A matriz de riscos é uma ferramenta capaz de proporcionar um overview ao gestor de risco, ao conselho e aos gestores nos diversos níveis dos principais riscos de determinada organização e somente isto. Saber a dimensão de cada risco em termos de probabilidade (frequência) e impacto (severidade) é o mínimo que um gestor de risco, um membro de conselho ou qualquer gestor em qualquer nível deva saber.
Normalmente, as matrizes de riscos são compostas por 2 eixos: Probabilidade X Impacto. Teoricamente, basta calcular a probabilidade de ocorrência de cada risco e seu impacto para se ter a matriz. Entretanto, excetuando-se as seguradoras, resseguradoras, corretoras e instituições financeiras, base de dados confiáveis é um artigo raro no Brasil. Para tal, pode ser estimada a probabilidade por meio de modelos qualitativos. As empresas de consultorias costumam a possuir alguns modelos semiprontos. Cabe lembrar, que definir um modelo qualitativo efetivo, não é tarefa simples. Não raro, vemos matrizes de risco no mercado, confeccionadas por empresas de consultoria de primeira linha que nem de longe correspondem a realidade.
Tive a oportunidade de verificar matrizes com riscos considerados raros (tipo incêndio e explosão) apresentando estimativas de probabilidade acima de 50% e com impacto catastrófico. Ao contrastar estes riscos com as bases de dados das seguradoras, nem de longe faziam sentido. Dificilmente, qualquer organização consegue permanecer ou até mesmo sobreviver com riscos de impacto considerados alto ou muito alto que apresentem uma probabilidade alta por um longo ou médio período de tempo. Por um motivo muito simples, rapidamente ela desiste de operar com este tipo de risco (declina operações que apresentem este risco), ou sofre um impacto tão significativo que ajusta seus sistemas de proteção para estarem adequados a estes riscos ou simplesmente quebram.
Os maiores erros na definição da estimativa de probabilidade de um risco para modelos quantitativos ocorrem quando nossa base de dados não é confiável ou quando modelamos erradamente utilizando modelos de distribuições inadequados. Por exemplo, possuímos eventos raros (tipo explosão de reatores nucleares) que não são em números suficientes para aplicar uma distribuição normal e mesmo assim ela é aplicada.
Para modelos qualitativos, o erro mais comum é considerar que as variáveis possuem o mesmo peso ou achar que todos os riscos possuem as mesmas variáveis causais. Isto é muito comum quando se aplicam modelos já prontos.
Uma boa prática a ser adotada pelos gestores é questionar qual o modelo que foi utilizado, as variáveis adotadas e a equação que foi empregada para a definição de cada risco, qual a logica e o racional utilizado para definir o modelo. A simples comparação da matriz com a realidade vivida e o conhecimento de especialistas mais experientes permite dizer muito sobre a credibilidade do sistema que foi utilizado para confeccionar a matriz.
Modelos como Simulações de Monte Carlo mostram-se bastante úteis em alguns casos, contudo exige-se conhecimento específico e nem sempre encontramos profissionais aptos a operarem tais modelos.
Para a definição do impacto, o erro mais comum é não se levar em conta outras variáveis além do valor contábil puro e simples. Os impactos para imagem, marca, credibilidade, legais, entre outros pontos, devem de alguma forma ser capturados nesta quantificação.
Outro erro bastante comum é atrelar o impacto financeiro ao impacto que a concretização de tal risco afeta o EBTDA pura e simplesmente, sem levar outras variáveis ou indicadores em consideração. Cabe lembrar que o EBTDA permite capturar algumas variáveis financeiras, tais como o que afeta de lucratividade, mas que o principal causador de quebra de um negocio é a falta de liquidez e para tal existem indicadores mais interessantes que este.
A matriz de riscos define as dimensões dos riscos em termos de Impacto X Probabilidade, mas saber as dimensões dos riscos não evita que os riscos venham a se concretizar, não diminui a probabilidade da ocorrência dos mesmos e nem tampouco o seu impacto.
O gestor de risco, após analisar detalhadamente cada risco que está plotado na matriz de riscos deve verificar quais sistemas de proteção existem para cada risco, analisando a efetividade de cada um.
Para uma análise adequada, o gestor de riscos, além da matriz de riscos, necessita ter uma tabela de avaliação dos seus sistemas de proteção definindo a a efetividade de cada um. Dessa forma, ele poderá contrastar o risco (em termos de impacto e probabilidade) com a efetividade do sistema de proteção para aquele determinado risco.
O problema básico não está em ter um risco alto, mas sim em possuir um grau de risco alto aliado a um sistema de proteção com nível de vulnerabilidade elevado. Mal comparando as consequências de um risco de acidente de bicicleta são bem menores que de um risco de acidente automobilístico, logo, temos sistemas de proteção nos automóveis bem mais sofisticados e robustos (ABS, Air Bags, EBD etc.) se comparados aos disponíveis nas bicicletas. A mesma similaridade é válida quando comparamos automóveis com aeronaves ou quando comparamos usinas hidrelétricas com usinas nucleares.
Resumidamente poderíamos dizer que o problema não é possuirmos riscos altos, mas sim possuirmos riscos altos com sistemas de proteção que apresentem alto índice de vulnerabilidade. Ou seja, a matriz não resolve o problema, ela simplesmente fornece uma dimensão do problema. A solução passa por uma avaliação da coerência existente entre o grau de determinado risco e o nível de efetividade dos sistemas de proteção para impedi-lo, aliado a definição de um plano de ação para a mitigação desses riscos de forma consistente.
Fora isto, a matriz não passará de uma fotografia estática dos riscos e sem efeito prático nenhum.
Artigo escrito por Nelson Ricardo Fernandes da Silva
Inscreva-se no Curso Fórmula de Implantação de Gestão de Riscos: Programa Completo (exclusivo para associados GRISTEC). Basta clicar aqui.
Dúvidas? Fale com a gente: (11) 3807-3397
