos os padrões ajudam a orientar e incentivar a tomada de riscos. Ganhamos dinheiro assumindo riscos e perdemos dinheiro quando não gerenciamos os riscos que estamos assumindo.
      • Ambas as versões são destinadas a ser diretrizes. Nem a ISO 31000 nem a COSO são projetadas para que uma organização obtenha uma certificação de conformidade. São orientações de alto nível. É sua responsabilidade pegar o “padrão” e colocá-lo em prática, certificando-se de que ele se adeque às necessidades e à cultura de sua organização.
      • Todos dois incorporam o gerenciamento de riscos nos processos de decisão.
      • As diferenças entre o COSO e a ISO 31000 superam suas semelhanças. Esta é uma razão pela qual muitas empresas usam uma combinação de ambos os padrões. Algumas dessas diferenças incluem.
        • Abordagem:
          • O COSO não distingue, em seu modelo, a administração do sistema de gestão (que seria função de um grupo corporativo centralizando a coordenação) do processo que ocorre no dia a dia, que é responsabilidade de todos.
          • Já na ISO 31000, ela representa graficamente o processo do dia a dia à parte, com a intenção de deixar essas responsabilidades mais claras.
        • Geografia:
          • A ISO 31000 é europeia, foi adotada como padrão oficial de gerenciamento de risco por organizações nacionais de padronização em aproximadamente 57 países até o final de 2015. Ao desenvolver a versão 2018, a ISO recebeu mais de 5.000 comentários de mais de 70 países.
          • O COSO, por outro lado, é americano, foi desenvolvido em parceria com a PwC, uma das “Big Four”. Quase todos os principais colaboradores da atualização de 2017 (o ERM) estão localizados em Washington, D.C. ou na cidade de Nova York.
        • Estrutura:
          • A versão mais recente da ISO 31000 é mais padronizada que a COSO, provavelmente porque foi desenvolvida por uma organização internacional de padrões. O padrão ISO tem apenas 16 páginas e pode ser lido em menos de uma hora.
          • O COSO, por outro lado, tem mais de 100 páginas. Embora inclua mais recursos visuais, não segue nenhum tipo de padrão “estrutural” comum.
        • Foco:
          • Talvez novamente devido às suas origens em auditoria e controle interno, o COSO se concentra mais na governança corporativa em geral. Mais de 50% dos materiais do COSO discutem coisas sobre como o conselho deve supervisionar toda a organização, não necessariamente o risco em si. Muitos sentem que os conselhos terão dificuldades para ver como o risco pode e deve ser mais do que apenas um processo complementar.
          • A ISO se concentra quase exclusivamente no risco e em incorporá-lo ao processo de planejamento estratégico. Ele também fornece informações mais específicas para ajudar os conselhos a definir e cumprir melhor suas responsabilidades de supervisão de risco.
        • Framework (estrutura) e processos:
          • A ISO fornece uma distinção clara entre uma estrutura e um processo. Embora o processo que ele descreve ainda seja muito tradicional, ele detalha mais as bases reais de identificação, avaliação de riscos e muito mais.
          • O COSO combina esses dois conceitos. No entanto, apenas um dos cinco componentes da estrutura menciona o processo real de gerenciamento de riscos.
        • Apetite ao Risco:
          • O padrão de gerenciamento de risco original da ISSO, que foi lançado em 2009, não mencionava o conceito de apetite ao risco. A versão de 2018 menciona brevemente o tópico de “critérios” de risco, mas a menção é mínima e usa terminologia diferente de outros recursos.
          • A versão de 2017 do COSO discute o apetite ao risco com muito mais detalhes e fornece muitos exemplos visuais dos conceitos de apetite ao risco, tolerância e capacidade ao risco.
    • Poderíamos ficar aqui listando várias diferenças e pequenos outros detalhes (como por exemplo, a ISO aborda que um risco pode ser positivo ou negativo. Outras abordagens tratam risco como algo negativo, e se é positivo, se está falando de oportunidades.
    • Enfim, as comparações acima não são uma lista exaustiva de características, apenas provavelmente as mais relevantes.

    Qual é a melhor metodologia de gestão de riscos?

    • Pessoalmente, entendo que não há melhor ou pior. Não tenho preferência de uma ou outra e, na verdade, por mais que possa soar como clichê, acredito fortemente em usar o que se adapta às necessidades e à cultura da empresa.
    • Quando se trata de ajustar a organização, é importante você entender o cenário que sua empresa está inserida.
      • Por exemplo, se sua empresa atua no mercado financeiro, entendo que o COSO seja fundamental – veja a Resolução CMN nº 4.968/2021 (que trata sobre sistema de controles internos e substituiu a antiga Resolução 2.554/1998) e faça um paralelo com os cinco elementos do COSO ICIF. Viu a sinergia?
      • Ainda considerando o exemplo de uma empresa que atua no mercado financeiro regulado pelo Banco Centra do Brasil, veja a exposição de motivos da própria Resolução 4.968. Repare que o BACEN cita nominalmente o COSO como uma boa prática.
      • Lógico que isso não quer dizer que o COSO não possa ser usado por empresas que não sejam do setor financeiro, que é de onde o COSO realmente se originou. Ele é plenamente adaptável a qualquer empresa, de todo segmento e porte.
    • Uma dúvida comum das pessoas e que já ouvi: Mas você tem que escolher apenas um? A resposta é simples: Não!
    • Cada framework (ou norma) contém boas coisas, mas nenhum deles pode ser tomado e aplicado exclusivamente. Ambos os padrões são úteis para ler e entender, até para conseguir saber o que faz ou não sentido, o que você pode usar e adaptar, enfim.
    • Não tente usar um padrão que você está lutando para adequar à sua organização. Se você sente que está pressionando demais as pessoas para entender o que está tentando fazer, ou está recebendo toneladas de perguntas ou olhares vazios, então você está se esforçando demais.
    • E não se esqueça de que todos (desde o conselho e executivos até gerentes e funcionários de nível básico) poderão dizer que você está lutando e seus esforços vão parar ou simplesmente vão falhar.

    .

    * * * * *

    .

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.