As organizações estão passando por um processo complexo, profundo e acelerado de transformação nas últimas décadas, impulsionado principalmente por crises, pela evolução digital e, este ano, pela Covid-19. O que acontece com as áreas de gestão de risco operacional quando todo esse sistema organizacional é significativamente remodelado e otimizado?
## Um breve histórico
O principal objetivo de qualquer organização deveria ser a criação de valor para a sociedade, acionistas e profissionais, fundamental para seu sucesso e longevidade. Nessa busca, um dos pilares primordiais, além das pessoas e da liderança, é sem dúvida a engrenagem de gestão.
Assim como a sociedade em geral, os princípios e modelos de gestão vêm se aperfeiçoando ao longo do tempo, sempre com a missão de apoiar as organizações na otimização de suas estruturas, produtos e relações com clientes e sociedade, em um permanente e dinâmico processo de criação de valor.
Nesse contexto, algumas áreas da gestão, como estratégia, qualidade, riscos e gestão de pessoas, ganharam muito espaço nas últimas décadas, abrindo novas possibilidades de inovação e, consequentemente, de contribuição para a construção da tão perseguida posição de destaque nos mercados. Os exemplos são muitos, mas a metodologia ágil – principalmente devido a sua afinidade com o cenário atual de transformação digital – é a que vem ganhando cada vez mais popularidade.
Historicamente, a gestão de riscos também tem contribuições relevantes, sendo responsável pelo desenvolvimento de sistemas sofisticados que geram diferenciais para as organizações, a exemplo da gestão de grandes tesourarias com estruturas de operação complexas, nas quais os riscos de mercado e liquidez são protagonistas, e da gestão do risco de crédito, com políticas e modelagens estatísticas avançadas, que visam endereçar a constante busca pela otimização das provisões de devedores duvidosos, sem comprometer a originação de créditos.
Entretanto, o risco operacional no setor financeiro é uma matéria relativamente recente, tratada como disciplina específica há apenas 20 anos. Sua implantação, especificamente nos bancos, foi motivada principalmente pelas regulações e normativas, e pela necessidade de adequações da governança. Em sua fase inicial de implantação, teve foco no estabelecimento de uma linha de defesa, que por sua vez atuou no mapeamento de riscos e processos, no ordenamento e na mensuração dos níveis de riscos e no monitoramento das soluções que têm por objetivo o tratamento das vulnerabilidades identificadas, seja pelo estabelecimento de controles e testes, seja até pela assunção de riscos.
## Exemplos práticos
Com as crises financeiras como a de 2008, vieram novas ondas de demandas e regulações para reforçar o ambiente de controle das instituições financeiras. Nessa fase, foram aportados grandes volumes de investimentos na implementação de programas, culminando com a criação de numerosos controles e demandas por profissionais.
Todos esses esforços, de maneira geral, foram exitosos na contenção de problemas num primeiro momento. Porém, com o crescimento dos negócios e da complexidade, esses e outros esforços se tornaram ineficientes para conter novos episódios de escândalos e aumento das perdas operacionais. Só para dar uma ideia, de 2011 a 2016 os principais bancos perderam quase US$ 210 bilhões em eventos de risco operacional, principalmente de interações com clientes e gestão de processos, segundo o relatório ORX e análises da Bain & Company.
E não para por aí. Casos como o da Enron Corporation, em 2001, uma das maiores fraudes contábeis conhecidas, pareciam ter ficado para trás até o ex-executivo chefe da fintech alemã de pagamentos Wirecard AG ser preso este ano, com um rombo de US$ 2 bilhões em sua contabilidade.
Esses eventos trazem à tona outro ponto importante de provocação. Por que áreas conhecidas como linhas de defesa, como a gestão de risco operacional, têm dificuldades de identificar e prevenir eventos dessa natureza? Muito se deve à independência, mas esse não é o único motivo. O modelo tradicional de risco operacional tem por característica métodos muito subjetivos e pouco eficazes de identificação e prevenção de eventos de maior complexidade e alto impacto, como os casos de fraudes internas.
## Oportunidades e motivadores
As áreas de qualidade e de risco operacional têm muitas semelhanças em seus propósitos, mas seguiram caminhos distintos em suas jornadas evolutivas. No campo das oportunidades, uma linha a ser explorada surge exatamente da comparação com as práticas de gestão da qualidade. Se fizermos um paralelo simples das duas histórias, é fácil identificar métodos e conceitos para alavancar o modelo de gestão de risco operacional.
Os controles de processo – que surgiram na manufatura em resposta à necessidade de reduzir perdas operacionais oriundas de falhas na linha de produção, visando ganhos de qualidade e produtividade – deram origem a muitos estudos e investimentos que resultaram em ganhos de eficiência e competividade para as empresas. Hoje, o monitoramento dos processos e serviços é feito com base na gestão de dados, propiciando indicadores tempestivos para a sinalização de mudanças de comportamentos. Isso não requer muitos profissionais para sua execução, diferentemente de extensos programas de inspeções e avaliações de riscos baseados em trabalhos de walkthrough ou mesmo testes de controle.
Do lado dos motivadores, o atual cenário de pandemia sem dúvida é o destaque. Ela vem acelerando ainda mais os avanços tecnológicos e pressionando por ganhos de eficiência. Também estimulou novas formas de trabalho, como o remoto, e ampliou a consciência do consumidor pela seleção de empresas comprometidas com a responsabilidade social, muito cristalizado pelos modelos tradicionais, que enfrentarão dificuldades de se manter sem alterações devido à ineficiência.
As formas de execução que por muito tempo pautaram o setor financeiro limitam a abrangência da cobertura dos riscos, tendo em vista métodos de mapeamentos e certificações, os quais exigem um grande número de profissionais e, não raro, têm resultados de trabalhos questionados e classificados como “jornal velho”. Sem time to market e processos eficientes, será muito difícil sobreviver nesse ambiente de intensas transformações.
É por essas razões que os modelos tradicionais deverão passar por mudanças, seja na metodologia de aplicação, seja no perfil dos profissionais.
## Direcionadores para o futuro
Nesse novo cenário, a cobrança por eficiência e resultados será implacável. Não haverá atalhos ou caminhos alternativos que não a digitalização da área, com a utilização de dados e maior integração na organização. Os modelos atuais deverão sofrer uma profunda transformação, evoluindo para monitoramentos digitais e online a partir de dados, e implementados desde a concepção dos novos produtos – o que chamo de Risk by Design.
A atuação investigativa deverá focar apenas os casos que realmente demandam aprofundamento, entregando segurança com foco em proteger e dar o suporte para que os negócios possam crescer de forma sustentável, sem impactos inesperados e necessidades de altos investimentos na área de risco operacional. Não haverá mais espaço para o conhecido “futebol amador”, em que parte importante da organização se volta a entregar soluções a partir da identificação de uma vulnerabilidade, deixando descobertos outros riscos que podem gerar impactos significativos.
Uma nova definição de escopo e governança será necessária ao risco operacional, uma vez que sua integração com outros grupos de riscos, como compliance, crimes financeiros, cibersegurança e risco de tecnologia da informação, será mandatória pela forma como os eventos se materializam, especialmente no ambiente digital.
No risco de compliance, o aprofundamento da integração à organização e ao advisory estão superando a fronteira da regulação e avançando cada vez mais em temas de ética, responsabilidade social, cultura organizacional, inclusão social, diversidade e imagem. Nesse campo, soluções ou técnicas de modelagem, que antes eram praticamente incompatíveis com o risco de compliance, vêm ganhando espaço, com aplicação de text mining e inteligência artificial. A ciência de dados terá papel central nessa evolução, seja no monitoramento de notícias, regulações e redes sociais, seja na interpretação de itens sensíveis à organização ou até mesmo na elaboração de programas de certificações e treinamentos.
Em resumo, estamos falando de monitoramento intensivo para detecção de riscos emergentes, de maneira quase instantânea, e resposta rápida e ágil aos desvios. Fácil de falar, difícil de implementar, por demandar a aplicação de times multidisciplinares, redução significativa de fronteiras entre áreas e intensa colaboração. Isso porque foco no cliente, metodologias ágeis, descentralização e digitalização intensiva podem aumentar o risco operacional e criar novas situações de vulnerabilidade em um ambiente de alta complexidade de sistemas, interações e responsabilidades.
Essa nova fronteira da gestão de risco traz novamente ao centro das discussões um desafio de décadas, presente principalmente na gestão do risco operacional e de compliance. Trata-se da mensuração do impacto de suas ações e do tamanho ideal dos times para que a empresa seja leve e eficiente. Ótimo assunto para novas interações.
