Artigos

Resolução 4.557- Indicadores para a RAS com planilhas-parte 1

Como monitorar indicadores? E-mail, planilha e diretório compartilhado é suficiente? Tudo depende do bolso, escala e complexidade dos serviços e produtos da organização, conforme a proporcionalidade prevista nas resoluções 4.553 e 4.557. Nessa parte 1 desse artigo, seguem algumas sugestões, não exaustivo nem definitivo, de boas práticas com esse trio de ferramental mais simples possível, provável estrutura de organizações de menor porte ou de necessidades departamentais de organizações de maior porte. Seguindo a numeração do diagrama:

1-RAS e a torneira de ouro

Descritos na RAS os indicadores estratégicos selecionados para monitorar o apetite por risco, a supervisão do regulador pode buscar conhecer como eles são gerados. Aí não adiantará mostrar no documento uma torneira de ouro se por trás da parede não há encanamento algum que dê vazão à água.

2-Monitoramento de indicadores e o encanamento

Nesse contexto, o encanamento é o processo de captura, consolidação e apresentação dos indicadores da RAS à diretoria, um dos que compõem o mais amplo processo de gerenciamento de riscos. Esse processo possui um nível de verificação facilitado face seus resultados serem numéricos: eles estarão corretos ou incorretos, com maior ou menor vulnerabilidade a erros quantificáveis. Alguns indicadores têm coleta qualitativa em sua origem, mas em alguma etapa são quantificados e convertidos em números para apresentação final.

3-Um breve histórico: planilhas e editores de texto x calculadoras e datilografia

Na década de 80, sistemas de computadores de grande porte (mainframe) e microcomputadores tinham em comum a interação por meio de telas de fundo preto e letras brancas ou verdes (alguns lembrarão da tela com a chuva de letras do filme ‘Matrix’). Dois tipos de software impulsionaram a popularização dos microcomputadores com benefícios corporativos:

  • Planilha eletrônica: o Lotus 1.2.3 para a linha PC MS-DOS, e Visicalc para a Apple II. Sua vantagem em relação às calculadoras era a rastreabilidade de dados, fórmulas e capacidade de recombinar funções e cálculos de forma ilimitada pelo próprio usuário.
  • Editor de texto: eliminou problemas de erros de ‘datilografia’ e uso de ‘folha carbonada’ nas máquinas de escrever. Aposentou o corretivo (daí vem o ‘passa um braquinho’) ou fitas adesivas, que solucionavam erros de letras ou palavras, mas nunca mudariam trechos inteiros de frases e parágrafos ao longo dos textos. Erros de datilografia com folhas carbonadas em máquinas de escrever não tinham perdão, o destino era o lixo mesmo (nostalgia para alguns e completo desconhecimento para os mais novos).

4-Visicalc, Lotus 1.2.3, Excel

Em 1978, percebendo o tempo perdido para reproduzir cálculos numa planilha escrita na lousa, um aluno da aula de controladoria em Harvard, junto a um programador, criou o Visicalc: a primeira planilha eletrônica. Em 1983 foi lançado um programa integrado chamado Lotus 123, que além de gerar gráficos, tratava os dados como uma ferramenta de base de dados. O Excel, criado em 1983 para o sistema operacional Windows, domina esse mercado desde a década de 90 até hoje, em função do amplo domínio desse sistema operacional no mundo corporativo.

5-Funcionalidades do Lotus 1.2.3

  • Funções embutidas: referência para as próximas versões e futuros sistemas.
  • Macros: sequência de códigos, procedimentos de rotina e cálculos, enfim, programação.
  • Primeiro programa a combinar gráficos, funções de planilha e gerência de dados (três funções, daí o nome 1.2.3).
Tela do Lotus 1-2-3. Fonte: https://pt.wikipedia.org/wiki/Lotus_1-2-3

6-Funcionalidades do Excel

Dentre tantos Excelentes recursos (seu nome foi inspirado em ‘fazer tudo o que o 1-2-3 faz e fazer melhor’), destaco o de compartilhamento nas versões mais novas. Pela escolha do nome, também não é novidade ter funcionalidades inspiradas no Lotus 1.2.3.

7-Ferramental mínimo: recomendações

Avaliar o ‘encanamento’ passará ao menos pelas questões de quem, o que, e como os indicadores são produzidos e selecionados para a RAS (artigo 8º, inciso I, “o apetite por riscos documentado na RAS e sua conexão com as atividades e as decisões rotineiras de assunção de riscos”). O trio e-mail, planilha e diretório compartilhado deve ser suficiente para muitas organizações de menor porte, observando alguns cuidados:

  • E-mail: o fluxo de trabalho entre as pessoas envolvidas pode ser evidenciado a partir das notificações trocadas entre os colaboradores, registro dos destinatários copiados, exigência de confirmação de e-mail recebido, envio de alertas de exceção aos limites de apetite por risco (artigo 7º, inciso II, “processos efetivos de rastreamento e reporte tempestivo de exceções às políticas de gerenciamento de riscos, aos limites e aos níveis de apetite por riscos fixados na RAS”; artigo 8º, inciso II, “os procedimentos para reporte de ocorrências relacionadas à não observância dos níveis de apetite por riscos fixados na RAS”). Para isso deve-se evitar reaproveitamento de um e-mail por conta de envio aos mesmos destinatários, porém com conteúdo de assunto completamente diferente do anterior.
  • Diretório compartilhado: permite acesso restrito a diretórios pelos colaboradores autorizados a compartilhar os mesmos arquivos (Art. 8º, “Devem ser disseminados ao pessoal da instituição, em seus diversos níveis…”, Parágrafo único, “A disseminação das informações de que trata o caput deve ser efetuada por meio de processo estruturado de comunicação”). Deve-se evitar a criação de diretórios compartilhados pelo nome dos colaboradores, pois à medida que eles mudam de função, setor ou de empregador, seus diretórios deixam de estar disponíveis ou até são eliminados. Tais diretórios devem ser criados por assunto, função ou área.
  • Planilha eletrônica: artefato onde os valores são efetivamente tratados, cabendo maior detalhamento no tópico a seguir.

8-Recursos do Excel úteis nesse contexto

  • Multiusuário: habilitando a opção de compartilhamento, é possível que mais de um usuário edite simultaneamente o mesmo arquivo com algumas ressalvas:
    • Algumas funcionalidades ficam desabilitadas.
    • Se a mesma célula for alterada por 2 usuários simultaneamente, o segundo usuário que for salvar o arquivo receberá uma notificação solicitando decisão de qual alteração acatar: a sua ou a do outro usuário.
    • A visualização de informação alterada pelo outro usuário aparecerá apenas no momento do segundo usuário salvar o arquivo, dando antes a mensagem citada no item anterior. Antes desse momento, não é possível conhecer os valores alterados pelo outro usuário.
    • Uma sugestão é compartilhar apenas na fase do preenchimento de células de coleta de dados. Para alteração de fórmulas e outras manutenções, desabilitar a opção de compartilhamento. Esse preenchimento deveria seguir um critério de sequenciamento ou de divisão de células ou pastas entre os diferentes usuários, reduzindo a necessidade de ‘desempate’ ao serem alteradas as mesmas células.
  • Trilha: O Excel armazena o histórico de alterações (quando e quem, por exemplo) mediante prévia configuração de dias de retenção.
  • Gravação: A atualização não é feita por pastas ou células, mas o arquivo como um todo.
  • Visibilidade: Há opções de gravar o arquivo com senha de forma que sua abertura só é permitida aos usuários conhecedores dessa senha.
  • Proteção: Há opções de proteger células, tais como onde estão fórmulas e funções, a fim de que não sejam digitadas informações sobre elas por engano.
  • Programação: É possível programar ‘macros’ com recursos do VBA, apresentando telas mais interativas e acabamento personalizado para coleta de dados, por exemplo.
  • Conexão a outras bases: acesso às informações pelo Excel, no formato de planilha, da base de dados gravados em outras fontes, tal como um banco de dados.

Documentação do processo de monitoramento de indicadores

Essa estrutura essencial pode ser suficiente para organizações de menor porte quanto ao ferramental, contemplando alguns incisos dos artigos 5º, 7º e 8º da Resolução 4.557. Mas nem tudo são flores:

  • Serão necessários investimentos em disciplinar o uso de e-mails, sincronizar e sequenciar a atualização de arquivos compartilhados, bem como ampliar manutenção dessas bases (limpeza de caixas de e-mail, planilhas eletrônicas com trilha, etc).
  • Quanto mais dependente da conscientização e disciplina pessoal, mais documentado deverá ser o processo para facilitar o treinamento e reduzir a curva de aprendizagem.
  • Com uma quantidade maior de pessoas ou diferentes áreas envolvidas, esse processo apresentará vulnerabilidades que trataremos na parte 2 do próximo artigo.
  • Após mais de um ano da publicação da Resolução 4.557, documentar alguns processos, sobretudo do próprio gerenciamento de riscos, pode ser uma exigência mínima a ser avaliada com sua respectiva evidenciação, qualquer que seja o porte da instituição.

Por: Yoshio Hada

Fontes: Resolução 4.557/17 – www.bcb.gov.br – normativo 4557 2017

 

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.