Será que o foco intenso no risco de mercado e de crédito na gestão de risco dos bancos de investimento está a levar à negligência de riscos operacionais significativos?

Com muitas empresas financeiras modernas fortemente dependentes de sistemas digitais, aplicações móveis, portais online e soluções tecnológicas para gerir as suas operações, uma falha de risco operacional poderia paralisar completamente todas as suas operações.

Neste artigo, analisamos os principais riscos operacionais que os bancos de investimento enfrentam, exploramos as razões pelas quais o risco operacional nos bancos de investimento é frequentemente negligenciado e partilhamos como a mais recente tecnologia GRC está a apoiar as equipas de risco a obter uma visão holística do risco e a implementar os controlos adequados.

Os riscos operacionais são uma ameaça constante para o setor dos serviços financeiros, e as consequências de os ignorar podem ser devastadoras, por isso, podem os bancos de investimento dar-se ao luxo de negligenciar esta importante área de risco? Afinal, há muito em jogo e não apenas em termos de tempo de inatividade operacional, mas um risco operacional mal gerido também pode resultar em custos financeiros diretos, multas regulatórias e responsabilidade legal.

Áreas fundamentais da gestão de risco operacional na banca de investimento

Os bancos de investimento lidam principalmente com empresas, entidades governamentais e indivíduos abastados. Embora isto resulte em transações maiores e mais complexas, e num ambiente regulatório diferente, muitas das suas áreas de risco operacional refletem o setor dos serviços financeiros em geral. Compreender estas áreas fundamentais de risco operacional e geri-las eficazmente torna-se um fator enorme que influencia a sua jornada de gestão de risco empresarial.

No contexto das instituições financeiras, o Comité de Basileia de Supervisão Bancária define o risco operacional como “O risco de perda resultante de processos internos, sistemas, pessoas e eventos externos inadequados ou falhados”.

Ao contrário dos seus homólogos “risco de crédito” e “risco de mercado”, os riscos operacionais estão intrinsecamente ligados aos processos internos de uma empresa. E como os riscos operacionais provêm de muitas fontes e tendem a manifestar-se de várias formas, uma má gestão do risco operacional pode perturbar o núcleo das operações de uma empresa.

O risco operacional é geralmente causado por quatro vias diferentes:

Pessoas: Má conduta intencional, erros inadvertidos dos funcionários, perda de pessoal ou falta de competências e formação necessárias podem levar a vulnerabilidades.

Processos: Processos e procedimentos desatualizados, ineficientes ou mal documentados podem afetar grandemente as operações.

Sistemas: Segurança de dados comprometida, ciberataques, tempo de inatividade do sistema, falhas tecnológicas, interrupções e perda de energia ou internet podem perturbar gravemente as operações e causar perdas financeiras.

Eventos Externos: Fatores como alterações regulatórias, atividade da concorrência, pessoal e risco geopolítico são influências essenciais a considerar como parte do seu programa de ORM.

Por que razão os bancos de investimento não conseguem controlar o risco operacional?

Muitas empresas financeiras, incluindo bancos de investimento, frequentemente veem os riscos operacionais como “menos tangíveis” do que outros tipos de riscos, como os riscos de crédito e de mercado. Como os riscos operacionais estão relacionados com pessoas, processos, sistemas e eventos externos, podem ser percebidos como difíceis de quantificar e medir.

Como resultado, muitas vezes recebem menos atenção da gestão de topo e não lhes são atribuídos os mesmos recursos que a outros tipos de riscos, apesar de serem parte integrante da sua estratégia global de gestão de riscos. Muitas organizações também tendem a ver a gestão do risco operacional como um “requisito de conformidade”.

Tratam esta função essencial como um mero exercício de assinalar caixas, em vez de a utilizarem para acrescentar valor através de um quadro abrangente de gestão de riscos. Mas quando bem feitos, os programas de gestão de risco operacional acrescentam valor. Ao identificar as suas principais áreas de risco e implementar os controlos adequados para reduzir o risco, as organizações podem prevenir ativamente riscos que, se não forem abordados, afetariam gravemente as suas operações.

Quais são as principais áreas de risco operacional que os bancos de investimento devem abordar?

Tempo de Inatividade do Sistema: Com a maioria das empresas bancárias a depender de uma grande variedade de sistemas e aplicações para gerir as suas operações, é essencial abordar os riscos operacionais que possam causar tempo de inatividade do sistema. Os riscos relacionados com a perda de energia ou internet, expiração de licenças e contratos devem ser cuidadosamente geridos.

Erros ou Má Conduta dos Funcionários: Os erros operacionais dos funcionários podem ter um enorme impacto numa organização. Este risco deve ser cuidadosamente mitigado com controlos como formação do pessoal, esquemas de retenção e políticas e documentação de processos. As áreas de má conduta também devem ser tratadas de forma adequada.

Fraude: A fraude interna, como o desvio de fundos ou o uso de informação privilegiada, é uma ameaça generalizada que pode ter consequências devastadoras para os bancos de investimento. As organizações podem mitigar proativamente os riscos de fraude através de monitorização contínua e controlos automatizados. Ao estabelecer controlos baseados no risco e parâmetros de monitorização, as organizações podem identificar potenciais vulnerabilidades e tomar medidas corretivas imediatas.

Violações de Cibersegurança: Os bancos de investimento devem monitorizar continuamente as infeções por ransomware, a apropriação de contas e os esquemas de phishing. Estas ameaças podem resultar em interrupções das operações, violações de dados e remediações dispendiosas. Os bancos precisam de ter medidas de cibersegurança robustas para proteger os dados dos clientes e os sistemas financeiros.

Não Conformidade Regulamentar: A conformidade não é apenas um requisito legal; é também um aspeto crucial da gestão do risco operacional. O não cumprimento dos regulamentos pode ter consequências graves, tanto financeiras como reputacionais, para os bancos de investimento. A implementação de sistemas de software que automatizem a monitorização da conformidade, a elaboração de relatórios e a manutenção de registos pode simplificar os processos e reduzir o risco de não conformidade.

Como pode a tecnologia GRC ajudar os bancos de investimento a automatizar a gestão do risco operacional?

À medida que os bancos de investimento lidam com vários fatores de risco internos e externos, o desenvolvimento de um programa robusto de gestão de risco operacional tornou-se um pilar para a sustentabilidade e resiliência a longo prazo! A tecnologia GRC oferece um conjunto de funções para apoiar as empresas na automatização dos seus processos de gestão de risco operacional e obter uma visão holística do risco.

As organizações podem facilmente configurar registos de risco online abrangentes, onde vários departamentos podem registar diretamente os riscos, e os riscos podem ser facilmente categorizados e classificados utilizando um quadro de risco consistente. As avaliações de risco podem ser implementadas online através da automatização, com todos os dados a serem introduzidos diretamente na plataforma.

As empresas necessitam de uma solução de gestão de risco que possa recolher e agregar dados de risco das partes interessadas em toda a organização. Ao utilizar software GRC, as equipas de risco podem facilmente recolher dados de risco suficientes das partes interessadas em toda a empresa. Cada funcionário tem o seu próprio painel de controlo onde completa tarefas relacionadas com o risco, como “avaliações de risco” e “verificações de controlo”. Estes dados são capturados centralmente, permitindo que as equipas de risco calculem facilmente a probabilidade, gravidade e impacto do risco e gerem classificações de risco.

Os dados transacionais e operacionais podem ser extraídos para a ferramenta GRC a partir de outros sistemas e fontes de dados através de ligações API, permitindo às equipas definir indicadores-chave de risco (KRI) e definir tolerâncias de risco com base em dados reais. Com o software adequado, toda a organização pode registar riscos e assumir a responsabilidade pelo risco. Isto torna a gestão de risco mais acessível, responsável, rastreável e resolúvel, proporcionando visibilidade instantânea às equipas de liderança e permitindo-lhes ajustar o seu apetite pelo risco conforme necessário.

Os relatórios instantâneos gerados automaticamente permitem ainda que uma organização obtenha uma visão completa do seu perfil de risco e analise em detalhe as áreas problemáticas.

A implementação de uma plataforma GRC robusta não só cria uma cultura de consciencialização do risco em toda a organização, como também elimina tarefas administrativas e de elaboração de relatórios morosas e mundanas. Isto deixa a equipa de risco com tempo para analisar os dados de risco e introduzir medidas para reduzir o risco operacional e apoiar a tomada de decisões, em vez de realizar tarefas administrativas.

Desafios de ORM relacionados com processos manuais isolados

Tradicionalmente, a gestão de risco na maioria das instituições financeiras continua a depender de processos manuais baseados em folhas de cálculo ou plataformas legadas que tendem a ser fragmentadas, dispendiosas e ineficientes. Embora a ERM se tenha tornado mais amplamente aceite, muitos bancos de investimento ainda operam em silos de informação analítica, dependendo de uma coleção de diferentes soluções que não se integram, negando à gestão de topo uma verdadeira imagem do risco em toda a empresa.

Os problemas típicos de uma abordagem manual, isolada e baseada em folhas de cálculo incluem:

Dados de risco de má qualidade devido à falta de governança de dados.

Duplicação de esforços e aumento da administração, uma vez que os dados muitas vezes precisam de ser transferidos entre formulários e várias folhas de cálculo.

Processos desarticulados e isolados, uma vez que as folhas de cálculo não se integram, tornando difícil obter uma visão consolidada do risco em várias folhas de cálculo e fontes de dados.

Ausência de um quadro de risco padronizado, tornando difícil priorizar os riscos mais críticos.

Problemas de acesso resultantes de vários funcionários a tentar aceder às mesmas folhas de cálculo, resultando frequentemente em dados sobrescritos.

Fraca responsabilização, uma vez que não há rastreamento de utilizadores, tornando difícil saber quem alterou o quê.

Processos desarticulados que dificultam a ligação dos riscos aos controlos relevantes ou incidentes associados.

A falta de automatização significa que todas as avaliações de risco são enviadas e acompanhadas manualmente, os dados são transferidos manualmente e não há notificações e alertas automatizados para sinalizar problemas ou fluxos de trabalho para formalizar processos e gerir os riscos até à sua resolução.

Elaboração de relatórios morosa e complicada que apenas dá uma visão instantânea dos eventos.

Esta abordagem à gestão de risco faz muitas vezes com que a direção se concentre em questões que têm pouco impacto na viabilidade estratégica e futura do banco.

Alinhamento da gestão de risco com o planeamento estratégico e o desempenho empresarial para uma supervisão reforçada

O alinhamento do risco com a estratégia é um aspeto essencial de uma gestão de risco eficaz. O planeamento estratégico deve integrar-se com a gestão de risco para que as organizações possam abordar eficazmente os riscos potenciais e aproveitar as oportunidades. Ao alinhar estes dois processos, as empresas aumentarão a resiliência face a eventos imprevistos, melhorarão a eficiência da afetação de recursos e, em última análise, melhorarão a realização dos objetivos estratégicos em várias condições de mercado.

As soluções GRC que incorporam “elementos de risco” nas decisões estratégicas que precisam de ser tomadas, mostram muito rapidamente o valor que podem gerar, tanto em termos de oportunidades como de evitar problemas dispendiosos. A viabilidade a médio e longo prazo de uma entidade depende da sua capacidade de antecipar e responder à mudança, não só para sobreviver, mas também para evoluir e prosperar.

A plataforma Riskonnect permite que as partes interessadas de toda a empresa contribuam para o processo de gestão de riscos, fornecendo dados abrangentes para mitigar riscos e, ao mesmo tempo, obtendo insights para descobrir ineficiências nos processos e potenciais oportunidades de crescimento.

As perdas devido a falhas operacionais na banca de investimento estão a tornar-se mais frequentes, e o preço de ignorar o risco operacional é frequentemente mais elevado do que abordá-lo ativamente. Se melhorar a gestão do risco operacional é uma preocupação fundamental para a sua organização, contacte-nos para uma demonstração e descubra como a mais recente tecnologia GRC pode simplificar e automatizar os seus processos. Saiba mais sobre como a plataforma GRC da Riskonnect está a ajudar organizações de serviços financeiros.