Parece que está na moda falar sobre gerenciamento de risco hoje. Esta é uma grande notícia, porque quanto mais pessoas trabalham pensando nos riscos, melhor para a divulgação da gestão de riscos entre as companhias. Há uma ideia recorrente que gerir riscos de modo estruturado é apenas custos, gera overhead e não agrega valor. A discussão continua pressionada muitas vezes pelo regulador é saudável para o ajuste do modelo e aperfeiçoamento da prática. (porque é melhor?). Mas há um mal-estar com a gestão de riscos hoje, que oscila entre a ideia de um mal necessário e um conjunto de expectativas de “risco como um serviço”. Esse mal-estar se revela em casos onde o regulador obriga que estruturas de gerenciamento de GRC sejam implantadas versus a real necessidade de ter uma estrutura tão cara. O modelo de “risk as a servisse” encontra as mesmas resistências da terceirização de atividades consideradas CORE. A doutrina sugere que GRC seja vinculado ao C-level ou ao Board. Como conciliar essas visões de custos versus eficiência versus doutrina? (não entendi a relação de risco como serviço com mal-estar). A verdade, como sempre, está nos detalhes.
Até o momento, nenhum grupo de auto-regulação centralizado e amplamente aceito surgiu na gestão de riscos, com a espinhosa missão de definir uma linguagem comum para o risco a língua de risco. A gestão de riscos tem se desenvolvido a partir do zero com um conjunto diversificado e eclético de padrões de risco especializados que abrangem indústria, governo, entidades soberanas e os militares. Cada mercado e cultura organizacional entende os riscos de um modo especifico, tornando difícil a unificação e a centralização de entidades normativas e de regulação comum.(não consegui relacionar essa última frase com o restante do parágrafo)
A gestão de riscos tornou-se “pop” e muito confusa também!
Devemos criar uma doutrina unificada e codificada de riscos?
O modo como uma organização define seus riscos molda as expectativas e deveres de um gestor de riscos. Como qualquer iniciativa de mercado, medimos um programa de gestão de risco, em grande parte, pelo sucesso dos seus resultados. Todos os programas de risco muitas vezes começam com uma definição de riscos, mas não conseguem definir claramente os resultados esperados do programa.
As definições vagas de resultados de risco são facilmente identificadas por declarações como “sem surpresas”, “pró-ativa” e “olhar do dono.” Mesmo prescrições regulamentares, como “prevenir, detectar e corrigir” são menos que informativas.
Seriam estes conceitos realistas ou reflexos dos desejos da gestão e dos reguladores para não lidar de fato com a incerteza e a confusão de uma avaliação ruim ou de uma norma ineficiente?
Incertezas, seus resultados e impactos – por definição – não podem ser antecipados, principalmente quando se trata dos caprichos do comportamento humano e de eventos aleatórios que podem interromper as operações (ambos grandes forças da natureza – talvez qualificados como desastres naturais). Quando os eventos inesperados acontecem, em geral não é uma falha do programa de risco. Alguns eventos são aleatórios e de consequência imprevisível. O risco acontece, mas, muitas vezes, o exercício de adivinhação, inevitável no programa risco, se torna um esporte competitivo dentro e fora das organizações. Esse exercício de adivinhação, de racionalização e de convencimento torna as áreas responsáveis por gerenciar os riscos (todas as 3 linhas de defesa dos modelos – padrão) competindo internamente para saber quem tem razão e mais especificamente, quem consegue “ganhar o jogo do convencimento” dentro da companhia. (não ficou muito clara a última frase, no contexto do parágrafo. Qual a implicação do esporte competitivo?)
O uso impreciso da linguagem dos riscos levou a expectativas irrealistas com resultados arriscados. E, no entanto, uma codificação de gestão de risco pode ser fácil na teoria, mas pouco prática no mundo real.
Os seres humanos, incluindo os gestores de risco, ainda são propensos a erro de julgamento e não evoluíram suas habilidades para “prevenir e detectar” incertezas antes que aconteçam. O hábito de avaliar a qualidade de um programa de risco é parte do processo de melhoria, mas não deve se confundir os papeis exercidos. O gerenciamento de riscos foca no processo de como lidar com os riscos, garantindo que eles sejam tratados de forma consistente e estruturada, enquanto os riscos derivados do “ fazer negócios” é atribuição de quem opera de fato a atividade. Em geral a crítica acontece quando as estruturas e sistemas não conseguem antecipar um evento incerto. Agir assim é como esperar que a gestão de riscos seja capaz de prever com precisão o clima, 100% do tempo. Nós brincamos quando a “moça do tempo “exagera as condições adversas de sua previsão, mas carreiras não são arruinadas se a tempestade é mais ou menos grave do que o esperado. Nesse caso opta-se por errar “para mais”, afinal todos ficam felizes quando a chuva é menor do que a esperada.
Talvez, o próximo marco na gestão do risco seja a de um maior reconhecimento do comportamento humano – aceitar nosso comportamento como ele de fato é e não como esperamos que seja. A Economia Comportamental, recentemente muito premiada com vários prêmios Nobel, tenta abrir nossos olhos para o fato que não somos, nem de longe, racionais o tempo todo, nem a maior parte do tempo. Apontam aí a falha fundamental da economia: como disciplina que tem o poder de alterar o futuro com suas previsões (abra o jornal e veja o impacto de relatórios e opiniões positivas e negativas nos mercados), não deve usar o Homus Economicus, puramente racional, como parâmetro para modelos e teorias.
Há benefícios claros nos padrões e em adotar uma linguagem comum na gestão de riscos. O desenvolvimento de padrões de risco e estruturas ampliou a consciência do risco. Permitiu ainda entender como lidamos com o risco, como vamos reagir a ele e principalmente nos possibilita comparar e corrigir caso não tenha dado certo. Menos bem entendida é a diferença entre riscos e eventos incertos.
Padrões e estruturas são menos sensíveis a riscos em tempo real. É instrutivo que o comportamento humano seja difícil de prever. Talvez mais instrutivo seja o fato de que a maioria das organizações não antecipam que a incerteza, não o risco, é o grande fator de falha nos resultados organizacionais.
O que é a gestão de riscos?
Não surpreendentemente, se você pesquisar a definição de Enterprise Risk Management, você vai ter mais de duas dezenas de versões ligeiramente diferentes. Que outra profissão tem 24 ou mais definições diferentes para um conceito fundamental?
Risco, é complicado.
Deixe-me dar um exemplo de uma definição para Enterprise Risk Management de um consultor na indústria de cuidados de saúde. Um depoimento verdadeiro:
“O meu papel na gestão de riscos em saúde foi focado formalmente em reivindicações (claims) e controle de perdas. Com o tempo, o gerente de risco se formou dando um foco ampliado de risco clínico-hospitalar. Infelizmente, a posição permaneceu reativa ao invés de pró-ativa, com atuação em [listas de inspeção de check …mas a abordagem de gestão de risco corporativo de hoje deve ser de todo o sistema, incluir uma abordagem multidisciplinar e incorporar um aplicativo integrado concebido para abordar riscos em toda a continuidade dos cuidados com o paciente, cobrindo toda a experiência dele com os serviços. Bons modelos de ERM devem auxiliar a organização na realização dos seus objetivos, reduzir a incerteza, minimizar a variabilidade do processo, promover a segurança do paciente, maximizar o retorno sobre os ativos e aumentar a preservação de ativos, reconhecendo a diversidade de possibilidades de risco “.
Há gerentes de risco brilhantes trabalhando, e alguns podem realmente ter muitas das habilidades descritas acima. Mas vamos supor que você é essa pessoa, com essas atribuições. Você tem todas as capacidades de alavancagem e de tomada de decisão para realizar todas as atividades e atender as expectativas desta descrição do trabalho? A gestão de risco raramente é considerada crítica para a definição estratégica, determinação do objetivo financeiro e de negócios.
Ao rever cada uma das duas dúzias, ou mais, de definições de gerenciamento de risco corporativo, é fácil entender por que existe tanta confusão, dada a quantidade de descrições obscuras como no exemplo acima.
A gestão de riscos não é um esforço realizado no isolamento de um departamento. A gestão de riscos é o resultado da decisão fundamentada em toda a organização. Mesmo grandes empresas lutam com o desafio de coordenar os esforços de gestão de risco e priorizar a diversidade de riscos que estão se tornando cada vez mais óbvios.
Nem todos os riscos merecem a mesma atenção
Quando as coisas vão mal nas empresas, a “cultura” é normalmente citada como a causa verdadeira, fonte de todos os problemas. No entanto, a cultura corporativa realmente vem sendo desprezada como um controle de governança. Quem é responsável pela cultura de uma organização?
Na maioria das organizações, a alta administração define o tom para o grau de agressividade ou conservadorismo na forma que sua equipe persegue resultados em empreendimentos arriscados. Os incentivos à gestão, muitas vezes determinam qual rota é escolhida, e a gestão de riscos é frequentemente julgada pelo resultado das decisões que operam fora do âmbito de seu escopo, mas acontecem nas decisões do dia a dia daqueles que trabalham na empresa.
A incerteza de escolher entre tantas opções e assumir responsabilidades pelos resultados é o verdadeiro desafio! Por isso a ideia de gestão de riscos e GRC como ferramenta de tomada de decisão informada, com os riscos em mente.
Risco está nos olhos de quem vê!
A pesquisa acadêmica recente mostrou que cada um de nós vê riscos de forma diferente. Chefes de Estado devem lidar com riscos diferentes do que as suas contrapartes em organizações sem fins lucrativos. É realista esperar que um quadro único de conceitos e normas seja capaz de explicar as nuances inerentes a todas as diferentes organizações? Alguns gestores são avessos ao risco, enquanto outros são tomadores de risco. Alinhar a organização com os riscos assumidos é a arte de gestão de risco.
Removendo a Torre de Babel
No mito bíblico, (de modo muito simplificado, me perdoem) Deus, para penalizar os homens por suas continuas desobediências, faz com que cada grupo tenha uma forma de se comunicar, e com isso, não se entendam e passem a vida em confusão (Babel, em hebraico), buscando esse entendimento perdido. Hoje a gestão de riscos é a torre de Babel moderna. Mas não precisa ser assim.
Vamos simplificar a linguagem do risco. Se o risco está nos olhos de quem vê, devemos ser capazes de discutir riscos usando termos que todos entendam. A importância de desenvolver um entendimento comum dos riscos não deve ser subestimada. A falta de acordo sobre os riscos e como os entendemos é uma das principais causas de falhas de execução.
Mas, a fim de simplificar a linguagem de risco, é importante falar sobre eles em termos simples, de como cada risco de fato se apresenta, e qual o resultado da experiência vivida. Talvez esse processo seja longo, exaustivo e para muitos, elucubrações filosóficas sem objetivo prático. Mas vamos dar uma chance ao entendimento. Na pior das hipóteses torna-se uma oportunidade para discutir e pensar a forma de fazer negócios sob um aspecto diferenciado.
Mesmo as pessoas muito poderosas como presidentes e líderes mundiais tem medos, inseguranças e operam na incerteza. Será que as coisas teriam sido diferentes se a comunicação não tivesse sido falha? Nós nunca vamos saber a resposta verdadeira, mas é claro que a gestão de risco, bem como seus gestores e a linguagem usada são tão íntimos quanto qualquer relacionamento humano.
Às vezes, a gestão de riscos é apenas ouvir e ser ouvido, e ver com os olhos do outro.
Este artigo foi escrito pelo Prof. Luiz Fernando Paiva.
Quer saber mais? Nos envie uma mensagem. Estaremos prontos para tirar suas dúvidas.