Últimas visões de Alex Sidorenko sobre como a “inovação”, falta de competências e os consultores estão matando o gerenciamento de riscos em organizações não-financeiras e o que vem por aí atualizado em 2019 especificamente para Strategicrisk https://www.strategic-risk-europe.com/risk-management-used-to-be-a-science-then-it-became-an-art-whats-next/1429754.article.

Primeiro havia ciência…

Algumas fontes sugerem que a teoria da probabilidade surgiu nas apostas e nos seguros marítimos. Em ambos os casos a ciência era primariamente usada para ajudar pessoas e empresas a tomar melhores decisões e consequentemente ganhar dinheiro. Gerenciamento de riscos usava ferramentas matemáticas disponíveis na época para quantificar o efeito da incerteza em decisões e suas aplicações eram bem pragmáticas.

Bancos e fundos de investimentos começaram a aplicar o gerenciamento de riscos e eles também estavam usando isso para fazer melhores avaliações, decisões de investimento e ganhar dinheiro. Gerenciamento de riscos na época era bem científico. H. Markowitz, M. Miller, W. Sharpe ganharam o prêmio Nobel em 1990 pelo CAPM (Capital Asset Pricing Model), uma ferramenta que foi também usada para gerenciamento de riscos. Isso não significa que gerenciamento de riscos sempre teve precisão ou foi uma ferramenta criada para erradicar tendências humanas, veja só o caso do LTCM (Long-Term Capital Management), mas uma coisa certa foi que os gerentes de riscos aplicaram as últimas tendências em teoria da probabilidade e usaram sofisticadas ferramentas para ajudar empresários a ganhar dinheiro (seja pela geração de novos fluxos de caixa ou protegendo os já existentes).

Então gerenciamento de riscos se tornou uma arte…

Então veio a mudança de empresas não financeiras e entidades governamentais. E foi aí que o gerenciamento de riscos começou a se tornar mais uma arte do que ciência.

Algumas dessas razões por trás dessa mudança foram indiscutivelmente:

Falta de dados confiáveis para quantificar riscos (Douglas W. Hubbard em seus livros realmente provaram não ser verdade). Hoje, há literalmente nenhuma desculpa para não quantificar riscos em qualquer tipo de organização.
Falta de demanda do mercado. Muitas empresas não financeiras na época eram menos sofisticadas em termos de planejamento, orçamentação e tomada de decisão. Então muitos executivos nem pediam aos gerentes de riscos para prover análise de riscos quantitativos para ajudá-los a tomar decisões. E quem pode culpá-los, quando auditores externos, auditores chefe, agências de risco e agências regulatórias estavam pedindo por relatórios de apetite de riscos (inúteis quando nos referimos a aplicações práticas), relatórios de riscos (frequentemente desconectados de tomada de decisão e gerenciamento de performance) e frameworks de gerenciamento de riscos ao invés de checar como as decisões de negócio eram feitas.
Falta de gerentes de riscos competentes. Como consequência, muitos gerentes de riscos se tornaram “soft” e “fofinhos”, não tendo as habilidades ou bagagem necessária para quantificar riscos e mensurar seus impactos nos objetivos e decisões de negócio. Por exemplo, ainda é surpreendente para muitos que aparentemente multiplicam impacto por probabilidade que isto não faz o menor sentido e leva a más decisões. Além do mais, muitos gerentes de riscos foram impelidos a carreira por conta das áreas de auditoria, contabilidade ou outras áreas.

Isso era aceitável para a época e era parte da curva de aprendizado, acredito eu, e muitas das empresas não financeiras rapidamente aprenderam quais riscos quantificar e como. Outras empresas que falharam em amadurecer, geralmente perderam interesse em gerenciamento de riscos, ou devo dizer que nunca viram seu real valor.

Hoje é apenas uma bagunça…

O que eu estou vendo hoje, no entanto, não é nem um pouco notável.

Ao invés de ser pragmático, simples e focado em ganhar dinheiro, gerenciamento de risco se tornou numa “terra de jargões”. Se você está lendo isso e pensando: “Espere um momento Alex, velocidade em riscos é importante, organizações devem ser resilientes em riscos, gerenciamento de riscos é sobre oportunidades e riscos, apetite em riscos, capacidade e tolerâncias devem ser quantificadas e discutidas no nível de “board” e risco inerente é útil”. Parabéns! Você deve ter perdido contato com a realidade de negócio e pode estar contribuindo pro problema.

Eu agrupei meu pensamento em quarto áreas problemáticas:

А. Há literalmente nenhum link entre entre ciência moderna e gerenciamento de riscos de negócio

Hoje, até as mais avançadas organizações não financeiras usam as mesmas ferramentas de gerenciamento de riscos (árvores de decisão, Monte Carlo, testes de stress, análises de cenários) criadas nas décadas de 40 e 60. Ainda essas pesquisas de décadas atrás, junto com ferramentas que foram experimentadas e testadas por anos são majoritariamente ignoradas pela maioria dos gerentes de riscos do setor não financeiro.

Ironicamente, muitas organizações usam ferramentas como cenários, árvores de decisão e simulações de monte carlo (desenvolvidas em 1946 por sinal) para forecasting e pesquisa, mas não é o gerente de riscos que faz isso. A mesma coisa pode ser dita sobre a pesquisa em tomada de decisão e qualidade da decisão. Quase 50 anos de idade, e ainda bastante ignorada pelos gerentes de riscos.

Tem muitos anos também desde a última vez que eu vi um cientista apresentar em qualquer evento de gerenciamento de risco e compartilhar novas maneiras ou ferramentas para quantificar riscos associados aos objetivos de negócio. Esse evento é uma exceção aliviadora a regra: https://www.probabilitymanagement.org/annual-conference. Mesma coisa pode ser dita sobre a má qualidade em geral das pesquisas de pós graduação publicadas no campo de gerenciamento de riscos.

Gerenciamento de riscos moderno está desconectado das operações de negócio do dia a dia e tomada de decisão

A menos que estejamos falando sobre empresas sem fins lucrativos ou entidades governamentais, o objetivo é simples – fazer dinheiro. E enquanto ganha dinheiro, toda organização se depara com muita incerteza. Afortunadamente os negócios tem uma gama de ferramentas que ajudam a lidar com incerteza, ferramentas como planejamento de negócio, forecasting de vendas, análise de precificação, orçamentação, análise de investimento, gerenciamento de performance e por aí vai.

Porém, ao invés de integrar em tudo isso acima, gerentes de risco frequentemente escolhem seguir no seu próprio caminho, criam um universo paralelo, especificamente dedicado aos riscos (muito ingênuo eu acho):

Criando um framework de gerenciamento de riscos ao invés de atualizar políticas e procedimentos existentes para estar alinhado com os princípios de gerenciamento de risco da ISO 31000:2018
Conduzindo workshops de risco ao invés de discutir os riscos durante a formulação da estratégia ou reuniões de business planning
Performando análises de riscos isoladas ao invés de calcular riscos com os orçamentos ou modelos de projeto e financeiros existentes
Criando planos de mitigação de riscos ao invés de integrar mitigação de risco em planos de negócio e KPI´s existentes
Reportando níveis de risco ao invés de reportar KPI´s em risco, Fluxo de caixa em risco, Orçamento em risco, Cronograma em risco
Criando relatórios de riscos separados ao invés de integrar informações de risco em relatórios gerenciais normais, e por aí vai…

Gerenciamento de risco se tornou um objetivo em si mesmo. Executivos de setores não financeiros pararam, ou talvez nunca tenham visto gerenciamento de risco como uma ferramenta para ganhar dinheiro. Gerentes de risco não falam, muitos sequer entendem linguagem do negócio ou como as decisões são tomadas em uma organização. Análise de risco é frequentemente ultrapassada e quando os gerentes de risco absorvem isso, importantes decisões de negócio já foram realizadas. Se decisões são tomadas todos os dias, que benefício uma análise trimestral de risco traz?

Gerentes de risco continuam a ignorar a natureza humana

Apesar de uma extensa pesquisa conduzida pelo ganhador do prêmio Nobel D.Kanehmman, seu colega A.Tversky e outros, gerentes de risco continuam a usar opiniões de experts, matrizes e mapas de riscos, escalas de probabilidade x impacto, pesquisas e workshops para capturar e analisar riscos. Essas ferramentas não fornecem resultados precisos (levemente colocado), eles nunca forneceram e nunca fornecerão. Apenas pare de usá-los. Há melhores ferramentas para integrar análise de risco com tomada de decisão. Mapas de calor sobretudo tem grandes erros de design que fazem seus outputs serem no máximo palpites de sorte, equívocos enganosos na pior hipótese. Apenas dê um google “the risk of using risk matrices” se você não acredita em mim.

Criar uma cultura de consciência de riscos é crítica para qualquer sucesso em organizações, mesmo que tão poucos gerentes de risco modernos investem nisso. Ao invés de fazer workshops de risco, gerentes de risco devem ensinar aos funcionários sobre precepção de riscos, viés cognitivo e como integrar análise de risco em suas atividades do dia a dia e tomadas de decisão. Douglas Hubbard e Gerd Gigerenzer fornecem simples, porém efetivas soluções para explicar os vieses e as vezes usá-los em nossa vantagem.

Gerentes de riscos estão muito ocupados perseguindo o unicórnio

Ao invés de se manter com o básico e fazê-los trabalhar, muitos estão muito ocupados caçando os últimos “jargões” e “inovações”. Lembre-se, como “resiliência” era uma grande coisa alguns anos atrás, antes disso eram os “riscos emergentes”, também “inteligência de riscos”, “agilidade”, “riscos cibernéticos”, a lista é grande. Parece que nós estamos tão ocupados tentando encontrar um novo inimigo todo ano que nos esquecemos de fazer o básico corretamente. No momento, risco de “cyber attacks” é aparentemente a coisa mais assustadora do planeta. E não tomadas de decisão erradas, que levam a um aumento da exposição a ataques cibernéticos, assim como outras implicações. Não, são os riscos de ataques cibernéticos em si que, aparentemente, nós necessitamos mensurar e mitigar.

Consultores e alguns fornecedores de software parecem estar dominando a agenda de gerenciamento de riscos. Você não ficaria nem um pouco preocupado se uma empresa farmacêutica estivesse nos diagnosticando e nos prescrevendo as pílulas?

#ChangingRisk. O que vem por aí?

Eu acho que é o momento de voltarmos para o básico e tornar novamente o gerenciamento de riscos uma ferramenta que ajuda a tomar decisões e ganhar dinheiro. Aqui vão algumas sugestões:

Identificar as práticas de gerenciamento de riscos que podem ser classificadas em RM1 (A explicação do RM1 está aqui https://riskacademy.blog/2018/05/02/rm1-vs-rm2-which-side-will-you-choose/
Minimizar o esforço gasto no RM1
Começar a mudar o jeito que decisões importantes de negócio são realizadas para incluir um elemento de gerenciamento de riscos.
Em toda oportunidade, integrar gerenciamento de riscos em processos existentes, reuniões, comitês, relatórios, etc, ao invés de criar um universo riscos separadamente.