A ANÁLISE QUALITATIVA E QUANTITATIVA DOS RISCOS IDENTIFICADOS
1 – Linhas iniciais
Seguindo o curso do nosso trabalho que objetiva explicitar, na prática, o processo de gerenciamento de riscos das contratações públicas, chega o momento em que, uma vez identificados e registrados os riscos do projeto, cumpre analisá-los qualitativa e quantitativamente, de modo a que a equipe possa planejar as respostas de modo adequado.
Segundo a Estrutura COSO II, os riscos identificados são analisados com a finalidade de determinar a forma como serão administrados e, depois, serão associados aos objetivos que podem por eles ser influenciados. Avaliam-se os riscos considerando seus efeitos inerentes e residuais, bem como sua probabilidade e seu impacto.
Segundo a norma ISO 31000, O propósito da análise de riscos é compreender a natureza e as características do risco. Ainda conforme a norma, tal análise envolve a consideração detalhada de incertezas, fontes de risco, consequências, probabilidade, eventos, cenários, controles e sua eficácia. Um evento pode ter múltiplas causas e consequências e pode afetar múltiplos objetivos.
A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade, dependendo do propósito da análise, da disponibilidade e confiabilidade da informação, e dos recursos disponíveis. As técnicas de análise podem ser qualitativas, quantitativas ou uma combinação destas, dependendo das circunstâncias e do uso pretendido. Neste trabalho, iremos adotar a análise combinada qualitativa e quantitativa, por entender que é a mais precisa e mais estável para a organização.
O Gerenciamento de riscos tem a finalidade de oferecer respostas para duas perguntas-guia: a) o que pode dar errado ou o que pode não dar certo? b) como enfrentar o perigo ou dele se proteger?
A primeira é respondida na etapa de identificação dos riscos; a segunda, na fase de planejamento das respostas. Todavia, há uma fase intermediária a essas duas que é determinante para que o gerenciamento de risco seja eficaz, que a a etapa de análise qualitativa e quantitativa dos riscos. A atividade de avaliação consiste na mensuração de cada risco de modo que se identifique, com maior grau possível de precisão, quais os perigos aos objetivos do projeto que este risco pode causar.
Assim, para cada risco identificado a equipe deverá se debruçar em medir as chances de o fato se tornar realidade, bem como a extensão dos danos que, em ocorrendo, poderá provocar no projeto. Em outras palavras, estabelecer a relação de probabilidade e impacto do risco. Trata-se da atividade de análise qualitativa dos riscos.
Uma vez estabelecida a relação de probabilidade e impacto, o cruzamento dessas variáveis possibilitará a fixação do nível adequado de resposta a cada risco, o que consiste na análise quantitativa do risco.
Concluídas essas duas etapas, restará viabilizado o desenvolvimento de um mapa de risco priorizado, que permitirá o adequado planejamento das respostas. O enfrentamento inadequado dessa etapa pode tornar o gerenciamento de risco ineficaz, pois poderá indicar uma resposta mais onerosa do que o necessário; ou, por outro lado, tornar frágil a defesa planejada.
A avaliação de riscos pode acontecer tanto através de informações qualitativas como por meio da utilização de dados quantitativos. Todavia, esta análise baseia-se, fundamentalmente no julgamento, na intuição e experiência em estimar probabilidades de ocorrência de potenciais riscos e medir a intensidade de perdas e ganhos potenciais. Quanto mais experiente for a equipe, melhor será a avalaição dos riscos.
2 – Análise Qualitativa dos Riscos
Como dito logo acima, os riscos são avaliados a partir das variáveis probabilidade e impacto, que, conforme conceituam Padoveze e Bertolicci[1], a primeira, “representa a possibilidade de um dado evento ocorrer”; enquanto, a segunda, “representa seu efeito”.
Nada obstante tratar-se de uma atividade que depende da intuição e experiência pessoal de cada membro da equipe, podem ser utilizadas algumas técnicas que tendem a reduzir o grau de subjetivismo dessa etapa do processo, o que também possibilitará a padronização do processo de avaliação para outros projetos.
A exemplo da etapa de identificação e registro dos riscos, esta etapa pode ser empreendida por meio de reuniões de grupo, utilizando as mesmas técnicas descritas (brainstorming, Técnica de Delphi, Entrevistas). Também nesta etapa, a participação de especialistas externos à equipe ou até mesmo à organização pode ser bastante útil, mormente se o projeto avaliado é novo ou inovador na organização, ou se a equipe não for experiente no processo de gerenciamento de riscos.
Figura 1: Tabela de Classificação Qualitativa
2.1 – Investigando a Probabilidade do Risco
Jefferson Duarte[2], em excelente trabalho disponibilizado na rede mundial de computadores, destaca que, em relação às chances de se tornar realidade, nenhum risco “pode ter nível zero (certeza de inexistência), nem 100% (certeza de ocorrência).” Prossegue indicando que, em ambas as situações, não se estaria diante de risco (fato incerto), mas sim, de certezas concretas.
A probabilidade deve ser pontuada de acordo com as informações obtidas pela equipe, levando em consideração o histórico de processos internos e externos análogos ao que está em exame. As conclusões obtidas na etapa de identificação dos riscos podem ser muito úteis nesse momento, pois indicará o número de vezes que aquela situação em tese, se concretizou no MUNDO real. Se um risco foi identificado a partir de um determinado número de ocorrências, pode se ter uma idéia bastante próxima das chances de ele vir a ocorrer novamente; e vice e versa. Como de hábito, um exemplo esclarece a ideia.
É muito frequente encontrarmos órgãos e entidades que estabelecem (não raro, sem nenhum parâmetro ou estudo técnico) um sistema dobrado de controle de legalidade dos processos licitatórios, consistente no exame prévio da minuta do edital pela Assessoria Jurídica (art. 38, par. único, da Lei no. 8.666/1993) e, depois de concluído o julgamento e proferido o resultado, antes de submetê-lo à homologação, nova oitiva do órgão consultivo jurídico.
Como é sabido, somente deve existir controle onde há risco. Logo, esse sistema dobrado de análise de legalidade somente faz sentido se o mesmo tiver por finalidade afastar ou prevenir um risco. Se a minuta do edital já foi aprovada (primeiro controle), mas o julgamento do certame é submetido a nova avaliação de juridicidade, por uma questão de lógica, significa que o risco identificado seria o de o Pregoeiro (ou Comissão) julgar propostas e habilitação em desconformidade com o edital já analisado e aprovado.
Para se saber o grau de probabilidade desse risco vir a se concretizar, mormente por se tratar de um conjunto de atos vinculados (princípio da vinculação ao instrumento convocatório),bastará um olhar sobre o número de processos submetidos ao duplo controle interno de legalidade e o número de processos que tiveram de retornar à fase de julgamento após a segunda análise jurídica. Se, de 100 processos analisados, apenas 10 retornaram, significa que a probabilidade é de 10% de que este risco se torne realidade.
A probabilidade é uma variável que admite seja calculada em percentual. Para auxiliar a equipe e organizar os trabalhos nessa etapa, sugerimos a seguinte matriz:
Figura 2: Tabela de Percentual
Os níveis de probabilidade podem variar conforme o entendimento da equipe. O importante é que seja padronizada numericamente a análise de probabilidade, de modo que cada processo siga parâmetros homogêneos.
Uma vez que estabelecemos os níveis de probabilidade, já se torna possível avaliar cada risco, com base no elenco de experiências internas e externas. Nessa fase, a equipe responsável avaliará os projetos anteriores análogos ao que está sendo examinado, tanto com base nas experiências interna, como nos casos externos. Reforçamos que mesmo que a organização esteja diante de um projeto com largo histórico interno (ex: um contrato de manutenção preventiva de equipamento que já tem mais de 5 anos em execução), é de bom alvitre que sejam ouvidos outras organizações que tenham executado projetos similares. A troca de experiência pode render uma boa visão sobre determinado risco, a partir de circunstâncias que seriam desconhecidas do ambiente interno do órgão. Para organização, sugere-se a tabela abaixo, a partir da qual a equipe poderá pontuar o nível de probabilidade do risco examinado.
Figura 3: Matriz de Probabilidade
Quando o órgão não tiver vivência no projeto que está desenvolvendo e submetendo à análise de riscos, será de enorme importância a equipe ir a campo e investigar junto outras entidades que tenham maior expertise as ocorrências por eles anotadas. Essa, aliás, foi a mesma orientação que demos no trabalho anterior que tratou da atividade de identificação dos riscos.
2.2 – Mensurando o Impacto do Risco
Preenchida a escala de probabilidade, passa-se à mensuração da extensão dos prováveis danos ao projeto, caso o risco se torne realidade. É o momento de avaliar o impacto do risco.
Não é demasiado lembrar que um mesmo risco pode ser causador de múltiplos efeitos. Assim, o resultado da avaliação do impacto irá flutuar também em relação a esse aspecto. Um risco que oferece um determinado efeito será classificado como de menor impacto em relação ao risco que pode acarretar vários efeitos.
O impacto deve ser classificado de modo escalar em relação à extensão dos prejuízos que pode provocar. Uma proposta seria determinar a seguinte escala de níveis de impacto: muito alto (dano grave e irreversível, podendo ocasionar o cancelamento do projeto), alto (compromete consideravelmente o resultado do projeto, resultando em atrasos, insatisfação do cliente, etc.), moderado (prejuízo temporário, que pode ser corrigido, mas traz impacto no escopo ou prazo do projeto), baixo (mudança de rota nos escopos do projeto, de fácil correção), e muito baixo (não gera problema para o projeto, podendo ser ignorado na maioria dos casos).
Se a pontuação de probabilidade admite, em boa parte dos casos, uma avaliação cartesiana, com base em números percentuais, a lógica se inverte em relação à variável impacto, ou seja, somente em uma minoria de casos, é que se será possível uma mensuração numérica. Afinal, como já dito antes, tal avaliação atrairá um forte elemento subjetivo, dependente de fatores relacionados à experiência e intuição do analista.
De modo a reduzir o grau de subjetividade da análise a padrões mais confiáveis, a mesma deve ser realizada individualmente sobre os elementos condicionantes típicos de um projeto: custo, cronograma, escopo e qualidade. Ademais disso, se no momento de atribuir a gradação de impacto do risco a análise for pensada de forma global, o resultado tende a ser impreciso.
O custo deve ser calculado nominalmente, levando-se em consideração todas as despesas e recursos envolvidos no projeto, inclusive as horas/homem que serão consumidos pela equipem de desenvolvimento. O cronograma é o prazo para que o projeto produza os benefícios para o qual está sendo desenvolvido ou o tempo necessário para atrair o resultado esperado. Se um determinado serviço está sendo contratado para atender a uma meta do planejamento estratégico, o ponto de observação é a data da meta estabelecida. Já o escopo se traduz nos objetivos imediatos e mediatos que o projeto visa alcançar. E, finalmente, a qualidade diz respeito à capacidade que o objeto do projeto, uma vez produzido, tem para satisfazer o cliente.
Bom que se esclareça que utilizamos o termo ‘cliente’ para designar aqueles a quem os objetivos do projeto devem atingir. Assim, não se está relacionando necessariamente a uma atividade empresarial. Um órgão Público presta serviço e tem, na sociedade, ou em uma parcela desta, seus clientes. Se o setor de compras de uma unidade organizacional realiza um processo de aquisição de material de expediente para reposição de estoque, o cliente desse projeto é o universo de empregados e colaboradores que dependem desse material para realizar as suas atribuições de rotina.
Abaixo, uma proposta de Matriz de Impacto do Risco:
Figura 4: Matriz de Escala de Impacto
Uma vez pontuado, a equipe obterá a média ponderada do nível de impacto do risco examinado.
É importante destacar que as técnicas matemáticas podem conduzir a uma falsa impressão de precisão e confiabilidade. Pode ocorrer que em um projeto, o impacto de um determinado risco em relação ao cronograma seja muito alto, mas os demais sejam baixo ou muito baixo. Na média final, o risco seria classificado como de impacto médio, o que pode ser uma classificação aquém da realmente necessária. Uma solução seria a equipe atribuir pesos distintos para cada um dos elementos de avaliação do risco. Nesse caso, a equipe poderia atribuir peso 2 para o cronograma, fazendo com que a média seja mais precisa em relação ao cômputo total.
2.3 – Perfil de análise: risk takers e avessos ao risco
Uma reflexão importante que se deve fazer antes de realizar a análise qualitativa dos riscos diz respeito em como o analista se comporta diante dos riscos. Existem pessoas mais avessas ao risco e outras mais propensas a ele. Trata-se de uma característica da personalidade humana, e que muitas, não raro, são desconhecidas da própria pessoa. Há inúmeros estudos científicos que procuram estudar o comportamento do indivíduo frente aos riscos. Em gerenciamento de riscos, é possível identificar o indivíduo em duas categorias: o avesso ao risco; e, o tomador de risco (risk takers).
O avesso ao risco é aquele que, diante de um risco, toma medidas de proteção e mitigação proporcionalmente muito superiores ao potencial destrutivo do evento. Costuma adotar critérios e sistemas de controle muitas vezes por antecipação, isto é, sem que haja, efetivamente, um risco a ser controlado. Para gerenciamento de projeto, esse comportamento precisa ser evitado, pois tende a criar um custo operacional desnecessário, aumentando a burocracia e o tempo de resposta que a ação deveria oferecer. Tomando novamente o exemplo dado no capítulo 2.1 deste trabalho (duplo controle de legalidade do processo licitatório), vamos chegar facilmente à conclusão de que o gestor que criou o sistema dobrado acarretou para o órgão um excesso de burocracia e custo que impacta diretamente na eficiência administrativa. Basta dizer que a Assessoria Jurídica teve de examinar duas vezes o mesmo processo, o que provavelmente, em razão do acúmulo de trabalho, adiou a emissão de pareceres e, com isso, adiou também a própria providência.
O tomador de risco (risk takers) é o indivíduo que aceita um grau maior de risco. Cria menos proteção do que deveria, colocando em xeque a viabilidade do projeto. Em geral, são as pessoas que acreditam que nada pode dar errado. Com salvaguardas frágeis, pode levar ao projeto um prejuízo irreparável. Na Administração Pública têm um histórico de não se planejar para as ações. Ao invés de gerenciar riscos, se restringem a gerenciar crises. Estes indivíduos são os clássicos tomadores de risco.
Todavia, a experiência tem demonstrado que aqueles que, antes, não gerenciavam riscos, ao começar a fazê-lo, assumem o perfil diametralmente oposto, ou seja, se transformam em avessos ao risco. Essa característica surge justamente no momento em que a equipe, com pouca experiência, pontua as variáveis de probabilidade e, principalmente, a de impacto, classificando com maior rigor um risco que aceitaria escala mais branda.
Claro que nenhum dos dois comportamentos são adequadas, sendo o meio termo o ideal. Não se devem criar controles desnecessários; tampouco deixar de controlar adequadamente. O equilíbrio, sem dúvida, virá com a experiência. A recomendação que se faz é a de que, diante da dúvida no momento da avaliação qualitativa, opte-se pela pontuação mais branda em detrimento da mais rigorosa, aumentando o rigor no monitoramento. Assim, é possível acompanhar e reavaliar as estratégias de respostas aos riscos no momento em que passa a ser necessário, mas evita crias controles exagerados.
3 – Análise Quantitativa dos Riscos
Trata-se do processo de analisar numericamente o efeito dos riscos identificados, nos objetivos gerais do projeto. Esta análise é realizada com o cruzamento dos resultados obtidos para as variáveis probabilidade e impacto na fase de análise qualitativa. Este processo visa identificar o efeito desses eventos de riscos e é usado para atribuir uma classificação numérica a esses riscos individualmente. A partir do resultado dessa análise, se terá definida a estratégia de resposta que deve ser adotada em cada risco.
3.1 – Estratégias de Respostas aos Riscos
Estabelecer o nível de resposta aos riscos significa atribuir uma valoração em termos de ações preventivas e de contingência. Ao estudarmos o comportamento humano diante dos riscos, no capítulo 2.3 supra, vimos que respostas extremamente rigorosas ou frágeis não são adequadas. Cada resposta deve ser proporcional ao efeito que o risco causa no projeto. O mais usual nas várias modelagens é a atribuição de cinco níveis de estratégia de resposta: monitorar, aceitar, mitigar, eliminar etransferir..
Monitorar o risco é acompanhar o seu movimento, ou seja, ficar atento à sua evolução, sem, contudo, desenvolver qualquer tipo de resposta. Uma vez que se trata de um risco de efeitos quase insignificantes, qualquer modelagem de resposta poderia acabar tornando o processo mais dispendioso do que o próprio efeito negativo que ele venha a provocar caso ocorresse.
Alguns autores defendem a ideia segundo a qual, os riscos de resultado insignificante podem ser ignorados. Todavia, como o processo de gerenciamento de risco envolve a etapa de monitoramento, consideramos ser de melhor alvitre que a equipe não ignore nenhum risco. Afinal, a Administração não é uma ciência estanque e as circunstâncias gerenciais podem sofrer mutações repentinas, dependendo de fatores internos ou externos. Basta lançarmos olhar crítico sobre as recentes tragédias envolvendo o rompimento de barragens de rejeito de minério no Estado de Minas Gerais. As companhias responsáveis, certamente, tiveram de rever todo o seu processo de gerenciamento de riscos e reclassificar vários deles e em todos os níveis, dado a extensão e os desdobramentos sob o ponto de vista corporativo que passaram a ter de administrar.
Aceitaro risco é a estratégia a ser utilizada para aquelas ameaças que possuem baixo poder destrutivo e que admitem respostas com baixo custo. É destinada aos riscos que causam algum prejuízo, suportável, e que podem encontrar respostas de custo proporcional. Se, todavia, não for possível encontrar respostas que sejam compensadoras em relação ao prejuízo a ser suportado em caso de ocorrência do evento, estes riscos podem ser apenas monitorados.
A diferença de tratamento entre as estratégias de monitorar e aceitar é que na primeira, a equipe apenas fará o registro e monitoramento. Não consumirá esforços para refletir sobre possíveis respostas. A segunda vai exigir da equipe reflexão sobre possíveis respostas e, caso as encontre, irá implementá-las. Só deixará de se debruçar sobre os riscos que se enquadrarem nessa categoria se as respostas encontradas não forem compensadoras frente ao prejuízo a ser eventualmente suportado
Mitigaréreduzir a probabilidade e/ou o impacto de um risco até um nível que possa ser considerado aceitável. Significa que a equipe deve buscar e implementar respostas que diminuam ou elimine os prejuízos ao projetos no caso de ocorrência do evento danoso. Via de regra, os riscos que se enquadram nessa categoria admitem ser reduzidos para níveis aceitáveis, não sendo necessário eliminá-los, pois, com as respostas de mitigação, se tornam suportáveis pela organização. Mas não admitem ser apenas monitorados, pois seus prejuízos já são considerados significativos.
Eliminaré a estratégia destinada a alterar o plano do projeto para eliminar totalmente o risco, protegendo os objetivos do projeto dos impactos deste risco eliminado. Os riscos assim classificados não admitem medidas que apenas reduzam seus impactos, pois, mesmo que sejam reduzidos jamais acabariam em níveis aceitáveis. A resposta para esse riscos deve ser a eliminação total ou a transferência do risco para terceiros.
Transferiré a estratégia destinada a entregar a um terceiro o risco que originalmente é da organização. Pode ocorrer da transferência não eliminar o risco, como nos casos em que se contrata um seguro para cobrir uma ameaça. Por exemplo, o risco de furto de um automóvel não é eliminado com a contratação de um seguro. Ele continua existindo, porém ele foi transferido para a seguradora, que, caso ocorra o evento danoso (furto) terá de suportar os prejuízos. Daí porque se diz, no campo securitário, que a seguradora, ao expedir a apólice, “comprou” o risco.
Porém, haverá casos em que a transferência do risco o elimina, mas acarreta outro risco (efeito colateral), porém, suportável pela organização. Ou seja, o ato de transferência faz desaparecer o evento danoso hipotético, fazendo surgir outro evento possível. Vamos a outro exemplo.
Um órgão que contrata serviços de limpeza, higiene e conservação sem inclusão de cláusula que obrigue a contratada a fornecer o material de limpeza, atrai para si os riscos relacionados ao processo licitatório que irá desenvolver para ela própria adquirir tais insumos, tais como: demora na conclusão do processo licitatório; atraso na entrega do material; preços acima da média do mercado, entre outros. Para afastar estes riscos, a resposta seria incluir cláusula no contrato, transferindo para a contratada o fornecimento dos insumos de limpeza junto com a execução dos serviços. Assim o fazendo, aqueles riscos desaparecem. Todavia, surgem outros, mas de menor impacto e probabilidade, tais como: material fornecido de baixa qualidade (o que uma ação fiscal resolve); furto de material de limpeza (risco da própria contratada). Com a transferência, a equipe apenas controlará o contrato para que tal cláusula seja corretamente cumprida. Assim, o risco novo se tornou aceitável.
Ao serem cruzados os resultados obtidos para probabilidade e impacto, será encontrado o nível de resposta adequado, conforme a matriz abaixo:
Figura 5: Matriz de Probabilidade e Impacto
Figura 6: Matriz de Níveis de Ações de Resposta os Risco
A principal aplicação dessa matriz é estabelecer um critério de ação contra os fatores de riscos definidos pela organização com maiores chances de acontecer e com os impactos mais agressivos, com o objetivo de priorizá-los ante os demais.
Nela, a organização poderia, por exemplo, definir que os riscos cujo resultado final ficasse no verde escuro (monitorar) não seriam tratados. Assim todos os riscos qualificados como muito baixos, tanto em probabilidade quanto impacto, não consumiriam recursos para tratamento específico.
Trata-se de uma etapa muito importante porque direciona o desenvolvimento da próxima etapa, que é a do planejamento das respostas. Se um risco foi qualificado como eliminável a equipe se ocupará em respostas que dêem esse tratamento. Caso contrário poder-se-ia implementar uma resposta com nível inadequado de tratamento, o que não traria o benefícios pretendido, mantendo o risco com os mesmos níveis de probabilidade e impacto.
4 – Conclusão
Uma vez que o processo de qualificação dos riscos se encontra maduro, é o momento de passar para a próxima etapa do processo, qual seja, o planejamento, implementação e monitoramento das respostas. Será na etapa seguinte que o processo de gerenciamento de riscos efetivamente se materializa. É o que iremos tratar no próximo trabalho desse ensaio.
