Blog

 

 

Resumo: Neste estudo, o leitor embarcará em uma jornada de análise e comparação profunda entre documentos-chave da Basileia de 2003 e 2020 referentes à gestão de riscos operacionais e a norma ISO 31000. Inicialmente, será feita uma avaliação meticulosa das semelhanças e diferenças entre os dois documentos da Basileia. Em seguida, cada segmento da ISO 31000 será entendido, resumido e comparado com sua contraparte no documento de 2020 da Basileia, proporcionando uma visão abrangente das aproximações e desvios entre estas importantes diretrizes de gestão de riscos. Ao chegarmos à conclusão, exploraremos as intrigantes hipóteses de possíveis influências mútuas entre Basileia e ISO 31000. Investigaremos se e como esses marcos podem ter atuado reciprocamente em suas formulações e, ainda, como tal interação pode ter contribuído significativamente para a evolução e maturidade da gestão de riscos globalmente.

Introdução

A Basileia é mais do que uma cidade suíça às margens do Rio Reno; é o berço de uma série de regulamentos bancários que têm impacto significativo no sistema financeiro global. Esses regulamentos, conhecidos coletivamente como Acordos de Basileia, são elaborados pelo Comitê de Basileia para Supervisão Bancária (BCBS), um fórum que reúne autoridades de supervisão bancária e bancos centrais de todo o mundo.

O que é a Basileia? O Comitê de Basileia foi estabelecido em 1974 pelo Grupo dos Dez (G10) com a missão de fortalecer a estabilidade do sistema financeiro internacional. Os Acordos de Basileia são um conjunto de recomendações que têm como objetivo garantir que as instituições financeiras mantenham capital suficiente para absorver choques e perdas inesperadas, protegendo assim os depositantes e a estabilidade financeira global.

Por exemplo, se um banco emite empréstimos de alto risco e não mantém capital suficiente para cobrir possíveis inadimplências, ele pode falir, o que pode desencadear uma crise financeira mais ampla. Os Acordos de Basileia estabelecem regras que exigem que os bancos mantenham uma quantidade mínima de capital em relação aos seus ativos ponderados pelo risco.

No mundo volátil e incerto de hoje, a gestão de riscos tornou-se um aspecto indispensável para a sustentabilidade e o sucesso das organizações. O surgimento e a evolução das normas e diretrizes para a gestão de riscos têm desempenhado um papel fundamental nesse processo, dentre as quais destacam-se os padrões propostos pelo Comitê de Basileia. Este artigo irá explorar a influência significativa que algumas diretrizes de Basileia, relacionadas aos riscos operacionais, exerceram na maturidade da gestão de riscos, não apenas no setor bancário, mas também nas áreas de gestão de riscos corporativos e de segurança.

A "Basileia", referindo-se ao Comitê de Basileia sobre Supervisão Bancária, não emite um único documento, mas sim uma série de publicações que abordam diferentes aspectos da supervisão e regulamentação bancária. Esses documentos são fruto de um esforço colaborativo entre bancos centrais e autoridades supervisoras de bancos de todo o mundo, e são publicados para fornecer diretrizes e padrões que devem ser adotados pelos sistemas bancários nacionais.

Os principais documentos da Basileia são conhecidos como "Acordos de Basileia". Até o momento, houve três grandes iterações destes:

Basileia I (1988) - Focado principalmente no capital dos bancos.

Basileia II (2004) - Introduziu o risco operacional e enfatizou a avaliação interna dos riscos e supervisão de mercado.

Basileia III (2010-2011, com atualizações subsequentes) - Desenvolvido como resposta à crise financeira de 2007-2008, ele introduziu medidas para melhorar a capacidade dos bancos de absorver choques decorrentes de exposições financeiras e econômicas.

Além destes acordos principais, o Comitê de Basileia também publica uma série de outros documentos, relatórios e diretrizes sobre diversos tópicos relacionados à supervisão bancária.

Gestão de riscos operacionais - Comitê de Basileia para Supervisão Bancária.

Em termos de nomenclatura, os documentos da Basileia são frequentemente referidos como "padrões" ou "diretrizes". Eles não são leis por si só, mas muitos países os incorporam em suas legislações ou regulamentações nacionais. Dessa forma, enquanto um padrão de Basileia em si não tem força de lei, ele pode se tornar vinculativo quando um país decide adotá-lo em sua regulamentação nacional.

I - Influência da Basileia na gestão de riscos corporativos e gestão de riscos de segurança corporativa

Apesar do foco original das normas de Basileia estar no setor bancário, seus princípios e diretrizes têm influência muito além desse setor. As empresas de diversos setores têm adotado aspectos que estão presentes nas diretrizes de Basileia para melhorar suas práticas de gestão de riscos. Consulte: A Risk Management Standard.

A gestão de riscos corporativos evoluiu para incorporar uma visão mais ampla e integrada de riscos, semelhante à abordagem abrangente promovida pela Basileia. As organizações estão adotando uma abordagem proativa de identificação, avaliação, monitoramento e mitigação de riscos, alinhando-se com os princípios de Basileia para a gestão eficaz de riscos. Consulte: Gerenciamento de Riscos Corporativos Integrado com Estratégia e Performance.

Os princípios de Basileia destacam a importância de ter um framework de gestão de riscos eficaz, que seja apoiado por uma cultura forte de gestão de riscos e governança corporativa. Este conceito tem sido cada vez mais incorporado nas práticas de gestão de riscos corporativos, levando a uma melhor tomada de decisões e ao aumento da resiliência organizacional. Consulte: Data + AI in the real world: Discover emerging trends in adoption and strategy.

 As práticas de gestão de riscos de segurança corporativa também foram influenciadas pelos princípios de Basileia. A crescente interconexão dos sistemas tecnológicos e a dependência das organizações em relação a eles aumentaram a importância de abordar os riscos de segurança de uma maneira holística e integrada.

Os princípios de Basileia, como a necessidade de ter planos de continuidade de negócios robustos e a ênfase na identificação e gestão de riscos operacionais, têm sido adotados na gestão de riscos de segurança. Isso tem permitido às organizações responder de forma mais eficaz a incidentes de segurança, minimizando interrupções e perdas financeiras. Consulte: Introduction to Return on Security Investment.

 Além disso, a ênfase de Basileia na transparência e divulgação de informações tem impulsionado a tendência de compartilhar proativamente informações sobre ameaças e incidentes de segurança, contribuindo para uma melhor gestão de riscos de segurança em toda a indústria.

 II - Boas práticas para gerenciar riscos operacionais - Basileia

Nessa etapa do estudo, analisaremos dois documentos importantes sobre as boas práticas para gerenciar riscos operacionais publicado pela Basileia. Os dois documentos pertencem ao Comitê de Basileia sobre Supervisão Bancária, mas representam diferentes etapas na evolução das práticas de gerenciamento de risco operacional. Os documentos, são:

• Documento 2003: Basileia - Buenas prácticas para la gestión y supervisión del riesgo operativo - Fevereiro de 2003

Este documento apresenta as boas práticas para gestão e supervisão de risco operacional, conforme estabelecido pelo Comitê de Basileia em 2003. Ele fornece diretrizes e princípios para ajudar os bancos a desenvolver um quadro efetivo para identificar, avaliar, monitorar e mitigar riscos operacionais. Este documento representa uma fase inicial no desenvolvimento das normas de Basileia para gerenciamento de risco operacional. 

• Documento 2020: Basileia - Revisiones a la principios para buenas prácticas de la administración de Riesgo operacional - Publicado para comentários antes de 6 de novembro de 2020.

Este é um documento mais recente, que propõe revisões aos princípios para as boas práticas de gerenciamento de risco operacional. Publicado para comentários públicos antes de novembro de 2020, esse documento reflete os avanços e as mudanças no ambiente de risco, incorporando lições aprendidas e novas perspectivas sobre a gestão de risco operacional. As revisões são destinadas a refinar e atualizar as orientações, mantendo a relevância e a eficácia das normas.

Boas práticas da Basileia para gerenciar riscos operacionais: 2003 / 2020.

 Diferenças e relações:

Tempo: Os documentos representam diferentes pontos no tempo, com o primeiro definindo uma abordagem inicial e o segundo propondo atualizações e refinamentos.

Conteúdo: O segundo documento pode incorporar novos insights, tecnologias e abordagens que não estavam disponíveis ou amplamente reconhecidas em 2003, refletindo as mudanças na prática de gerenciamento de risco.

Relação: O documento de 2020 não substitui totalmente o de 2003, mas constrói e expande sobre ele, refletindo a evolução contínua do campo do gerenciamento de risco operacional.

Vamos analisar o documento mais recente de 2020 e fazer uma breve comparação com documento de 2003 para verificar se existiu evolução e/ou complementariedade dos conceitos sobre gestão de riscos operacionais. Na sequência faremos uma análise comparativa com a Norma ISO 31000.

II.a. Contexto e introdução

O Comitê de Supervisão Bancária de Basilea reviu seus Princípios para a Administração do Risco Operacional em 2011 e novamente em 2014. A revisão de 2014 tinha como objetivo avaliar o nível de implementação dos Princípios pelos bancos, identificar lacunas significativas e destacar as práticas emergentes de gestão de risco operacional. Além disso, identificou várias áreas que precisavam de mais orientação para facilitar a implementação, incluindo ferramentas de identificação e avaliação de riscos, programas e processos de gestão de mudanças, implementação das três linhas de defesa, supervisão do conselho e alta gerência, definição de apetite e declarações de tolerância ao risco, e divulgação de riscos.

 O Comitê também percebeu que os Princípios de 2011 não capturavam adequadamente algumas fontes significativas de risco operacional, como aquelas relacionadas ao risco das tecnologias de informação e comunicação (TIC). Isso levou à introdução de um princípio específico sobre a gestão do risco das TIC, juntamente com outras revisões para garantir a coerência com o novo quadro de risco operacional no âmbito das reformas de Basilea III.

 O documento também reconhece a necessidade de desenvolver princípios para a resiliência operacional devido ao maior potencial de interrupções significativas nas operações bancárias causadas por pandemias, desastres naturais, incidentes de segurança cibernética e falhas tecnológicas.

 Comparando o documento de 2003 com o de 2020, verificamos que o documento de 2020 faz uma revisão dos princípios propostos no documento de 2003, avaliando como eles foram implementados e identificando áreas onde a orientação adicional é necessária. Isso indica uma evolução dos conceitos, pois há um reconhecimento de que as orientações de 2003 podem não ter sido suficientes ou claras o suficiente para uma implementação eficaz. Além disso, a adição de novas áreas de foco, como a gestão de risco das TIC e a resiliência operacional, sugere que os conceitos de gestão de risco operacional estão se expandindo para acompanhar a mudança do ambiente de risco.

O documento de 2020 também enfatiza a necessidade de uma governança mais forte, com o conselho e a alta gerência tendo um papel mais proeminente na gestão de riscos operacionais. Isso pode ser visto como uma resposta às falhas de gestão de risco observadas durante a crise financeira de 2008, que ocorreu após a publicação do documento de 2003.

Sobre os componentes da gestão de riscos operacionais, contidos no documento de 2020, percebemos o seguinte: O documento identifica os principais componentes da gestão do risco operacional, que incluem governança, ambiente de gestão de riscos, tecnologia de informação e comunicação (TIC), planejamento da continuidade do negócio e a importância da divulgação. Estes componentes não devem ser vistos isoladamente, mas como partes integrantes do framework de gestão de riscos operacionais e do framework geral de gestão de riscos.

Com a publicação deste documento, o Comitê busca promover a eficácia da gestão de risco operacional em todo o sistema bancário, considerando os princípios como boas práticas para todos os bancos. No entanto, o Comitê sugere que os bancos devem levar em consideração a natureza, tamanho, complexidade e perfil de risco de suas atividades ao implementar os princípios.

Fazendo uma comparação com o documento de 2003, percebemos que o documento de 2020 destaca mais explicitamente a integração entre diferentes componentes da gestão de risco operacional. Isso é uma evolução significativa em relação ao documento de 2003, que, embora também mencione a importância de vários elementos, não enfatiza tanto a sua interconexão.

O reconhecimento explícito da TIC como um componente crucial da gestão do risco operacional no documento de 2020 é uma adição importante que não é destacada da mesma maneira no documento de 2003. Isso provavelmente reflete a crescente dependência das operações bancárias na tecnologia.

Outra evolução significativa é a menção do planejamento da continuidade do negócio e da importância da divulgação no documento de 2020, que não é tão explicitamente abordada no documento de 2003. Isso sugere um reconhecimento ampliado da importância dessas áreas na gestão de risco operacional.

Abordagem mais flexível e adaptável à gestão de risco operacional

Além disso, o documento de 2020 recomenda que os bancos considerem sua natureza, tamanho, complexidade e perfil de risco ao implementar os princípios. Isso sugere uma abordagem mais flexível e adaptável à gestão de risco operacional, em contraste com a abordagem possivelmente mais rígida sugerida pelo documento de 2003.

II.b. Administração dos riscos operacionais

O trecho do documento de 2020 sobre a administração dos riscos operacionais é longo e tentaremos consolidar abaixo os principais pontos de atenção. Esta parte do documento de 2020 está dividido em vários aspectos importantes da gestão do risco operacional, que podem ser resumidos da seguinte maneira:

O risco operacional é definido como o risco de perda resultante de processos internos inadequados ou falhos, pessoas e sistemas ou eventos externos. Este risco é inerente a todos os produtos, atividades, processos e sistemas bancários.

A gestão de riscos envolve a identificação, medição e avaliação de riscos, monitoramento contínuo de exposições e necessidades de capital, controle e mitigação de exposições e comunicação sobre exposições e posições de capital.

Boa governança interna é essencial para uma gestão eficaz do risco operacional. Os bancos geralmente confiam em três linhas de defesa: gestão de unidades de negócios, uma função independente de gestão de risco operacional corporativo (CORF) e auditoria independente. O CORF (Comitê de Risco Operacional e de Revisão de Fundos), no contexto da Basileia, é uma estrutura responsável por gerenciar o risco operacional e a revisão de fundos em instituições bancárias.

Cada linha de defesa deve ter recursos adequados, funções e responsabilidades claramente definidas, treinamento contínuo, promover uma forte cultura de gestão de riscos e se comunicar com as outras linhas de defesa.

A administração da unidade de negócios, como primeira linha de defesa, é responsável por identificar e gerenciar os riscos inerentes aos produtos, atividades, processos e sistemas sob sua responsabilidade.

A função de risco operacional corporativo (CORF), como segunda linha de defesa, é responsável por desenvolver uma visão independente dos riscos operacionais, revisar a implementação de ferramentas de gestão de risco operacional, desenvolver e manter políticas e padrões, definir o apetite ao risco, garantir que tais riscos estejam dentro dos limites aceitáveise e fornece treinamento sobre riscos operacionais. Além disso, avalia o capital necessário para cobrir riscos operacionais, desempenhando um papel crucial na determinação do nível adequado de capital a ser mantido pela instituição.

A terceira linha de defesa fornece ao conselho uma garantia independente da adequação do quadro de gestão de riscos operacionais. Essas revisões são geralmente realizadas pela auditoria interna e/ou externa do banco.

Em um ambiente em constante mudança, a alta administração deve assegurar que as políticas, processos e sistemas ORMF (Operational Risk Management Framework) continuem robustos o suficiente para gerenciar e garantir que as perdas operacionais sejam tratadas de maneira oportuna.

Operational Risk Management Framework - ORMF.

Comparando o docuemnto de 2020 com o documento de 2003, algumas observações são evidentes:

 A definição de risco operacional permanece semelhante, mas o documento de 2020 é mais explícito em detalhar os vários componentes e implicações da gestão de riscos.

Há uma ênfase maior na governança no documento de 2020, com destaque para as três linhas de defesa e suas respectivas responsabilidades. No documento de 2003, embora a governança seja mencionada, o detalhamento do papel de cada linha de defesa não é tão explícito.

O documento de 2020 coloca mais ênfase na necessidade de adaptação e melhoria contínua da gestão de riscos operacionais, em resposta ao ambiente empresarial em constante mudança.

O documento de 2020 também inclui menções específicas à necessidade de treinamento e cultura de gestão de riscos, o que sugere um foco mais explícito no desenvolvimento organizacional e cultural em relação ao documento de 2003. 

Esses pontos de comparação sugerem que, embora os conceitos básicos de gestão de riscos operacionais tenham permanecido os mesmos entre 2003 e 2020, houve uma evolução na ênfase colocada na governança, na adaptação contínua, no desenvolvimento organizacional e cultural.

II.c. Princípios para gestão racional dos riscos operacionais

Princípio 1: Afirma que o conselho de administração (ou diretoria) deve liderar a implementação de uma forte cultura de gestão de riscos e ética. Devem estabelecer padrões e incentivos para um comportamento profissional e responsável e garantir que os funcionários recebam treinamento adequado. O documento enfatiza a importância de um código de conduta ou política ética, a necessidade de expectativas claras para os funcionários, políticas de compensação alinhadas com a tolerância ao risco do banco, e a necessidade de treinamento em riscos operacionais. A alta direção deve apoiar esses esforços para reforçar a cultura de gestão de riscos.

Princípio 2: Os bancos devem desenvolver, implementar e manter um quadro de gestão de riscos operacionais (ORMF) que esteja totalmente integrado nos processos gerais de gestão de riscos. A natureza e a complexidade dos riscos inerentes devem ser entendidas pela direção. O documento ressalta a necessidade de documentação completa do ORMF, identificando as estruturas de governança, ferramentas para identificação e avaliação de riscos, apetite e tolerância ao risco, estratégias de mitigação de riscos, entre outros.

Comparando com o documento de 2003, é possível notar uma evolução nos princípios de gestão de riscos operacionais. O documento de 2003 introduz a ideia de uma abordagem sistêmica para a gestão de riscos, enquanto o documento de 2020 detalha mais esses princípios, com uma ênfase particular na cultura de gestão de riscos, a importância de padrões éticos e a necessidade de treinamento em gestão de riscos. 

Além disso, o documento de 2020 apresenta uma abordagem mais integrada à gestão de riscos, com o conceito de um quadro de gestão de riscos operacionais (ORMF) que esteja totalmente integrado nos processos gerais de gestão de riscos do banco. Este é um desenvolvimento significativo em relação ao documento de 2003, que se concentrava mais na identificação e avaliação de riscos individuais.

Por fim, o documento de 2020 também apresenta um foco mais forte na documentação e transparência, com a exigência de que o ORMF (Operational Risk Management Framework) seja documentado de forma completa e apropriada, proporcionando uma visão clara das estratégias e ferramentas de gestão de riscos do banco. Isso contrasta com a abordagem um pouco mais vaga do documento de 2003, que se concentra mais na necessidade de documentação, mas sem os mesmos níveis de detalhamento. 

II.d. Governança (Princípios 3, 4 e 5)

Este trecho do documento de 2020, em resumo, se concentra na governança e nas responsabilidades do Diretório e da Alta Gerência na gestão de riscos operacionais.

 Princípios e responsabilidades importantes mencionados incluem:

 O Diretório deve supervisionar os riscos operacionais significativos e a eficácia dos controles principais e garantir que a alta gerência implemente as políticas, processos e sistemas de ORMF de maneira efetiva em todos os níveis de decisão.

O Diretório deve estabelecer linhas claras de responsabilidade de gestão e responsabilidade para implementar um ambiente de controle sólido.

O Diretório deve aprovar e revisar periodicamente uma declaração de apetite de risco e tolerância para o risco operacional que articula a natureza, os tipos e os níveis de risco operacional que o banco está disposto a assumir.

A Alta Gerência deve desenvolver para a aprovação do Diretório uma estrutura de governança clara, efetiva e sólida com linhas de responsabilidade bem definidas, transparentes e consistentes.

A estrutura de governança de um banco deve estar de acordo com a natureza, o tamanho, a complexidade e o perfil de risco de suas atividades.

A alta gerência é responsável por implementar e manter consistentemente em toda a organização políticas, processos e sistemas para administrar o risco operacional.

 Comparando com o documento de 2003, notamos uma evolução considerável no detalhamento e na elaboração dos conceitos. O documento de 2020 oferece orientações mais explícitas e detalhadas sobre o papel do Diretório e da Alta Gerência na gestão de riscos operacionais. Ele também discute a importância da declaração de apetite de risco e tolerância ao risco, que não estava tão claramente mencionada no documento de 2003. Além disso, o documento de 2020 oferece uma orientação mais estruturada sobre como as organizações devem projetar sua estrutura de governança de risco operacional. 

Importante existir uma declaração de apetite e tolerância ao risco.

De forma geral, as orientações do documento de 2020 são mais abrangentes e proporcionam uma maior clareza em relação às responsabilidades e à estrutura necessária para a gestão de riscos operacionais. Isso indica uma evolução na abordagem da gestão de riscos operacionais, com uma ênfase maior na governança, na definição de responsabilidades e na integração dos processos de gestão de riscos em todos os níveis da organização.

II.e. Ambiente de gestão de riscos – Identificação e avaliação (Princípios 6 e 7)

Neste trecho do documento, é discutida a importância de um ambiente sólido de gestão de riscos, destacando princípios chave como identificação, avaliação e gestão de mudanças. Segundo o princípio 6, a alta gerência deve assegurar a identificação e avaliação de riscos operacionais inerentes em todas as atividades, produtos, processos e sistemas. Para tal, é fundamental a consideração de fatores internos e externos, uso de dados de eventos de risco operacional, realização de autoavaliações, gestão de eventos, monitoramento de controles, métricas, análise de cenários e análises comparativas.

No princípio 7, é enfatizada a importância de uma gestão de mudanças eficaz. Este processo deve ser holístico, com recursos adequados e avaliações contínuas de risco e controle. O banco deve ter políticas e procedimentos que definam o processo para identificar, administrar e monitorar a mudança. A exposição ao risco operacional de um banco evolui quando ocorre uma mudança, por exemplo, quando o banco inicia novas atividades ou desenvolve novos produtos ou serviços. 

Comparando o documento de 2003 com o de 2020, percebemos que o documento de 2020 fornece uma orientação mais detalhada sobre o ambiente de gestão de riscos do que o documento de 2003, incluindo uma ênfase maior na gestão de mudanças e a necessidade de monitoramento contínuo dos riscos operacionais. No documento de 2003, a gestão de riscos foi vista mais como um processo pontual, enquanto o documento de 2020 reconhece que o ambiente de risco é dinâmico e em constante evolução. 

A inclusão de vários métodos e ferramentas para a identificação e avaliação de riscos no documento de 2020, tais como análise de cenários, análise de dados de eventos de risco operacional e autoavaliações, indica uma evolução na compreensão de como os riscos operacionais devem ser gerenciados. Em comparação, o documento de 2003 tinha uma abordagem mais simplificada para a identificação e gestão de riscos. 

O documento de 2020 também parece destacar a importância do envolvimento da alta gerência na gestão de riscos, algo que não foi enfatizado no documento de 2003. Isso sugere um entendimento evoluído de que a gestão efetiva de riscos requer uma abordagem organizacional abrangente e o compromisso da alta gerência. 

Os exemplos de ferramentas usadas para identificar e avaliar o risco operacional indicadas no documento de 2020, são:

Dados de eventos de risco operacional: Os bancos frequentemente mantêm um conjunto completo de dados que registra todos os eventos significativos relacionados a riscos operacionais. Estes dados podem incluir perdas internas, quase erros e, quando possível, dados sobre perdas operacionais externas.

Autoavaliações: Bancos costumam realizar autoavaliações de seus riscos operacionais e controles em diferentes níveis. Estas avaliações consideram o risco inerente (antes de levar em conta os controles), a eficácia do ambiente de controle, e o risco residual (a exposição ao risco após considerar os controles).

Gestão de eventos: Quando ocorre um evento de risco operacional, o processo de identificação, análise, gestão de ponta a ponta e relatórios do evento segue um conjunto predeterminado de protocolos. Isso pode incluir o desenvolvimento de uma resposta adequada para evitar a recorrência de eventos similares.

Monitoramento do controle e estrutura de garantia: Este processo inclui a avaliação, revisão e monitoramento contínuos dos controles chave, para garantir que estes são adequados para os riscos identificados e estão funcionando eficazmente.

Métricas: Bancos geralmente desenvolvem métricas para avaliar e monitorar a sua exposição ao risco operacional, usando dados de eventos de risco e avaliações de risco e controle. Essas métricas podem ser usadas para monitorar o desempenho contínuo do negócio e o ambiente de controle.

Análise de cenários: Essa é uma ferramenta para identificar, analisar e medir uma variedade de cenários, incluindo eventos de baixa probabilidade e alta gravidade. A análise de cenários pode ser usada para desenvolver uma gama de possíveis impactos de eventos, complementando outras ferramentas baseadas em dados históricos ou avaliações de risco atuais.

Análise comparativa: Trata-se de uma comparação dos resultados de diferentes ferramentas de medição e gestão de risco implementadas pelo banco, bem como comparações das métricas do banco com outras empresas do setor. Isso pode ajudar o banco a entender melhor seu perfil de risco operacional.

II.f. Ambiente de gestão de riscos – Monitoramento e informes (Princípio 8)

Este trecho aborda o Princípio 8, que se concentra no monitoramento e reporte dos riscos operacionais. O resumo e as observações são as seguintes:

Monitoramento e relatórios: A alta administração deve implementar processos para monitorar os perfis de risco operacional e as exposições relevantes regularmente. Mecanismos de notificação adequados devem ser estabelecidos em todos os níveis (conselho, alta administração e unidades de negócios) para apoiar uma gestão proativa do risco operacional.

Melhoria contínua: Os bancos devem melhorar continuamente a qualidade dos relatórios de risco operacional. Os relatórios devem ser completos, precisos, consistentes e acionáveis. A primeira linha de defesa deve garantir o relato de riscos operacionais residuais, eventos de risco operacional, deficiências de controle, falhas de processo e não conformidade com as tolerâncias de risco operacional.

Relatórios oportunos: Os relatórios devem ser oportunos e um banco deve ser capaz de produzir relatórios em condições normais e estressantes do mercado. A frequência dos relatórios deve refletir os riscos envolvidos e a natureza dos eventos no ambiente operacional.

Informações Incluídas: Os relatórios de risco operacional devem descrever o perfil de risco operacional do banco, fornecer indicadores financeiros, operacionais e de conformidade internos, assim como informações externas do mercado sobre eventos e condições relevantes para a tomada de decisões. Além disso, devem incluir violações do apetite de risco do banco, discussão sobre risco-chave e emergente, detalhes de eventos internos significativos de risco operacional e perdas, e eventos externos relevantes ou mudanças regulatórias.

Aprimoramento de processos: Os processos de coleta de dados e relatórios de riscos devem ser analisados periodicamente com o objetivo de melhorar continuamente a gestão de riscos e avançar as políticas, procedimentos e práticas de gestão de riscos.

Analisar periodicamente com o objetivo de melhorar continuamente.

Na comparação com o documento de 2003, nota-se uma evolução e complementaridade nos conceitos. No documento de 2003, havia um foco maior na identificação, avaliação e mitigação dos riscos operacionais. O documento de 2020 vai além ao aprofundar o papel do monitoramento e reporte regular dos perfis de risco operacional. Ele enfatiza a importância da melhoria contínua na qualidade dos relatórios de risco operacional e a necessidade de processos de relatórios serem oportunos e completos, destacando a importância dos relatórios serem oportunos e úteis para a tomada de decisões. Além disso, o documento de 2020 também fornece uma lista detalhada de informações que devem ser incluídas nos relatórios de risco operacional. Em suma, a evolução indica uma tendência para uma abordagem mais dinâmica e contínua na gestão de riscos operacionais, com um foco maior no monitoramento e reporte.

II.g. Ambiente de gestão de riscos – Controle e mitigação (Princípio 9)

Este trecho discute o Controle e Mitigação dos riscos operacionais nos bancos.

 Princípio 9: O documento recomenda que os bancos devem ter um ambiente de controle robusto com políticas, processos, sistemas e controles internos apropriados. Deve haver estratégias de mitigação e/ou transferência de riscos.

Nos parágrafos 45-54, o documento detalha as características e requisitos de um programa de controle interno sólido. Esses incluem avaliação de riscos, atividades de controle, informação e comunicação, e atividades de monitoramento. 

O documento menciona a importância da segregação de tarefas para prevenir conflitos de interesse e encobrimentos de perdas. Destaca a necessidade de controles internos tradicionais, como autoridades de aprovação estabelecidas, monitoramento da aderência aos limites de risco, proteção do acesso a ativos e registros bancários, e verificação periódica de transações e contas.

A tecnologia é vista como uma contribuição potencial para o ambiente de controle, embora os riscos introduzidos por processos automatizados devem ser gerenciados através de governança tecnológica sólida e gestão de riscos de infraestrutura.

O documento menciona os riscos associados à subcontratação para terceiros e afirma que a administração é responsável por entender esses riscos e garantir a existência de políticas e práticas eficazes para gerenciá-los.

Finalmente, o documento descreve a transferência de riscos (compartilhamento), por exemplo, através de seguros, como uma estratégia potencial quando os controles internos não são suficientes e sair do risco não é uma opção razoável.

Comparando os documentos de 2003 e 2020, vemos que o documento de 2003 já mencionava a importância dos controles internos, embora não detalhasse tão profundamente os processos e políticas necessários como o documento de 2020. A descrição detalhada das atividades de controle, informação e comunicação, e atividades de monitoramento é um acréscimo significativo no documento mais recente.

Além disso, o foco no gerenciamento de riscos associados à tecnologia e à subcontratação para terceiros é mais pronunciado no documento de 2020. Isso provavelmente reflete a crescente dependência da tecnologia no setor bancário e a tendência de subcontratar certas funções para especialistas externos.

Finalmente, a discussão sobre a transferência de riscos através de seguros é uma nova adição no documento de 2020, indicando uma evolução na maneira como os bancos podem escolher gerenciar riscos que não podem ser adequadamente controlados internamente.

Em geral, os princípios de controle e mitigação de riscos operacionais são consistentes entre os documentos de 2003 e 2020, mas o documento mais recente fornece mais detalhes e leva em consideração desenvolvimentos recentes na prática bancária e tecnológica.

II.h. Tecnologia da informação e comunicação (Princípio 10)

Este trecho enfatiza a importância da implementação de uma governança sólida de Tecnologia da Informação e Comunicação (TIC) para o gerenciamento eficaz do risco operacional. Os bancos devem alinhar suas estratégias de TIC com seu apetite por risco e a declaração de tolerância ao risco operacional. O desempenho e a segurança das TIC são fundamentais para o funcionamento adequado de um banco e, portanto, devem ser monitorados continuamente. O documento especifica que o marco das TIC deve ser revisado regularmente, testado para identificar brechas contra os objetivos de tolerância ao risco e usado para melhorar a conscientização situacional de vulnerabilidades nos sistemas, redes e aplicações. 

Em comparação com o documento de 2003, o de 2020 apresenta um foco maior na governança das TIC. Em 2003, a questão da tecnologia da informação é tratada principalmente em termos de segurança de dados, a importância do backup de dados e dos sistemas de recuperação de desastres. Em 2020, há uma abordagem mais abrangente e estratégica para as TIC, incluindo a necessidade de alinhar as estratégias de TIC com o apetite geral de risco do banco e a declaração de tolerância ao risco. Isso reflete o aumento da importância das TIC na indústria bancária na última década e a evolução das ameaças, como os riscos cibernéticos.

II.i. Plano de continuidade de negócio (Princípio 11)

Este trecho aborda a importância da criação e implementação de planos de continuidade de negócios (BCP) robustos para garantir a operação contínua dos bancos e limitar as perdas no caso de interrupções graves nos negócios. O BCP deve ser regularmente revisto e validado pela diretoria e gerência, envolvendo todas as linhas de defesa da organização. Os planos devem ser baseados em análises de cenários de possíveis interrupções, identificando e classificando as operações comerciais críticas e as dependências internas ou externas. Cada cenário deve ser sujeito a uma avaliação de impacto quantitativa e qualitativa, com limiares ou limites definidos para a ativação de um procedimento de continuidade. A eficácia do plano deve ser garantida através de programas de treinamento personalizados e testes regulares.

 Em comparação com o documento de 2003, o documento de 2020 apresenta uma abordagem muito mais estruturada e abrangente para a continuidade dos negócios. Enquanto o documento de 2003 enfatiza a importância dos sistemas de backup de dados e recuperação de desastres em caso de falha de sistemas ou interrupções, o de 2020 vai além, requerendo uma análise de cenário completa e uma avaliação de impacto de negócios para cada cenário de interrupção potencial. Isso é um reflexo da crescente complexidade dos sistemas bancários e das crescentes ameaças potenciais à continuidade dos negócios, incluindo ameaças cibernéticas e outras interrupções não previstas. A adição de um processo estruturado de revisão e validação também é uma melhoria significativa em relação ao documento de 2003.

II.j. Rol de divulgação e rol de supervisores (Princípio 12)

Este trecho discute a importância da divulgação pública de informações relevantes para a gestão de riscos operacionais por parte dos bancos. Essa transparência ajuda a desenvolver melhores práticas através da disciplina de mercado. A quantidade e o tipo de divulgação devem ser proporcionais ao tamanho, perfil de risco e complexidade das operações bancárias. Os bancos devem divulgar a sua exposição ao risco operacional de forma que as partes interessadas possam avaliar a eficácia da gestão desse risco.

Os supervisores têm um papel crucial em avaliar regularmente o quadro de gestão do risco operacional (ORMF) dos bancos. Eles devem garantir que existam mecanismos adequados para estar atualizados sobre a evolução do risco operacional dos bancos. Além disso, os supervisores devem tomar medidas para garantir que os bancos abordem as deficiências identificadas através da revisão do ORMF.

Comparando o documento de 2020 com o de 2003, percebemos que o documento de 2003 também aborda a necessidade de divulgação pública, mas o de 2020 fornece um quadro mais estruturado e detalhado para a divulgação. Destaca a importância de uma política de divulgação formal e da revisão regular dessa política.

Em relação ao papel dos supervisores, ambos os documentos destacam a importância da supervisão regular da gestão do risco operacional. No entanto, o documento de 2020 vai além ao enfatizar a necessidade de os supervisores garantirem a existência de mecanismos apropriados para estar a par da evolução do risco operacional e tomar medidas para garantir que os bancos abordem as deficiências identificadas. O documento de 2020 também destaca a cooperação e o intercâmbio de informações entre supervisores, o que não está explicitamente mencionado no documento de 2003.

Os bancos devem divulgar a sua exposição ao risco operacional para que as partes interessadas possam avaliar a eficácia da gestão desse riscos

III - Intersecção da Basileia e ISO 31000: análise comparativa

A Basileia e a ISO 31000, apesar de originarem de diferentes contextos, apresentam pontos de convergência importantes. Ambas enfatizam uma abordagem estruturada e sistemática para a gestão de riscos, com o objetivo de fortalecer a resiliência organizacional.

 A ISO 31000 é uma norma internacional para a gestão de riscos que pode ser aplicada a qualquer tipo de organização, enquanto a Basileia é específica para o setor bancário. No entanto, as diretrizes de Basileia podem ter sido influentes no desenvolvimento da ISO 31000, pois muitos dos conceitos e princípios são consistentes entre as duas.

Por exemplo, ambas destacam a importância de uma abordagem integrada e contínua para a gestão de riscos, que envolve a identificação, avaliação, monitoramento e mitigação de riscos. Além disso, ambas enfatizam a importância da cultura de gestão de riscos e da governança, e a necessidade de adaptar as práticas de gestão de riscos às necessidades específicas e ao perfil de risco de cada organização.

Faremos agora uma análise de cada segmento da ISO 31000 e iremos comparando com sua contraparte no documento de 2020 da Basileia, proporcionando uma visão abrangente das aproximações e desvios entre estas importantes diretrizes de gestão de riscos.

III.a. Princípios da ISO 31000:2018

Em um mundo cada vez mais complexo e volátil, a gestão de riscos tornou-se um componente crucial para a sobrevivência e prosperidade das organizações. Tanto a norma ISO 31000:2018 quanto o documento de 2020 do Comitê de Basileia sobre Supervisão Bancária oferecem diretrizes valiosas neste campo. Ambos os documentos, embora surjam de contextos diferentes, proporcionam princípios e estruturas que objetivam ajudar as organizações a identificar, avaliar e gerir riscos de maneira eficaz. A seguir, apresentamos uma comparação detalhada desses dois importantes instrumentos de gestão de riscos.

 Resumo dos Princípios da ISO 31000:2018

 Integrado: A gestão de riscos deve ser uma parte integrante de todos os processos organizacionais.

Estruturado e abrangente: Deve ser parte da estrutura organizacional e englobar todas as áreas da organização.

Personalizado: A gestão de riscos deve ser personalizada de acordo com as necessidades da organização.

Inclusivo: Envolvimento das partes interessadas para garantir que o gerenciamento de riscos seja relevante e atualizado.

Dinâmico: Deve ser capaz de antecipar e responder a mudanças tanto internas quanto externas.

Melhor informação disponível: A gestão de riscos deve utilizar a melhor informação disponível para a tomada de decisões.

Fator humano e cultural: Deve considerar fatores humanos e culturais.

Melhoria contínua: A organização deve melhorar continuamente o framework de gestão de riscos através da aprendizagem e experiência.

Criar e protege valor: Esse princípio reconhece que a gestão eficaz de riscos não apenas previne perdas, mas também possibilita e assegura a criação e preservação de valor.

 Comparação com o documento de 2020 da Basileia:

 Integrado: A Basileia também enfatiza a integração da gestão de riscos operacionais em toda a organização, garantindo que sejam abordados em todos os níveis.

Estruturado e abrangente: A Basileia defende um framework estruturado que cobre todos os aspectos da gestão de riscos operacionais, incluindo identificação, avaliação, monitoramento e mitigação.

Personalizado: Enquanto a ISO enfatiza a personalização, o documento de Basileia destaca que a gestão de riscos deve ser proporcional à natureza, tamanho e complexidade dos riscos do banco.

Inclusivo: A Basileia ressalta a importância do envolvimento da alta gerência e de outras partes interessadas na gestão de riscos, o que está alinhado com o princípio de inclusão da ISO.

Dinâmico: Ambos os documentos destacam a necessidade de uma abordagem dinâmica. A Basileia menciona explicitamente a necessidade de adaptar-se às mudanças no ambiente externo e interno.

Melhor informação disponível: A Basileia também destaca a importância de informar a alta gerência para tomada de decisões informadas sobre riscos operacionais, estando em alinhamento com a ênfase da ISO na utilização da melhor informação disponível.

Fator humano e cultural: Embora a Basileia não fale explicitamente sobre fatores humanos e culturais, há uma ênfase na importância da governança e na cultura de risco da organização.

Melhoria contínua: Tanto a ISO quanto a Basileia destacam a importância da revisão e melhoria contínua na gestão de riscos.

Criar e protege valor: Enquanto a ISO 31000 fornece uma estrutura ampla para a gestão de riscos em qualquer tipo de organização, a Basileia fornece diretrizes mais específicas para o setor bancário. Ambo reconhecem a importância de proteger e criar valor, mas o fazem a partir de perspectivas diferentes.

Conclusão: Há uma convergência significativa de conceitos entre a ISO 31000:2018 e o documento de 2020 da Basileia sobre gestão de riscos. Ambos enfatizam a importância da integração, estrutura, personalização, inclusão, dinamismo e melhoria contínua na gestão de riscos. A principal diferença é que a ISO 31000 é mais genérica e aplicável a qualquer organização, enquanto o documento da Basileia é especificamente focado em bancos e riscos operacionais.

III.b. Estrutura da ISO 31000:2018

A ISO 31000:2018 estabelece diretrizes sobre gestão de riscos e é aplicável a qualquer organização, independentemente de tamanho, setor ou objetivo. A norma é estruturada em torno de um framework que destaca princípios, estrutura e processo. A parte da estrutura, em particular, define como a gestão de riscos deve ser incorporada na organização e a cultura organizacional. Vamos analisar essa estrutura mais detalhadamente. 

Resumo da estrutura da ISO 31000:2018:

1. Liderança e comprometimento: A liderança tem um papel crucial em garantir que a gestão de riscos seja integrada na governança organizacional, definindo a política de risco e garantindo que a organização possua os recursos necessários para gerenciar riscos.

2. Integração: A gestão de riscos deve ser totalmente integrada com os processos organizacionais, sistemas de gestão e a cultura organizacional. Ela não deve operar isoladamente, mas sim em sinergia com todas as funções e áreas da organização.

3. Concepção: Esta é uma parte central da estrutura e é subdividida. Resumimos abaixo a Concepção:

Objetivo e mandato: Estabelece o propósito da gestão de riscos na organização.

Política de risco: Define o compromisso da organização em relação à gestão de riscos.

Integração na governança: Garante que a gestão de riscos esteja integrada na governança organizacional.

Processo de gestão de riscos: Define como os riscos serão identificados, avaliados, tratados e monitorados.

Atribuição de responsabilidades: Define claramente quem na organização é responsável por quais aspectos da gestão de riscos.

 4. Implementação: Uma vez concebida a abordagem, é fundamental implementá-la. Isso envolve garantir que todos na organização entendam e estejam comprometidos com a gestão de riscos.

 5. Avaliação: Periodicamente, a eficácia da estrutura deve ser avaliada.

 6. Melhoria: Com base nas avaliações, a organização deve procurar maneiras de melhorar continuamente sua estrutura para gestão de riscos.

A estrutura define como a gestão de riscos deve ser incorporada na organização e a cultura organizacional.

 Comparação com o documento de 2020 da Basileia:

 Liderança e comprometimento: A Basileia também coloca ênfase na liderança e comprometimento da alta gerência e do conselho. Eles são responsáveis por estabelecer a cultura de risco e garantir que os recursos adequados estejam disponíveis.

Integração: O documento de Basileia igualmente enfatiza que a gestão de riscos operacionais deve ser integrada em toda a organização e em todos os seus processos.

Concepção: A Basileia apresenta conceitos semelhantes, como a definição de objetivos, a formulação de uma política de riscos operacionais e a integração na governança. O documento também detalha o processo de gestão de riscos e atribui responsabilidades claras.

Implementação: Ambos os documentos reconhecem a importância da implementação prática da gestão de riscos, garantindo que ela seja compreendida e aplicada em todos os níveis da organização.

Avaliação: A Basileia enfatiza a necessidade de revisão e avaliação regular do quadro de gestão de riscos operacionais, incluindo a importância de feedback externo.

Melhoria: Assim como a ISO, a Basileia enfatiza a melhoria contínua, a aprendizagem a partir de incidentes e a adaptação às mudanças.

Conclusão: Há uma forte convergência entre a ISO 31000:2018 e o documento de 2020 da Basileia em relação à estrutura proposta para a gestão de riscos. Ambas as diretrizes reconhecem a importância da liderança, integração, concepção, implementação, avaliação e melhoria contínua na gestão de riscos.

III.c. Processo de gestão de riscos – Comunicação e consulta

A comunicação e consulta são componentes centrais do processo de gestão de riscos, proporcionando a base para uma tomada de decisão informada e a inclusão de todas as partes interessadas relevantes. A norma ISO 31000:2018 e o documento de 2020 do Comitê de Basileia, ambos reconhecem a grande importância deste elemento no processo global. Analisaremos a abordagem de cada documento em relação à comunicação e consulta, buscando identificar convergências e nuances específicas. 

Resumo da Comunicação e Consulta na ISO 31000:2018:

 A ISO 31000:2018 destaca a comunicação e consulta como processos contínuos e iterativos que ocorrem em todas as etapas do processo de gestão de riscos. Estes são vitais para garantir que todos os responsáveis pela gestão e pelo risco estejam adequadamente informados. A norma preconiza que:

 As partes interessadas devem ser identificadas e envolvidas no processo de gestão de riscos para garantir que seus interesses sejam compreendidos e considerados.

A comunicação e consulta facilitam a compreensão e a gestão de percepções e preocupações das partes interessadas, bem como a conscientização sobre a natureza do risco e a maneira como ele pode ser tratado.

Comunicação e Consulta no documento de 2020 da Basileia:

 No documento de Basileia de 2020, a comunicação e consulta são intrínsecas ao processo de gestão de riscos operacionais. Algumas observações notáveis incluem:

 É enfatizada a divulgação pública de informações relevantes para promover a transparência e permitir que as partes interessadas avaliem a abordagem do banco à gestão do risco operacional.

Os bancos são incentivados a divulgar informações sobre exposições ao risco operacional, sem criar riscos adicionais.

A política de divulgação deve ser revista periodicamente, aprovada pela alta gerência e pelo conselho, e deve detalhar como a divulgação ocorrerá e quais controles internos serão empregados.

A Basileia também destaca a importância de ter mecanismos para informar os supervisores sobre a evolução do risco operacional, reforçando a ideia de comunicação contínua. 

Comparação: Ambos, ISO 31000:2018 e o documento 2020 de Basileia, reconhecem a importância da comunicação e consulta no processo de gestão de riscos. Enquanto a ISO 31000 enfatiza a consulta e comunicação como um elemento contínuo, centrado no engajamento das partes interessadas e no entendimento de suas percepções, o documento de Basileia dá um peso significativo à divulgação pública e à comunicação com supervisores. A convergência é clara no reconhecimento da necessidade de envolver as partes interessadas e comunicar de forma eficaz, embora a ênfase e os mecanismos específicos possam variar ligeiramente entre os dois documentos.

III.d. Processo de gestão de riscos – Escopo, contexto e critérios

Definir o escopo, compreender os contextos e estabelecer critérios claros são passos fundamentais em qualquer processo de gestão de riscos. A ISO 31000:2018 delineia esse processo com detalhes consideráveis, enfatizando a importância de cada fase. O documento de 2020 do Comitê de Basileia sobre Supervisão Bancária, focado na gestão de riscos operacionais em bancos, também reconhece a necessidade dessas etapas. Esta análise tem como objetivo explorar as abordagens de cada documento, esclarecendo convergências e particularidades. 

Resumo do escopo, contexto e critérios na ISO 31000:2018:

 Definição do escopo: Estabelece os parâmetros dentro dos quais os riscos devem ser gerenciados e fornece a estrutura para o processo de gestão de riscos. A definição do escopo inclui objetivos, atividades, funções, projetos, produtos, serviços ou ativos e os relacionamentos.

Contexto externo: Envolve o ambiente no qual a organização busca atingir seus objetivos. Pode incluir fatores como ambiente cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo.

Contexto interno: Abrange tudo o que está dentro da organização e pode influenciar a forma como a organização percebe e responde aos riscos. Pode incluir cultura organizacional, estrutura organizacional, políticas e estratégias.

Definição de critérios de risco: Determina os níveis de risco que a organização está disposta a aceitar. Estes critérios são influenciados pelos contextos externo e interno. Incluem bases para a avaliação, como consequências, probabilidade, natureza do risco, necessidades e percepções das partes interessadas e outras prioridades da organização. 

Escopo, contexto e critérios no documento de 2020 da Basileia:

 Definição do escopo: O documento da Basileia determina que os bancos devem considerar todos os riscos operacionais relevantes, independentemente de estarem ou não sujeitos a capital regulatório.

Contexto externo: Enquanto o documento da Basileia não especifica diretamente o contexto externo, ele implica em uma compreensão clara do ambiente regulatório e de supervisão no qual o banco opera.

Contexto interno: Enfoca a importância da cultura de risco e governança corporativa, a estrutura e estratégia do banco, e a interação entre riscos operacionais e outros tipos de riscos.

Definição de critérios de risco: Os bancos são orientados a definir seu apetite ao risco operacional, que deve ser aprovado pela alta gerência e refletir a disposição do banco em aceitar riscos. Os critérios devem ser alinhados à estratégia global do banco e ser consistentes com os padrões regulatórios e de supervisão. 

Comparação: Ambos, ISO 31000:2018 e o documento da Basileia, reconhecem a importância de definir o escopo, entender os contextos e estabelecer critérios claros. Enquanto a ISO oferece uma visão mais ampla, aplicável a diversas organizações e contextos, o documento da Basileia foca especificamente no ambiente bancário e em riscos operacionais. A convergência está na necessidade de entender o ambiente, tanto interno quanto externo, e de definir critérios de risco claros, embora as especificidades e a terminologia possam variar.

 III.e. Processo de gestão de riscos – Identificação de riscos

A identificação de riscos é uma etapa crucial em qualquer estrutura de gestão de riscos, pois fornece a base para os passos subsequentes do processo. É aqui que se detectam as ameaças e oportunidades potenciais, permitindo que a organização tome medidas apropriadas. Tanto a ISO 31000:2018 quanto o documento de 2020 do Comitê de Basileia sobre Supervisão Bancária oferecem insights sobre como abordar essa etapa vital. A seguir, mergulharemos nas diretrizes fornecidas por cada documento e faremos uma comparação, focando na identificação de convergências e nuances distintas. 

Resumo da Identificação de Riscos na ISO 31000:2018:

 A ISO 31000:2018 considera a identificação de riscos como o processo para encontrar, reconhecer e descrever os riscos que podem afetar a realização dos objetivos da organização.

Envolve a consideração de uma ampla gama de riscos, sejam eles causados por eventos passados, presentes ou futuros.

O foco está na identificação tanto de ameaças quanto de oportunidades, incluindo as fontes de risco, eventos, suas causas e seus potenciais impactos.

Utiliza-se de técnicas como brainstorming, análises SWOT, revisão de incidentes anteriores, entre outras para a identificação.

A documentação é fundamental, e os riscos devem ser registrados em um formato que permita análise e avaliação futuras.

Getão de riscos envolve tanto as ameaças quanto as oportunidades.

 Identificação de Riscos no Documento de 2020 da Basileia:

 O documento da Basileia insiste na importância de identificar riscos operacionais de maneira abrangente.

Enfatiza a necessidade de se ter uma compreensão clara dos riscos operacionais, dada a natureza, tamanho e complexidade dos bancos.

Há um foco particular na identificação de riscos decorrentes de mudanças no ambiente operacional, incluindo inovações em produtos e tecnologias.

Reconhece a importância de fontes de dados internos e externos na identificação de riscos, como registros de perdas, testes, auditorias e feedback dos stakeholders.

A documentação é crucial, e os bancos são aconselhados a manter um registro robusto dos riscos identificados para assegurar que todas as áreas do banco estejam adequadamente cobertas.

Comparação: Ambos os documentos concordam em relação à importância vital da identificação de riscos como base para o processo de gestão de riscos. Enquanto a ISO 31000:2018 apresenta uma abordagem mais ampla e genérica, apropriada para uma variedade de organizações e setores, o documento da Basileia foca especificamente no contexto bancário e suas particularidades. Apesar das diferentes perspectivas, há uma clara convergência na ênfase dada à identificação abrangente de riscos, à utilização de dados internos e externos e à importância da documentação.

 III.f. Processo de gestão de riscos – Análise de riscos

A análise de riscos desempenha um papel central na gestão de riscos, fornecendo uma visão mais clara e detalhada da natureza dos riscos identificados, permitindo assim uma tomada de decisão mais informada. Como tal, é imperativo que esta etapa seja conduzida de forma meticulosa e abrangente. Ambas, ISO 31000:2018 e o documento de 2020 do Comitê de Basileia, abordam a análise de riscos com profundidade, mas a partir de diferentes perspectivas. Nesta análise, exploraremos as orientações de cada um sobre a análise de riscos e destacaremos as convergências e diferenças.

 Resumo da Análise de Riscos na ISO 31000:2018:

Objetivo: A análise de riscos visa compreender a natureza do risco e determinar o nível de risco. Esta etapa é crucial para definir as prioridades de gestão. Principais Fatores Considerados:

Causas e fontes de riscos, bem como seus mecanismos de ocorrência.

Eventos que podem ocorrer e as consequências associadas.

Como os eventos podem ocorrer, levando em consideração a variabilidade, ambiguidade e natureza da informação.

Interdependência entre os diferentes riscos.

Estimativa do risco usando dados históricos, teóricos, experimentais ou modelados, onde apropriado.

Pode ser conduzida com diferentes níveis de profundidade, dependendo dos riscos e do contexto da organização. Em geral, a análise pode ser qualitativa, semi-quantitativa ou quantitativa.

 Análise de Riscos no documento de 2020 da Basileia:

Objetivo: Avaliar a exposição a riscos operacionais, considerando a probabilidade e o impacto, para informar a gestão sobre áreas de atenção. Principais fatores considerados:

Mudanças no ambiente operacional e adequação dos controles.

Histórico de perdas, tendências emergentes e informações externas, como benchmarks de mercado.

Cenários extremos, mas plausíveis, e testes de estresse.

Dados qualitativos, incluindo feedback de unidades de negócios, auditorias internas e revisões externas.

O documento da Basileia também enfatiza a importância de considerar a cultura de risco da organização e a eficácia dos controles.

Recomenda uma combinação de abordagens quantitativas e qualitativas, dependendo do risco e do contexto do banco.

Comparação: Ambos os documentos reconhecem a importância de uma análise de riscos abrangente que considera uma ampla gama de fatores, desde causas e fontes de riscos até informações qualitativas e quantitativas. A ISO 31000:2018 oferece uma abordagem mais genérica, apropriada para uma variedade de setores, enquanto o documento de Basileia foca mais no contexto bancário, com ênfase em áreas específicas como o histórico de perdas e testes de estresse. Ambos concordam na importância da consideração de cenários extremos e na combinação de métodos qualitativos e quantitativos. A principal diferença entre os dois é o foco do documento da Basileia em riscos operacionais e a adaptação desses conceitos ao ambiente bancário.

A etapa de análise de riscos evolve a compreensão e significado do risco.

 III.g. Processo de gestão de riscos – Avaliação de riscos

A avaliação de riscos é o estágio subsequente à análise de riscos e tem como finalidade apoiar uma tomada de decisão sobre a possibilidade de tratamento e prioridade dos riscos, considerando os critérios de risco previamente estabelecidos na etapa de contextualização e os resultados da análise de riscos. É um passo decisivo que auxilia as organizações a entenderem quais riscos necessitam de atenção imediata e quais estratégias devem ser empregadas. A ISO 31000:2018 e o documento de 2020 da Basileia proporcionam orientações para a realização dessa avaliação, sendo que cada documento aborda o tema sob uma lente única. Nesta análise, examinaremos as diretrizes de ambos e destacaremos suas convergências e divergências.

Resumo da Avaliação de Riscos na ISO 31000:2018:

 Objetivo: Decidir sobre as prioridades, considerando a extensão do possível impacto e consequência dos riscos, e determinar quais riscos necessitam de tratamento e em que grau.

Processo: Comparar os resultados da análise de riscos com os critérios de risco estabelecidos durante a definição do contexto.

Classificar os riscos em termos de necessidade e prioridade de tratamento.

Determinar se os riscos são aceitáveis ou inaceitáveis com base nos critérios predefinidos.

Os resultados da avaliação podem influenciar decisões sobre: A necessidade de implementar novos controles; a eficácia e a adequação dos controles existentes; e a priorização das oportunidades de melhorias.

 Avaliação de Riscos no documento de 2020 da Basileia:

Objetivo: Avaliar o nível e a natureza dos riscos operacionais que os bancos enfrentam, levando em conta a adequação dos controles e a capacidade da instituição de absorver potenciais perdas.

Processo: Comparação com o apetite de risco da instituição e determinar se o risco está alinhado com o apetite e a tolerância ao risco definidos pela alta gerência.

Revisão de indicadores-chave de risco (KRI) para monitorar tendências e exposições.

Avaliação da adequação dos controles internos e sua capacidade de reduzir o risco a um nível aceitável.

Decisões de capital baseadas em avaliações de riscos para garantir que o banco tenha capital suficiente para cobrir exposições potenciais.

Comparação: Ambos os documentos reconhecem a importância da avaliação de riscos para determinar a necessidade e prioridade de tratamento dos riscos identificados. Enquanto a ISO 31000:2018 fornece uma abordagem genérica, o documento da Basileia é mais específico ao cenário bancário, enfatizando a importância de alinhar a avaliação de riscos com o apetite de risco da instituição e a utilização de indicadores-chave de risco. A avaliação da Basileia também está intrinsecamente ligada à decisão de capital, garantindo que os bancos mantenham capital adequado em relação aos seus riscos operacionais. Ambos os documentos destacam a necessidade de revisar e avaliar a eficácia dos controles em relação aos riscos identificados. A principal diferença está na abordagem específica e focada do documento da Basileia para o setor bancário, enquanto a ISO 31000:2018 é mais ampla e aplicável a diversos setores.

III.h. Processo de gestão de riscos – Tratamento de riscos

O tratamento de riscos é um componente vital do processo de gestão de riscos, representando a etapa onde as organizações definem, implementam e mantêm medidas para modificar riscos, seja reduzindo, retendo, compartilhando (transferindo) ou explorando-os (riscos positivos). Este processo é interativo, já que os riscos e seus contextos estão em constante evolução, exigindo uma reavaliação contínua e adaptações no tratamento. Ao revisar o tratamento de riscos, é vital considerar tanto as opções de tratamento quanto os planos de implementação e manutenção dessas opções. A ISO 31000:2018 e o documento de 2020 da Basileia oferecem uma visão sobre como este tratamento deve ser abordado, cada um com sua perspectiva e ênfase. Esta análise examinará o tratamento de riscos em ambos os documentos, destacando semelhanças e diferenças.

Resumo do Tratamento de Riscos na ISO 31000:2018:

• Objetivo: Modificar o risco, aplicando medidas para controlar, otimizar ou explorar incertezas.
• Opções de Tratamento de Riscos (7 opções):

 1. Evitar o risco ao decidir não começar ou continuar com a atividade que dá origem ao risco.

 2. Assumir ou aumentar o risco para buscar uma oportunidade.

 3. Remover a fonte do risco.

 4. Alterar a probabilidade de ocorrência.

 5. Alterar as consequências em caso de ocorrência.

 6. Compartilhar o risco com outra parte (por exemplo, por meio de contratos ou seguros).

 7. Retenção do risco de forma informada ou por inação.

• Preparando e implementando Planos de Tratamento de Riscos:

 1. Desenvolvimento de planos de tratamento detalhados, incluindo responsabilidades, cronogramas e mecanismos de monitoramento.

 2. Consideração das inter-relações entre riscos e tratamentos.

 3. Consideração dos recursos necessários e sua disponibilidade.

 4. Monitoramento e revisão contínua dos planos e sua eficácia.

Tratamento de Riscos no Documento de 2020 da Basileia:

•  Objetivo: Gerenciar e mitigar os riscos operacionais enfrentados pelos bancos, mantendo-os alinhados ao apetite de risco definido.
•  Opções de Tratamento de Riscos:

 1. A Basileia tende a ser mais específica ao setor bancário, enfatizando a adequação dos controles, a capacidade de absorver perdas e a manutenção de reservas de capital.

 2. A ênfase é colocada na transferência de riscos por meio de instrumentos financeiros, seguros e outras estratégias contratuais.

 3. Avaliação contínua da adequação e eficácia dos controles internos.

•  Preparando e implementando Planos de Tratamento de Riscos3.

 1. Desenvolvimento de estratégias alinhadas ao apetite de risco do banco.

 2. Alocação de capital com base nas avaliações de risco.

 3. Monitoramento contínuo através de indicadores-chave de risco (KRIs) e outros mecanismos de supervisão.

 Comparação: A ISO 31000:2018 oferece uma estrutura mais ampla e generalista para o tratamento de riscos, com diversas opções aplicáveis a uma variedade de setores e cenários. A ênfase no documento da Basileia é mais focada nas especificidades do setor bancário, priorizando a transferência de riscos e a implementação de controles internos robustos. Ambos os documentos reconhecem a importância do planejamento e monitoramento contínuos, mas a Basileia coloca uma forte ênfase na alocação de capital e na monitorização através de KRIs. Enquanto a ISO 31000:2018 destaca a inter-relação dos riscos e a necessidade de tratá-los de forma integrada, a Basileia se concentra mais em garantir que os bancos estejam preparados para enfrentar potenciais perdas através de controles eficazes e reserva adequada de capital.

A etapa de controle envolve defir, implementar e manter medidas para modificar os riscos.

III.i. Processo de gestão de riscos – Monitoramento e análise crítica & Registro e controle

O monitoramento e a análise crítica, juntamente com o registro e o relato, são etapas essenciais do processo de gestão de riscos. Estas etapas garantem que as organizações não apenas identifiquem e tratem riscos, mas também acompanhem e revisem continuamente a eficácia das medidas implementadas. A ISO 31000:2018 fornece uma estrutura abrangente para estas etapas, que podem ser aplicadas em diferentes setores e organizações. Por outro lado, o documento de 2020 da Basileia aborda estas etapas do ponto de vista do setor bancário, com foco específico nas nuances e necessidades desta indústria. Esta análise visa explorar o tratamento destas etapas em ambos os documentos, buscando identificar convergências e variações.

 Resumo do Monitoramento e Análise Crítica na ISO 31000:2018:

Objetivo: Garantir que a gestão de riscos seja eficaz e continue sendo relevante ao longo do tempo.

Processo: Envolve revisões regulares e atualizações dos riscos e controles, bem como do contexto em que a organização opera.

Mecanismos: Uso de indicadores-chave de desempenho, auditorias, revisões de gerenciamento e feedback dos stakeholders.

 Resumo do Registro e Relato na ISO 31000:2018:

Objetivo: Fornecer informações relevantes sobre riscos e seu tratanto a todas as partes interessadas.

Processo: Envolve a documentação de riscos, controles e ações tomadas, e a comunicação dessas informações de forma clara e acessível.

Mecanismos: Relatórios formais, atualizações de gerenciamento, comunicações internas e externas.

 Resumo do Monitoramento e Análise Crítica no documento de 2020 da Basileia:

Objetivo: Assegurar que os bancos mantenham uma visão clara e atualizada dos riscos operacionais que enfrentam e da eficácia dos controles implementados.

Processo: Revisão regular das avaliações de risco, controles e capital mantido em reserva.

Mecanismos: Uso de indicadores-chave de risco (KRIs), auditorias internas e revisões regulatórias. 

Registro e Relato no documento de 2020 da Basileia:

Objetivo: Garantir transparência na gestão de riscos operacionais e na saúde financeira do banco.

Processo: Documentação rigorosa de todas as atividades de gestão de riscos e comunicação clara com os reguladores, acionistas e outras partes interessadas.

Mecanismos: Relatórios financeiros, atualizações regulatórias, e divulgações ao público e aos investidores.

Comparação: Tanto a ISO 31000:2018 quanto o documento de 2020 da Basileia enfatizam a importância de monitorar e revisar regularmente as práticas de gestão de riscos, embora o documento da Basileia seja mais prescritivo em termos de requisitos regulatórios e expectativas para os bancos. A ISO 31000:2018 fornece uma estrutura mais genérica e flexível, enquanto a Basileia foca na transparência e conformidade regulatória.

Em termos de registro e relato, a ISO é ampla e aplicável a muitos setores, promovendo uma comunicação clara com todas as partes interessadas. A Basileia, por sua vez, é muito específica ao setor bancário, com um forte foco na transparência para reguladores, acionistas e o público em geral.

 Ambos os documentos reconhecem a importância de manter registros detalhados e fornecer relatórios regulares para garantir a eficácia da gestão de riscos e a confiança das partes interessadas.

IV - Banco Central do Brasil e TCU: possíveis influências da Basileia e ISO 31000 na gestão de riscos

BACEN

A supervisão prudencial no Brasil é exercida pelo Banco Central do Brasil (Bacen), que se esforça para alinhar suas regulações às melhores práticas internacionais, em especial aos Acordos de Basileia. Ao longo dos anos, várias resoluções foram emitidas para proporcionar diretrizes claras às instituições financeiras do país:

Resolução nº 3.380 de 2006: Uma das pioneiras, esta resolução estabeleceu diretrizes para a implementação de estruturas de gerenciamento de riscos nas instituições financeiras. Contudo, foi revogada em 2017 pela Resolução nº 4.557.

Resolução nº 4.085 de 2012: Este texto normativo focava especificamente no gerenciamento de risco operacional, delineando procedimentos para identificar, avaliar, monitorar, controlar e mitigar tal risco. Posteriormente, foi suplantada pela Resolução nº 4.557 de 2017.

Resolução nº 4.557 de 2017: A norma atual, que consolida e moderniza as disposições acerca do gerenciamento de riscos, abordando os riscos de crédito, mercado, operacional, entre outros. Ressalta também a necessidade de um sistema robusto de gerenciamento de capital e a imperatividade de uma sólida governança corporativa.

Resolução nº 4.658, de 2018: Esta resolução destaca a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Ela evidencia a crescente importância de gerenciar riscos cibernéticos em um ambiente financeiro cada vez mais digitalizado.

Comparando as resoluções do Bacen com a ISO 31000, identificam-se pontos de congruência e divergência. Ambas sublinham a imperatividade de uma gestão de riscos bem estruturada, com destaque para o papel da alta administração e a cultura organizacional voltada para a gestão de riscos. As resoluções do Bacen, no entanto, oferecem uma abordagem mais detalhada e técnica, adequada às nuances do setor financeiro brasileiro. A ISO 31000, por outro lado, apresenta uma perspectiva mais abrangente, apta a ser aplicada a variados tipos de organizações. A despeito das diferenças, os princípios basilares da gestão de riscos permanecem coesos em ambas as fontes, reiterando a relevância de processos contínuos, avaliações sistemáticas e aprimoramento constante.

Banco Central do Brasil - BACEN

Tribunal de Contas da União

O Tribunal de Contas da União (TCU) tem se preocupado com a gestão de riscos no âmbito das entidades da administração pública federal. Uma das iniciativas mais notórias nesse sentido foi a publicação da Decisão Normativa TCU nº 170, de 2018, que aprovou o "Referencial Técnico sobre Governança no Poder Executivo Federal". Esse referencial técnico traz orientações sobre a gestão de riscos, entre outros aspectos da governança.

Além disso, em 2017, o TCU publicou o Acórdão nº 2.467/2017 - Plenário, que dispõe sobre a obrigatoriedade da adoção de práticas de gestão de riscos nas entidades e órgãos do governo federal. Este acórdão determinou que os órgãos e entidades da administração pública federal direta e indireta implementassem práticas de governança, controle interno e gestão de riscos alinhadas aos referenciais de governança aplicáveis.

Em relação ao Banco Central do Brasil (BACEN) e sua regulamentação sobre gestão de riscos, é importante ressaltar que, enquanto as resoluções do BACEN são mais voltadas para o setor financeiro, considerando suas particularidades e os riscos inerentes a essa atividade, as orientações do TCU possuem um escopo mais amplo, voltado para a administração pública federal em sua totalidade.

Ainda que os documentos tenham origens e focos distintos, existem convergências em relação à ênfase na necessidade de estruturar e implementar uma gestão de riscos efetiva. Ambos os órgãos reconhecem a importância de identificar, avaliar, monitorar e mitigar riscos, bem como promover uma cultura de gestão de riscos que envolva todos os níveis da organização.

Especialização profissional em gestão de riscos

O foco crescente na gestão de riscos nas duas últimas décadas, tanto por parte de entidades reguladoras como o BACEN quanto por órgãos de controle como o TCU, certamente incentivou um maior interesse e procura por especialização na área. A necessidade de profissionais capacitados para lidar com questões complexas relacionadas a riscos em diferentes setores, especialmente no financeiro e no público, impulsionou a busca por formação e certificação específicas.

Os referenciais mais comuns para a gestão de riscos são:

ISO 31000: Esta norma internacional fornece diretrizes sobre gestão de riscos e é frequentemente utilizada como referência para implementar e melhorar a gestão de riscos em diversas organizações. A formação em ISO 31000 é amplamente procurada por profissionais que desejam se especializar na área.

COSO ERM (Committee of Sponsoring Organizations of the Treadway Commission - Enterprise Risk Management): O COSO é outro marco amplamente reconhecido que fornece uma estrutura detalhada para a gestão de riscos em empresas.

Frameworks específicos para setores particulares: No setor financeiro, por exemplo, os profissionais podem se especializar em padrões e regulamentações específicos, como as diretrizes de Basileia.

Além da formação, muitos profissionais buscam certificações que validam sua competência em gestão de riscos. Algumas das certificações mais populares incluem:

Certified in Risk Management Assurance (CRMA): Oferecido pelo Instituto de Auditores Internos (IIA), este certificado é voltado para auditores e profissionais que se concentram na garantia de gestão de riscos.

Financial Risk Manager (FRM): Oferecido pelo Instituto GARP, este é um título global para profissionais de gestão de riscos, especialmente aqueles no setor financeiro.

Professional Risk Manager (PRM) - Oferecido pelo Instituto PRM, este é um título global para profissionais de gestão de riscos, especialmente aqueles no setor financeiro.

Certified ISO 31000 Risk Management Professional (C31000) - Esta é uma certificação específica para profissionais que se especializam na norma ISO 31000 promovida pelo G31000. Provavelmente essa é a certificação mais difundida e reconhecida no Brasil.

A tendência é que, à medida que a gestão de riscos continua a ganhar destaque em diferentes setores, a demanda por formação e certificação especializadas permanecerá robusta. Profissionais que buscam se diferenciar e agregar valor às organizações reconhecem a importância de adquirir competências específicas na área e validá-las através de certificações reconhecidas.

V - Conclusão

O Comitê de Basileia sobre Supervisão Bancária foi estabelecido pelo Grupo dos Dez (G10) em 1974, em resposta a preocupações sobre a saúde financeira do sistema bancário após choques econômicos significativos naquela década. O primeiro acordo de Basileia, conhecido como "Basileia I", foi publicado em 1988.

Por outro lado, a ISO (Organização Internacional para Padronização) foi fundada em 1947. No entanto, a norma específica sobre gestão de riscos, ISO 31000, foi publicada pela primeira vez em 2009. Portanto, enquanto a ISO como organização existe desde 1947, o Comitê de Basileia precedeu a norma ISO 31000 em termos de publicações relacionadas à gestão de riscos.

O Comitê de Basileia sobre Supervisão Bancária, é o principal órgão internacional de definição de padrões para a supervisão prudencial dos bancos. A primeira e mais notável definição de padrões sobre gestão de riscos foi o Acordo de Capital de Basileia I, publicado em 1988. Basileia I visava garantir que os bancos detivessem capital suficiente em relação aos vários riscos a que estavam expostos, em particular, o risco de crédito.

Esse acordo estabeleceu padrões mínimos de capital e um framework para avaliar o risco de crédito associado a vários ativos detidos pelos bancos. Embora tenha sido um passo crucial para padronizar a supervisão bancária em nível internacional, o acordo foi criticado por ser muito simplista e por não considerar adequadamente outros tipos de riscos, como risco de mercado e risco operacional.

Isso levou ao desenvolvimento e implementação de acordos subsequentes, Basileia II e Basileia III, que buscavam abordar as deficiências de Basileia I e introduzir uma abordagem mais abrangente e sensível ao risco para a gestão e supervisão de riscos bancários. Basileia II foi publicado em 2004 e Basileia III, que foi desenvolvido em resposta à crise financeira de 2007-2008, começou a ser formulado em 2010 e teve suas regras finalizadas em 2017.

Os riscos operacionais começaram a ser considerados de forma explícita nas normas de Basileia com a introdução do Acordo de Basileia II, que foi publicado em 2004. Antes de Basileia II, o foco principal estava no risco de crédito, com o Acordo de Basileia I (1988) estabelecendo requisitos mínimos de capital principalmente para esse tipo de risco.

Basileia II trouxe uma abordagem mais abrangente e diferenciada para a gestão de riscos bancários, introduzindo requisitos de capital não apenas para riscos de crédito e riscos de mercado (que já haviam sido considerados em ajustes a Basileia I nos anos 90), mas também para riscos operacionais. Esse reconhecimento dos riscos operacionais foi uma evolução significativa no panorama regulatório bancário, refletindo a crescente consciência da importância de considerar uma gama mais ampla de riscos na gestão e supervisão bancária.

No contexto de Basileia II, o risco operacional é definido como "o risco de perda resultante de processos internos inadequados ou falhos, de pessoas e sistemas, ou de eventos externos". Para calcular os requisitos de capital para riscos operacionais, Basileia II propôs três métodos de cálculo, variando em complexidade: o Método do Indicador Básico, o Método Padronizado e a Abordagem de Mensuração Avançada.

Na última década, a gestão de riscos tem sido um foco central de regulamentações e normas internacionais, com entidades distintas reconhecendo sua importância crescente. Em 2004, a segunda versão do Acordo de Basileia (Basileia II) foi introduzida com um enfoque renovado nos riscos operacionais. Ao mesmo tempo, os comitês da ISO estavam imersos no desenvolvimento da Norma ISO 31000, que viria a ser publicada em 2009.

Esse contexto simultâneo e a proximidade das temáticas levantam questões intrigantes sobre possíveis interações e influências mútuas entre as duas organizações e seus respectivos documentos. Assim, é válido questionar: Será que a ISO 31000 foi moldada pelas diretrizes de Basileia II e III? Os Acordos de Basileia poderiam ter sido influenciados pelos estudos preliminares da ISO sobre gestão de riscos? Ou seria possível que ambas as organizações, durante suas elaborações, tenham se influenciado mutuamente na produção de suas normas relacionadas à gestão de riscos? Vamos explorar essas interrogações a seguir.

A relação entre a ISO 31000 e os Acordos de Basileia, em termos de influência mútua, é um tópico que pode ser complexo e requer uma análise cuidadosa. A seguir, apresento uma visão sobre cada uma das suposições levantadas:

1 - A ISO 31000 sofreu influência de Basileia II e depois da Basileia III?

É possível que haja alguma influência indireta, pois o Comitê de Basileia foi uma das primeiras entidades a reconhecer e enfatizar a importância da gestão de riscos operacionais em um contexto regulatório formal. Contudo, a ISO 31000 é uma norma geral para gestão de riscos aplicável a qualquer setor ou organização, enquanto Basileia é específico para instituições financeiras. A influência, portanto, pode ter sido mais no sentido de reconhecimento da importância da gestão de riscos do que em termos de abordagens ou técnicas específicas.

2 - A Basileia II e III podem ter sofrido influência dos estudos da ISO sobre gestão de riscos para produzir seus regulamentos sobre riscos operacionais? 

O Comitê de Basileia já estava considerando riscos operacionais antes de 2009, como visto em Basileia II. Porém, a crescente ênfase na gestão de riscos por organizações internacionais, como a ISO, pode ter reforçado o foco e a abordagem do Comitê de Basileia. Novamente, qualquer influência seria mais no nível conceitual e de reconhecimento da importância do tema.

3 - Ambas as organizações, ISO e Basileia, tiveram influências uma da outra, na produção de suas normas relacionadas à gestão de riscos?

É plausível que ambas as organizações tenham se influenciado mutuamente em algum grau, principalmente em termos de reconhecimento da importância da gestão de riscos. As discussões globais em torno do tema durante os anos 2000, impulsionadas em parte por crises financeiras, certamente tiveram impacto em diversas organizações e reguladores. No entanto, é importante notar que cada uma dessas entidades tem seus próprios processos, stakeholders e objetivos, o que pode limitar o grau de influência direta entre elas.

Dito isso, qualquer afirmação definitiva sobre influências diretas requereria uma investigação mais aprofundada dos documentos, históricos e entrevistas com as partes envolvidas no desenvolvimento dessas normas e regulamentos. A relação entre organizações de padronização e comitês regulatórios é muitas vezes complexa e multidirecional.

Ao considerarmos a evolução das práticas e abordagens em gestão de riscos de segurança corporativa, somos imediatamente conduzidos a refletir sobre alguns marcos significativos e suas potenciais influências. A publicação da ISO 31000 em 2009 é, indubitavelmente, um desses marcos, levantando a questão: essa norma teria moldado e redefinido as práticas existentes no domínio da segurança corporativa?

Além disso, não podemos esquecer do legado das instituições bancárias, cuja existência secular e intrínseca necessidade de segurança nos fazem ponderar sobre o impacto dos Acordos de Basileia II e III. Esses acordos, ao destacarem a gestão de riscos operacionais, poderiam ter influenciado a percepção e implementação da segurança corporativa nessas instituições? E, dada a natureza dinâmica do mundo corporativo, onde profissionais frequentemente transitam entre diferentes setores, essa influência poderia ter se estendido a outras organizações? Por fim, ao observarmos o cenário global, é imperativo questionar se, em conjunto, tanto a ISO quanto Basileia desempenharam um papel determinante em direcionar e moldar a gestão de riscos em segurança corporativa ao redor do mundo.

Ao contemplar o cenário de gestão de riscos nas últimas décadas, não podemos deixar de reconhecer o impacto da publicação da ISO 31000:2009 e posteriormente em 2018. A norma, com sua abordagem abrangente e estruturada, é muito provável que tenha servido como uma pedra angular, moldando e redefinindo práticas no campo da gestão de riscos de segurança corporativa. Suas diretrizes e recomendações são universalmente adaptáveis, proporcionando uma base sólida para organizações de diversos setores.

Paralelamente, bancos, como instituições históricas que sempre valorizaram e necessitaram de robustos sistemas de segurança, indubitavelmente se beneficiaram dos insights e direcionamentos dos Acordos de Basileia II e III. Ao focar explicitamente na gestão de riscos operacionais, esses acordos não só intensificaram a ênfase na segurança corporativa dentro das instituições bancárias, mas também contribuíram para uma mudança na percepção e implementação dessas práticas. Além disso, dada a natureza interconectada do setor financeiro e o trânsito constante de profissionais entre diferentes entidades, é plenamente plausível que essas práticas e abordagens tenham sido disseminadas, influenciando a gestão de riscos em outras organizações além do setor bancário.

Assim, ao analisarmos o papel da ISO e dos Acordos de Basileia no vasto domínio da gestão de riscos, parece evidente que ambas as entidades, em sua própria capacidade e foco, desempenharam papéis cruciais. Em conjunto, elas forneceram diretrizes, estruturas e insights que muito provavelmente influenciaram significativamente a gestão de riscos na segurança corporativa em escala global. E, enquanto continuamos a evoluir na era digital, as lições aprendidas e as práticas estabelecidas por estas normativas continuarão a ser de vital importância.

Referências:

•  ISO 31000:2018 - Risk management — Guidelines
• Basel Committee on Banking Supervision