De Elo Fraco para Elo forte: um novo aliado para um velho conhecido!


Mário Sérgio Ribeiro (*) Na segurança da informação/cibernética (SI&C) os colaboradores internos sempre foram vistos pelo lado negativo nos Programas de Educação e Conscientização. Tanto podem agir de forma acidental como intencional, podendo vir a causar um dano material e/ou Read more

Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

A melhoria continuada por meio das Perdas Operacionais.

enigma.consultoria Sem categoria Leave a comment   , , , , , , ,

(*) Mário Sérgio Ribeiro

Alguém disse certa vez que aprendemos muito mais com as derrotas, com as perdas, do que com as vitórias. Na vitória baixamos a guarda, ficamos mais relaxados, alguns deitam eternamente sobre os louros; já nas perdas, essas nos tiram do sossego e fazem com que busquemos saber o que ocorreu, como ocorreu e o que devemos fazer para que não ocorra novamente. Deveríamos aprender a aprender de forma constante com as perdas. A maioria sabe disso em suas vidas e as aplica consciente ou inconscientemente.

Trazendo a ideia para o mundo corporativo deveríamos pensar o mesmo. As Perdas e as Quase-Perdas que ocorrem no dia a dia das empresas devem ser objeto de aprendizado e da busca pela melhoria continuada. Claro que a palavra Perdas é grande demais e pode significar muita coisa. Nesse artigo vou limitar meu escopo às Perdas que classificamos como Operacionais.

Podemos conceituar uma Perda Operacional como um impacto financeiro e até não financeiro que acontece com a empresa por conta de um evento ocorrido, que tenha como elemento causador um ou mais dos cinco fatores citados a seguir:

  • Pessoas;
  • Processos;
  • TI;
  • Infraestrutura Interna; e
  • Eventos externos.

Existe também o conceito de Quase-Perda, que geralmente é relegado pela maioria das empresas. A Quase-Perda diz respeito a um incidente ocorrido, mas que não resultou em uma Perda, ainda, ou que foi de alguma forma evitado. Costumo dizer que é um excelente sinal de alerta para podermos verificar e corrigir o rumo, caso contrário…

Um Evento de Perda Operacional é uma ação ou ato ocorrido por meio de um fator que trouxe uma perda para a empresa. O Evento de Perda Operacional pode ter uma extensa taxonomia. Das mais conhecidas e utilizadas é a classificação proposta pelo Banco Central (resolução 3.380/2006) e pela SUSEP (circular 492/2014) mostradas na tabela a seguir:

BANCO CENTRAL SUSEP
Fraudes Internas Fraude Interna
Fraudes Externas Fraude Externa
Demandas trabalhistas e segurança deficiente do local de trabalho Práticas trabalhistas ou segurança no trabalho
Práticas inadequadas relativas a clientes, produtos e serviços Clientes, produtos ou práticas de negócio
Danos a ativos físicos próprios ou em uso pela instituição Dano a ativo físico
Aqueles que acarretem a interrupção das atividades da Instituição Interrupção do negócio ou falha de sistemas
Falhas em sistemas de tecnologia da informação Falha na execução, entrega ou gestão das atividades do negócio
Falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição  

 

Os eventos categorizados pelos dois órgãos são os mesmos. O que há de diferente é a SUSEP agrupar os eventos de interrupção do negócio e falha de sistemas em um único evento, onde o BACEN segrega.

É óbvio que os eventos acima relacionados nesse nível não dão uma dimensão real onde possam ser esperadas perdas operacionais. Alguns consórcios como o ORX e a ORIC desmembram esse nível 1 em mais dois níveis, o que ajuda a enxergar melhor onde as perdas possam surgir; de toda forma é bom ficar claro, que mesmo a taxonomia proposta pelos dois consórcios não esgotam a possibilidade de outros tantos eventos de perdas ocorrerem. Isso é importante.

Setores diferentes do financeiro e de seguros devem criar sua própria taxonomia. Já fiz trabalhos para outros setores onde tive que construir uma taxonomia bem particular.

Ainda dentro das resoluções que os órgãos citados manifestam, não há a indicação da Infraestrutura Interna da empresa como elemento causador de perdas operacionais, como coloquei no início desse artigo. Particularmente acho uma falha. Vou justificar.

Por Infraestrutura Interna considero todas as “engenharias” que contemplam o local físico onde a empresa atua. Por exemplo, essas engenharias podem ser:

  • Civil;
  • Elétrica;
  • Hidráulica;
  • Climatização;
  • Energia;
  • Gás;
  • Outras.

Esses elementos que compõem, desde uma simples a uma complexa instalação, traz uma série de eventos potenciais em seus “ombros” capazes de proporcionar perdas operacionais, algumas até catastróficas. Para os dois ramos citados (financeiro e de seguros) consideram-se todos os fatores citados, excetuando a Infraestrutura Interna; mas fica aqui a dica se você quiser fazer algo mais abrangente e no meu modo de entender, mais assertivo: inclua a infraestrutura interna.

Ter as Perdas Operacionais devidamente armazenadas pode atender a alguns propósitos. Um deles pode ser de Compliance, atendendo a diretrizes regulatórias de órgãos como os já citados.

No caso do BACEN, para instituições financeiras, a base de dados de perdas operacionais é o componente essencial para a instituição adotar uma abordagem avançada (AMA) para a Alocação de Capital para risco operacional. Segundo os especialistas do setor e eu me junto a essa opinião, a abordagem AMA aliada a uma eficaz gestão do risco operacional deve produzir um capital a ser alocado bem inferior às outras abordagens que as instituições podem optar, mesmo considerando o alto grau de confiança de 99,90% para o método de cálculo a ser escolhido.

A SUSEP em sua resolução 492 de 2014 dispõe sobre os critérios para constituição do banco de dados de perdas operacionais (BDPO). Em até três anos (julho de 2017) o mercado segurador e de capitalização deverá estar com o BDPO devidamente sistematizado para ser alimentado com as perdas operacionais. E o que pretende a SUSEP com isso? Provavelmente atingir a dois propósitos que fundamentam a construção de um BDPO:

Propósito 1) Uma abordagem quantitativa de risco operacional com base no BDPO e utilizando de metodologias de calculo, como o Value at risk operacional (VaRop), obtendo um capital a ser alocado pela regulada por conta do risco operacional;

Propósito 2) Uma gestão mais eficaz do risco operacional com base nas perdas ocorridas em determinado intervalo de tempo.

Para quem está lendo esse artigo e não pertence aos setores regulados pelo BACEN e pela SUSEP o propósito 1 não faz o menor sentido, afinal de contas, não tem um órgão regulador que os obrigue a deixar um dinheiro alocado para perdas dessa natureza. Já o propósito 2 interessa, deve interessar a todos.

Realizar uma gestão eficaz de qualquer tipo de risco não é tarefa nada fácil para gestor e equipe, e a do risco operacional, tema desse artigo, digo para vocês que chega a ser herculana, mas deve ser feita.

Ter um BDPO devidamente estruturado e implantado pode ajudar muito na tarefa de gestão do risco operacional. O processo de construção do BDPO ensina muito sobre a empresa e seus riscos. Veja alguns desses itens:

  • As áreas de negócios devem estar definidas assim como os processos de cada área devem estar devidamente mapeados e modelados;
  • Os fatores causadores da perda operacional devem ser bem conhecidos e catalogados;
  • A taxonomia dos eventos de risco operacional deve ser a mais detalhada possível em uma primeira versão e periodicamente revisada;
  • Os colaboradores devem ser conscientizados da importância de reportarem as perdas ocorridas. Em muitas empresas é uma quebra de paradigma.

 

Além desses itens citados há o que considero determinante para o sucesso ou fracasso da estruturação do BDPO: a identificação e coleta dos controles que capturarão as perdas operacionais. Claro, porque essas perdas precisam ser identificadas, coletadas e armazenadas, considerando o universo da empresa. Detalhemos mais um pouco.

Dada uma determinada taxonomia para eventos de risco operacional e na ocorrência dos mesmos eventos, é preciso ter estruturados e implantados controles que possam identificar que determinados eventos ocorreram e mensurar as perdas ocorridas.

Esse trabalho exige muita inspiração e transpiração da equipe. Não é um trabalho fácil de ser executado. É necessário preparar um verdadeiro raio-x da empresa que resulte em memorial descritivo consistente para se ter um BDPO com qualidade necessária a ser sistematizado em uma ferramenta.

E aqui cabe uma ressalva. Por mais que sua taxonomia de eventos seja a mais detalhada que puder montar, sempre deve se ficar atento para eventos não planejados que tragam perdas. Ocorrendo esses eventos, o banco de dados deve ser atualizado.

Construído e implantado por meio de uma ferramenta, o BDPO entra em produção e começa a ser alimentado. Para aderir ao AMA, por exemplo, as instituições financeiras devem ter um BDPO com pelo menos três anos (ideal cinco anos) de implantação. Esse BDPO terá em sua base, entre outros, os dois componentes principais da mensuração de risco: a frequência e o impacto causado.

Nesse ponto começamos a enxergar em nosso BDPO os fatores causadores, os eventos relacionados, a frequência e a severidade do impacto de cada evento, quando ocorreu, em que condição ocorreu… Essa rica base de informações nos permite analisar em profundidade em que nível de maturidade encontra-se nossa resposta ao risco operacional e podermos agir.

É possível calibrarmos controles existentes, incrementar novos controles ou mesmo trocá-los. Por exemplo, se erros humanos estão ocorrendo em demasia em uma determinada área, por conta de um novo sistema implantado trazendo diversas perdas operacionais, devemos avaliar se o problema é com o sistema? Se o problema é na falta de treinamento do usuário? Enfim, temos informações para agir e com aquela que a Alta Administração tem preferência: a que trata de numerário!

Essa análise a partir das informações do BDPO permite a toda e qualquer organização gerir seu risco operacional com eficácia muito maior, calibrando seu risco residual da maneira mais assertiva possível. Um BDPO implantado de maneira correta (processo + ferramenta) é um importante aliado em uma gestão mais eficaz do risco operacional. E para setores que precisam ter uma alocação de capital, essa sinergia possibilitará ao longo do tempo um capital alocado cada vez menor.

Esse esforço requer processo, ferramenta, equipe especializada e empresa conscientizada sobre o tema. E podem certeza, os resultados a médio – longo prazo é de uma empresa muito, mas muito mais eficaz na gestão de seus riscos operacionais e mais amadurecida no tocante ao entendimento de suas perdas e quase perdas operacionais. Resultado: menos desperdício, maior eficiência, maior eficácia!

Até a próxima!

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br