Menos de 3 meses nos separam do início da vigência da resolução 4.557 para os segmentos S2 a S5. Na realidade, muito menos que seriam 3 meses de outros períodos do ano, considerando natal, ano novo, escala de férias dos colaboradores e carnaval.
Uma evidência material exigida será a R.A.S. (Declaração de apetite ao risco), onde destacamos duas frentes para seu atendimento:
-Quantitativa, principalmente pelo artigo 5º, definindo indicadores e respectivos monitoramentos, avaliando se o nível de atividade da instituição está dentro dos limites aceitáveis de risco definidos pela própria instituição. Eleger os indicadores mais representativos para a instituição depende de conhecer seus objetivos estratégicos e prioridades de seus stackeholders, e ainda a cadeia de valor para atingir esses resultados com no mínimo os principais processos da instituição diretamente ligados à atividade-fim.
-Qualitativa, artigos 7º e 8º e ao longo de muitos outros artigos: Documentação do próprio processo de gerenciamento de risco, descrevendo como fatos observados nos níveis operacionais e táticos serão tratados, priorizados, estimados e consolidados em indicadores para a alta gerência considerar esses riscos antes das suas tomadas de decisões.
A riqueza da quantidade de indicadores e seus níveis de apetite de risco dependem da maturidade no gerenciamento de riscos dos principais processos de negócio da instituição. Adicionalmente, o processo de gerenciamento de riscos também passa a ter de pontuar seus próprios riscos de inadequação como os demais processos, passível de revisão periódica conforme a resolução:
-Escassez de informações: prejudica a formação e coleta de amostra suficiente do passado para elaborar uma tendência e estimativas para o futuro, tanto de forma estatística como qualitativa.
-Monitoramento contínuo vulnerável: esforço maior na coleta de indicadores de performance (KPI’s) em detrimento do esforço em elaborar indicadores de risco (KRI’s) relevantes. Grande volume de registros históricos são evidências dos efeitos, a experiência e esforço dos profissionais deveriam estar no processo investigativo das suas causas, permitindo criar indicadores, priorizações e tratamentos nas origens dos riscos.
-Desconhecimento de responsabilidades: em estruturas enxutas, ausência de responsável em algumas atividades ou ausência de segregação de atividades com conflito de interesses. Num outro extremo, vários colaboradores realizando a mesma atividade produzindo resultados duplicados e até conflitantes entre si no pior cenário.
-Escassez de documentação: envolvido na entrega exigida por suas atribuições, o colaborador não prioriza a necessidade de documentação, pois não lhe agrega valor ou produtividade para sua execução. Mas a percepção desse ganho é institucional, que deveria migrar o conhecimento do processo do nível pessoal para o corporativo.
-Desatualização da documentação com o processo efetivamente praticado: evolução no processo sem respectiva documentação, distorcendo indicadores e respectivos tratamentos baseados nesse mapeamento inadequado compartilhado com seus níveis hierárquicos superiores.
-Dificuldade na priorização: critérios e responsabilidades desconhecidas para priorizar recursos investidos entre vários riscos a serem tratados.
-Desconhecimento de pontos de controle: controles praticados não institucionalizados que dependem de Iniciativas pessoais e departamentais. Na ausência desses colaboradores, seus substitutos por desconhecimento podem aumentar a incidência de erros e fraudes.
-Documentação inadequada: processos descritos apenas na forma textual dão impressão de sequencialidade única, não permitindo visualizar paralelismo ou condicionais em sua execução. Pode gerar falha em um plano de continuidade de negócio que desconheça esses caminhos alternativos ou críticos do processo executado em condições normais.
-Falha de comunicação: ocorre tanto horizontalmente entre áreas envolvidas no mesmo processo, como verticalmente entre diferentes níveis hierárquicos. Prioridades conflitantes entre si, duplicação de atividades, falta ou excesso de informações transmitidas entre áreas são alguns exemplos.
Se normalmente mapeamos o risco de outros processos, a partir de agora o próprio processo de gerenciamento de risco entra no rol desse mapeamento. Num evento conjunto com o Ministério Público na ENAP (Escola Nacional de Administração Pública) em 24 de agosto/2017, o Banco Central destaca seu processo interno de Gerenciamento Integrado de Riscos em constante evolução a partir de critérios do COSO e ISO 31000. A primeira versão da RAS certamente destacará vulnerabilidades reconhecidas pela instituição e a partir desse quadro deverá iniciar seu processo de evolução contínua.