No Guia de Orientação de Gerenciamento de Riscos Corporativos do IBGC (2007), os riscos operacionais estão associados à possibilidade de ocorrência de perdas (de produção, ativos, clientes, receitas) resultantes de falhas, deficiências ou inadequação de processos internos, pessoas e sistemas, assim como de eventos externos como catástrofes naturais, fraudes, greves e atos terroristas.
King (2001, p.7) define risco operacional “como uma medida do relacionamento entre as atividades de negócio de uma empresa e a variação em seus resultados”. Laycock (1998) descreve que o risco operacional está vinculado com a probabilidade de flutuações não planejadas nos resultados ou no fluxo de caixa de uma empresa, causadas por efeitos atribuídos à clientes, controles inadequados, falhas de sistemas e eventos não gerenciáveis.
Os problemas relacionados a riscos operacionais decorrem pela inadequada atenção destinada aos processos ou sistemas ou porque as pessoas falham no desempenho de suas atividades ou então suas atribuições são mal especificadas, conforme descreve Culp (2001).
Jorion (1998) indica que os riscos operacionais:
Referem-se às perdas potenciais resultantes de sistemas inadequados, má administração, controles defeituosos ou falha humana, a qual inclui o risco de execução, correspondente a situações em que as operações não são executadas, resultando em atrasos ou em penalidades; o risco de execução relaciona-se a qualquer problema nas operações de back-office, relativas ao registro de transações e à reconciliação de operações. Também incluem fraude e a necessidade de proteger os sistemas contra acesso não autorizado e violações. Outros exemplos são falhas de sistema, prejuízos oriundos de desastres naturais ou acidentes envolvendo pessoas importantes. (JORION, 1998 apud COIMBRA, 2011, p.35).
Embora a definição do Bank of International Settlements (BIS, 2005) seja voltada às instituições financeiras, esta se destaca em relação às demais, em virtude
de indicar os fatores originadores do risco que são: os processos internos à organização, as pessoas (fraude, erro ou negligência, ausência de qualificação e conduta antiética), a tecnologia (falhas de hardware, software, instalações, sistemas de energia e comunicações) e os eventos externos (como ataques terroristas e fenômenos da natureza).
Outra definição do mercado financeiro tem base na Resolução nº. 3.380, do Conselho Monetário Nacional (CMN), divulgada em 29 de junho de 2006 pelo Banco Central do Brasil (BCB, 2006), na qual houve a ratificação da conceituação exposta nos dois parágrafos anteriores. Do mesmo modo, foi apresentado o significado para risco legal, ao evidenciar que tal risco, incluído no risco operacional, está associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição (BCB, 2006).
O chamado risco de compliance ou risco de regulamentação, ou ainda, risco regulatório, também é um tipo de risco operacional. É definido pelo BIS (2005) como:
O risco de sanções legais ou regulatórias, perdas financeiras ou danos à reputação que um banco pode sofrer como resultados de uma falha em cumprir leis, regulamentos, normas internas e códigos de conduta aplicáveis às atividades bancárias.
O Relatório do COSO (2007), apresenta que os riscos operacionais são aqueles que impactam os objetivos ligados à:
Concorrência, suprimentos, clientes. Legais e regulatórios.
Contratuais.
Tecnologia da Informação.
Financeiro e operações cambiais. Fraudes contábeis e fiscais. Meio Ambiente.
Marcas, imagem e reputação. Segurança patrimonial e pessoal.
Diferentes tipos de risco surgem quando as empresas desempenham suas atividades de negócio; os citados riscos operacionais estão relacionados com pessoas, processos e tecnologia. Podem ocorrer quando há funcionamento inadequado ou insatisfatório dos sistemas de informática, causando erros de registros, ausência de dados e informações, atrasos de processamento, erros de contabilização e consolidação, geração de relatórios não confiáveis e panes em sistemas críticos da organização.
Outro foco de risco operacional é a ação humana, seja por falta de atenção, desqualificação ou desvio de conduta; um sistema efetivo de controles internos é primordial para evitar ou minimizar fraudes e erros. Processos internos inadequados, ou ainda mal desenhados, podem ter graves consequências, como desperdício de tempo e recursos devido a retrabalhos, defeitos de fabricação, contaminação na produção de alimentos, entre diversos outros.
Verifica-se uma forte tendência de crescimento do risco operacional, uma vez que os sofisticados modelos de gestão de risco de crédito e de risco de mercado reduzem as exposições originais das áreas de crédito e de tesouraria, deslocando o foco de risco para as questões de tecnologia, pessoas e processos.
Apesar de sua extrema importância, os riscos operacionais passaram a receber atenção apenas nos últimos anos, muito provavelmente devido aos avanços tecnológicos, a consequente dependência das empresas com relação aos sistemas de informática e ao aumento da incerteza num mundo globalizado.
Muitas organizações têm preparado planos de mitigação para o denominado
risk recovery (recuperação de risco), nos quais as empresas desenvolvem
estratégias de conduzir as suas atividades operacionais. Os danos que mais tem chamado à atenção nestes planos são aqueles para acessar a infraestrutura de produção (máquinas e equipamentos), de tecnologia da informação (sistemas), as instalações físicas (acesso dos trabalhadores e condições de produção) e de clientes (comunicação clara e objetiva, visando a sua manutenção e fidelização).
Outro risco operacional que vem ganhando importância fundamental para o desenvolvimento das empresas é o risco ambiental. A análise do risco ambiental tem, pelo menos, 02 (duas) óticas que impactam o negócio: 1) Risco Ecológicos: são aqueles que alteram os ecossistemas (fauna e flora) por contaminação química (solo, agua ou ar), por alteração da biodiversidade ou por outros recursos naturais; 2) Riscos de Segurança e Processo: são aqueles que visam a preservação da saúde
e integridade do trabalhador quanto a agentes químicos (gases, vapores, poeira, fumaça e etc.), físicos (ruído, vibrações, temperaturas e radiações) e biológicos (bactérias, fungos, vírus e etc.) no ambiente de trabalho.
Por final, um risco operacional que ainda é pouco analisado e estudado é o gerenciamento de mudanças (denominado como change management). Para este risco se faz necessário a constituição de um comitê para planejar as atividades, acompanhar os gestores na sua execução e, principalmente, comunicar de forma correta os stakeholders de todas as mudanças que estão incorrendo.