Resolução 4.557-Monitoramento de indicadores para a RAS com planilhas e e-mail-parte 2
Podemos continuar monitorando indicadores com e-mail, planilha e diretório compartilhado? Continuando a parte 1 desse artigo, seguem alguns alertas, não exaustivos nem definitivos, com pontos de atenção a serem reconhecidos, mapeados e tratados para apresentação de seu processo de gerenciamento de riscos ao supervisor, caso apenas esse ferramental continue sendo utilizado. Seguindo a numeração do diagrama:
1-Vulnerabilidades
Se o porte e complexidade da organização não permitem investimentos em automatização, cabe alertar os gestores sobre as vulnerabilidades na utilização de planilhas, e-mails e diretórios compartilhados, pois será responsabilidade da alta administração prover estrutura compatível, conforme “Art. 48. Compete ao conselho de administração, para fins do gerenciamento de riscos e do gerenciamento de capital:…
IV – Assegurar a correção tempestiva das deficiências da estrutura de gerenciamento de riscos e da estrutura de gerenciamento de capital; …
VIII – Assegurar recursos adequados e suficientes para o exercício das atividades de gerenciamento de riscos e de gerenciamento de capital, de forma independente, objetiva e efetiva;”.
2-Acesso às funcionalidades
Todos usuários possuem todas funcionalidades da planilha disponíveis, não possuindo qualquer característica de restrição nesse fundamento (3).
4-Acesso aos dados
Uma planilha possui recursos de atribuir senha:
- Para abrir o arquivo, sem o qual ele não permitirá visualização nem manutenção de seus dados por usuário não autorizado.
- Para proteger planilha ou pasta, permitindo habilitar algumas células para manutenção irrestrita, bem como ocultar outras aos demais usuários (bloquear células no Excel 2016).
No entanto, se mais de um usuário com diferentes necessidades e responsabilidades compartilharem o mesmo arquivo, todos terão acesso às mesmas células para consulta e células desbloqueadas para manutenção (5-visibilidade de dados). Para identificar quando e quem alterou algum conteúdo, existe o recurso de trilha acionado na planilha (6-log), mas podendo criar outro problema: alto volume (10). Quanto maior o prazo de armazenamento da trilha tiver sido parametrizado na planilha combinado com o volume de manutenções compartilhadas, maior será o tamanho desse arquivo, pois provavelmente essa trilha será guardada dentro do mesmo.
O efeito da atualização simultânea (7-multiusuário) da mesma planilha pode ser minimizado com a segregação de células a serem preenchidas por diferentes usuários em momentos claramente definidos e sequenciados. No entanto, três desafios:
- Numa manutenção simultânea, apenas quando o segundo usuário for salvar sua versão do arquivo será notificado que houve alteração.
- O primeiro usuário que fechar sua versão do arquivo não ficará sabendo que o segundo usuário estava ajustando algumas ou até muitas células importantes para a fórmula de seu cálculo, pois obviamente o segundo usuário ainda não salvou sua versão do arquivo. Isso decorre do fato de que a planilha é salva pelo conjunto de todo arquivo e não para cada célula alterada.
- Como disciplinar e notificar que um usuário preencheu suas células e que a planilha está disponível para o próximo usuário preencher suas respectivas células na mesma planilha, caso seja feito sequenciamento de preenchimento. Dependerá da lembrança e iniciativa do envio de e-mail.
Não havendo segregação de acesso aos dados por usuário, muito menos pensar em visibilidade hierárquica (8), isto é, o superior ter acesso aos dados de seus colaboradores, mas colaboradores de responsabilidades distintas não poderem ver dados entre si.
9-Registro da Evolução
- Evolução do processo com envio de e-mails: Podem ser informativos, mantendo histórico para evidenciar que colaboradores adequados foram notificados no tempo hábil para suas atividades. Ou podem ser solicitando informação, que é de difícil monitoramento se não houver prazo limite de retorno. O Outlook permite solicitar confirmação de leitura do destinatário, mas desconheço recurso de controle de prazo limite para esse retorno. No caso de atraso de retorno, também desconheço recursos de alertas a destinatários superiores.
- Evolução da parametrização: limites de apetite por risco, por exemplo. Ao longo do tempo, ele deve ser reparametrizado por conta da mudança de cenários externos ou internos. Com planilhas mensais (segregação costumeiramente utilizada) e alteração de limites com outra frequência, versionar esses arquivos com dois critérios temporais dificultará seu gerenciamento. Consolidá-las também é um desafio, aplicando-se links externos para consolidá-las em uma única planilha. Outra opção seria manter uma planilha única a ser utilizada por todos os meses.
Esses dois contextos combinados nos levam novamente ao quesito volume (10) para guarda de todo esse histórico. Planilhas com alto volume e excesso de compartilhamento podem danificar os arquivos e ainda tornar cada vez mais sua utilização morosa. Alto volume em planilha depende de alta capacidade de memória do computador. A frequência de limpeza de e-mails deve ser sincronizada com a extração de backup. Testes de restauração devem ser planejados.
Notificar e personalizar detalhamento das planilhas conforme os destinatários da informação são desafios para atender o “Art. 8º Devem ser disseminados ao pessoal da instituição, em seus diversos níveis, inclusive aos prestadores de serviços terceirizados relevantes, com linguagem e grau de informação compatíveis com sua área de atuação:
- I – O apetite por riscos documentado na RAS e sua conexão com as atividades e as decisões rotineiras de assunção de riscos;
- II – Os procedimentos para reporte de ocorrências relacionadas à não observância dos níveis de apetite por riscos fixados na RAS;”
11-Processo
O preenchimento e montagem de fórmulas e programação na planilha são atividades de difícil monitoramento, pois a ferramenta é extremamente flexível e por conta disso é tão popular no meio corporativo quando se trata de cálculos. Os processos devem atender vários incisos do artigo 7º (*) e controles (12) serão necessários para seu uso quanto maior for seu compartilhamento:
- Processo de evolução das planilhas: Por essa alta capacidade de personalização de fórmulas e programação VBA, devem ser adotadas políticas semelhantes ao desenvolvimento de software: versionamento de fontes, documentação, elaboração de planos de teste com cenários e resultados esperados, processos mais rigorosos de teste, substituição organizada da versão dessas planilhas caso mais de um usuário esteja utilizando de forma não compartilhada, conversão dos dados de uma planilha de versão anterior para a nova, armazenamento de versões anteriores para eventual reversão, escassez de mão de obra para programação VBA (dominar esse nível de lógica aproxima esse profissional a um perfil de TI), entre outros.
- Processo de utilização das planilhas compartilhadas: Como conferir preenchimento adequado das células e garantir que os colaboradores seguem a sequência combinada, quais critérios para notificar por e-mail caso algum indicador extrapole o limite de apetite por risco, qual substituto na ausência de um colaborador bem como relação de todas suas atividades, como garantir a lembrança de todas etapas e atividades a serem executadas, qual tempo e colaboradores necessários para reprocessamento de todas informações (regeração de um balancete ou arquivo DLO de última hora alteram diversas informações em efeito cascata), quanto tempo e-mails evidenciando sequência do fluxo de informações ficam armazenados, os assuntos condizem com o conteúdo efetivamente enviado, como apurar o tempo da falta de retorno de informações solicitadas por e-mail e quem notificar por essa ausência de retorno, entre outros.
Processo bem documentado
Conforme o início do artigo, cabe a cada organização avaliar o custo x benefício na estruturação de sua área de riscos, compatível com sua complexidade e porte: “Art. 51. O conselho de administração, o comitê de riscos, o CRO e a diretoria da instituição devem: …
- II – Entender as limitações das informações constantes dos relatórios de que tratam os arts. 7º, inciso X, e 40, inciso VII, e dos reportes relativos ao gerenciamento de riscos e ao gerenciamento de capital; …
- V – Assegurar o entendimento e o contínuo monitoramento dos riscos pelos diversos níveis da instituição”
Quanto menos automatizado o processo, talvez seja menos oneroso. Mas certamente necessitará de documentação que deve ser atualizada, disseminada e estimulada para que seus colaboradores a sigam, ainda com difícil evidenciação do processo estar sendo executado da forma proposta.
Mesmo num processo automatizado, a planilha terá papel importante. Ao identificar novos indicadores ou cálculos ainda inexistentes, a planilha permite montá-los e ajustá-los de forma muito ágil. Mas uma vez definido, a captura de dados e o cálculo desses novos indicadores devem ser automatizados, eliminando processos repetitivos e liberando os colaboradores para novas atividades de prospecção de indicadores e análise crítica dos resultados já obtidos, reiniciando o ciclo de melhoria contínua.
Yoshio Hada
(*) “Art. 7º A estrutura de gerenciamento de riscos deve prever: …
- II – Processos efetivos de rastreamento e reporte tempestivo de exceções às políticas de gerenciamento de riscos, aos limites e aos níveis de apetite por riscos fixados na RAS;
- III – Sistemas, rotinas e procedimentos para o gerenciamento de riscos;
- IV – Avaliação periódica da adequação dos sistemas, rotinas e procedimentos de que trata o inciso III;
- VI – Papéis e responsabilidades para fins do gerenciamento de riscos, claramente documentados, que estabeleçam atribuições ao pessoal da instituição em seus diversos níveis, incluindo os prestadores de serviços terceirizados; …
- X – Relatórios gerenciais tempestivos para a diretoria da instituição, o comitê de riscos, e o conselho de administração, quando existente, versando sobre:
- a) valores agregados de exposição aos riscos de que trata o art. 6º e seus principais determinantes;
- b) aderência do gerenciamento de riscos aos termos da RAS e às políticas e aos limites mencionados no caput, inciso I;
- c) avaliação dos sistemas, das rotinas e dos procedimentos, de que trata o caput, inciso IV, incluindo eventuais deficiências da estrutura de gerenciamento de riscos e ações para corrigi-las; …
§ 3º O reporte produzido pelos sistemas de informação de que trata o § 2º deve:
- I – refletir o perfil de riscos e a necessidade de liquidez da instituição;
- II – estar disponível, periodicamente e de forma adequada ao uso, para a diretoria e para o conselho de administração, quando existente;
- III – explicitar as deficiências ou as limitações das estimativas de risco e das premissas adotadas em modelos quantitativos e em cenários….”
Fontes
Resolução 4.557/17
Artigo – parte 1
Excel proteção de pasta/planilha,