Matriz de Riscos é a ferramenta que permite priorizar os riscos mais relevantes a serem testados e mitigados. Analise Probabilidade, Impacto e Criticidade.

Matriz de Riscos

Matriz de Riscos é a ferramenta que permite priorizar o risco iminente (mais relevantes) a ser testado e mitigado. A relevância é medida através de duas dimensões: probabilidade e impacto.

Probabilidade

Probabilidade é a chance do risco de materializar. Ou seja, qual é a chance de o problema ocorrer? Baixa, média ou alta?

Impacto

Impacto é o nível de dano que o risco atingirá se materializado. Ou seja, a gravidade do problema. Pergunte-se novamente: este risco é baixo, médio ou alto quanto à gravidade?

Nem sempre o impacto é financeiro. Veja outros tipos de riscos:

  • Risco Ocupacional, biológico, químico, ergonômico;
  • Risco ambiental; 
  • Risco operacional, risco de crédito, cambial;
  • Risco de Imagem / Reputação;

Após estabelecer uma nota para cada dimensão, pode-se estabelecer um ponto na matriz e determinar com maior precisão se o risco é crítico, alto, moderado ou baixo.

Tomada de Decisões

A matriz de riscos é muito útil na tomada de decisões, pois permite a avaliação imparcial de uma situação. Quando bem utilizada, os critérios são impessoais e bem definidos.

Para cada risco mapeado, deve haver um ou mais controles que minimizem o impacto e/ou a probabilidade do risco. Chamamos isso de mitigar o risco.

De acordo com a complexidade, os controles podem ser manuais ou automáticos. Controles manuais, dependem da execução de um ser humano. Controles automáticos são aqueles baseados em sistemas, sensores ou verificações periódicas.

Periodicidade de Execução do Controle

A periodicidade de execução do controle ajuda a determinar quantos itens serão testados pelo auditor. O dicionário de riscos é ponto de partida para criação da matriz. Geralmente é criado e mantido por uma área da segunda linha de defesa: Gerenciamento de Riscos, Controles Internos, Compliance etc..

Mapa de Calor

Após finalizada, a matriz pode ser resumida em um mapa de calor (heatmap), onde os riscos são posicionados entre os eixos de impacto e probabilidade. Os quadrantes são separados por cores, geralmente do verde (risco baixo) ao vermelho (risco crítico).

Mapa de Calor (Heatmap)

Todos estes critérios devem constar na metodologia de Auditoria adotada pela Companhia.

O que significa Integridade?

O que significa integridade? Seria um sinônimo de Compliance? Integridade vem do latim integritate. Com raiz latina, integridade significa retidão moral, inteireza, condição de ser inculpe e sem defeito. Também pode se referir a integridade física, social e falando de tecnologia, de integridade de dados. Focaremos aqui, no sentido humano, profissional, corporativo e no serviço público.

Em tempos de corrupção desenfreada, vivemos uma crescente necessidade de retomada da ética na sociedade e nas corporações. Mas o que é ética?

Responder o que é integridade depende de varios fatores: normalmente é considerada uma virtude moral, pode ter uma motivação espiritual, pode ser fruto do âmbito familiar, formação acadêmica ou simplesmente da personalidade.

Estudiosos do comportamento humano já tentaram estudar a influência do ambiente em que a pessoa vive na formação de seu caráter e na escolha de suas ações. Veja o exemplo abaixo:

Teoria das janelas quebradas

O psicólogo de Stanford Philip Zimbardo realizou um experimento social, depois publicado em um artigo entitulado “Janelas Quebradas”.

Ele deixou um carro sem placas no bairro do Bronx (um bairro menos favorecido) e um segundo carro nas mesmas condições em Palo Alto, região mais próspera na Califórnia.

Zimbardo observou que minutos após o abandono, o carro que estava no Bronx começou a ser depenado. Os primeiros indivíduos, levaram o radiador, a bateria e outras peças do carro. Em 24 horas, o carro do Bronx estava completamente depenado e as crianças já o utilizavam como playground.

Em Palo Alto, sete dias após o abandono, o carro permanecia intacto.

Seria o vandalismo uma característica exclusiva de bairros pobres? Veja o que Philip fez a seguir.

O cientista deu um golpe de martelo na janela, abandonando novamente o carro no bairro rico.

Pouco depois, mais pessoas se juntaram para a destruição. Os vândalos de Palo Alto eram bem vestidos, pessoas de cabelos cortados e aparentemente respeitáveis.

Este resultado demonstra um sentimento de manada, quase instintivo, de algumas pessoas. Ele independe exclusivamente de posição social ou formação educacional.

Há variáveis mais complexas para explicar a mudança de comportamento repentina após a primeira janela quebrada em Palo Alto.

Basta um estopim, uma ação rebelde, para desencadear um efeito dominó onde indivíduos tidos como íntegros passam a mimetizar o mesmo comportamento questionável, desagradável, ilegal ou imoral, todos da mesma forma, sem direção planejada.

Diz-se que há 3 grupos de pessoas quando se fala de integridade

  • “Integridade nata”: a pessoa íntegra segue as regras, tem um código de ética próprio, não faz concessões, independentemente do contexto, da situação pessoal, de eventuais perdas financeiras ou até mesmo danos físicos ou emocionais. Valorizam a honestidade acima de tudo. Também são conhecidos como objetores de consciência.
  • “Depende da situação”: O segundo grupo é íntegro em geral, mas em situações específicas de fortes emoções, desequilíbrio emocional, sentimento de injustica, desejo de vingança ou risco de segurança iminente, ou até de vida cedem à pressão e desobedecem seus próprios princípios e consciência. Para estes são comuns as seguintes justificativas: “os fins justificam os meios. Fulano faz coisas piores do que eu. Não prejudiquei ninguém!.”
  • “Nunca”: Por fim há um terceiro grupo: os não íntegros por natureza. Desobedecem por bel prazer, a transgressão é gratuita – às vezes sem nenhum benefício pessoal. No entanto, a maioria quer tirar vantagens: símbolos do “jeitinho brasileiro”. Usam subterfúgios para fugir da fiscalização. Não há como conter: é da natureza deles.

A natureza do escorpião

Em uma antiga fábula, uma tartaruga estava às margens de um rio, preparando-se para atravessá-lo, quando o escorpião chegou e pediu uma carona. A tartaruga lhe disse: “Estás louco? Depois, Tu me picará e eu vou morrer.” O escorpião retrucou: “Se você morrer, eu também morrerei, pois não sei nadar.”

A tartaruga deu carona e começou a travessia. Na metade do caminho, o escorpião pifou a tartaruga que lhe carregava. “O que você fez? Nós dois vamos morrer! Caráter não muda mesmo!”, disse a tartaruga, ao que o escorpião afirmou: “Não pude me conter, é a minha natureza.”

O que significa Integridade Corporativa?

A Governança Corporativa estabelece normas, políticas e procedimentos a serem seguidos para mitigar riscos.

Normalmente há um código de conduta estabelecido e publicado para os colaboradores seguirem essas regras.

Apurações e responsabilizações por desvios de conduta normalmente vem em medidas ou sanções disciplinares: advertência verbal, por escrito, suspensão, desligamento e até mesmo a temida “justa causa”.

Programa de Compliance

O Programa de Compliance é o conjunto de recursos, processos, ferramentas e comunicações que refletem como a Companhia lida com este tema sério. Fazem parte deste programa ações como treinamentos, palestras, comunicação interna em murais, mídia eletrônica e etc..

Um canal de conduta facilita o recebimento de denúncias estruturadas e fundamentadas. Além disso, este instrumento aumenta a percepção de que a empresa tem uma cultura de combate à fraudes e corrupção.

Quem fiscaliza tudo isso? Uma metodologia de Auditoria Interna, amplamente divulgada pelo IIA Brasil sugere 3 linhas de defesa IIA:

As tres linhas de defesa (Roncarati, acesso em 09/2019)
  • Primeira linha de defesa: gestor do processo precisa ter o comprometimento na defesa da empresa;
  • Segunda linha de defesa: Controles Internos / Gerenciamento de Riscos, Gestão de Compliance, auxiliam na criação do mapa de risco;
  • Terceira linha de defesa: Auditoria Interna testa a efetividade dos controles internos e aponta as deficiências em um relatório de acordo com o planejamento de Auditoria.
  • Auditorias externas: corroboram achados de forma independente. As 4 principais (Big Four) empresas de consultoria e auditoria externa são: Deloitte, PwC, E&Y e KPMG.

Compliance e Fiscalização na Administração Pública

Na administração pública os órgãos de vigilância são necessários pela ficalização do cumprimento regulatório e da transparência do processo. No setor público existem centenas de órgãos, agências e entidades reguladoras e fiscalizadoras. Veja alguns exemplos de agência reguladora:

  • ANS: Saúde;
  • ANVISA: Vigilância Sanitária;
  • BACEN: Banco Central;
  • PROCON: Direito do Consumidor:
  • ANATEL: Telefonia.
  • ANPD: Autoridade Nacional de Proteção de Dados, será responsável por fiscalizar o cumprimento da LGPD.

Também existem organizações não governamentais que representam classes de trabalhadores. Essas tem certo papel de fiscalização legal e de ética profissional. Alguns exemplos:

  • CFM: Conselho Federal de Medicina;
  • CRM: Conselho Regional de Medicina;
  • OAB: Ordem dos Advogados do Brasil.

Leia mais sobre integridade, janelas quebradas e efeito manada

Janelas Quebradas (Dráuzio Varella, acesso em 09/2019)

This 1967 classroom experiment proved how easy it was for Americans to become Nazis (Timeline, acesso em 09/2019)

Professor americano que simulou um regime nazista na sala de aula fala à Folha sobre as consequências da lição (Folha, acesso em 09/2019)

Naturezas (Globo, acesso em 09/2019)