1.1 O contexto de (super)valorização da gestão de riscos
As mudanças de cenário rápidas e constantes provocadas pela potencialidade/expansividade dos meios modernos de comunicação e o dinamismo das relações interpessoais e corporativas têm levado o mundo corporativo, bem como Estatal, a cenários voláteis e incertos. Essas características vêm tornando os contextos a serem analisados cada vez mais complexos, proporcionando a criação de antagonismos extremos, o que dificulta ainda mais a análise a ser realizada.
Em resumo, a alta administração está cada vez mais instada a tomar decisões rápidas, ficando ainda mais exposta ao amplo julgamento de seus atos. Nesse contexto, é natural e plenamente compreensível que, quando submetido à pressão, à falta de tempo, bem como à falta de informação, o risco de cometer erros aumente significativamente.
Estudos técnicos[1] vêm corroborando essa constatação, pois têm revelado que a pressão do tempo e a falta de informação diminuem a racionalização dos decisores, que tendem a realizar escolhas utilizando-se de critérios/alternativas oriundos do seu conhecimento prévio ou da sua experiência pessoal.
Por isso, torna-se necessário se cercar de elementos/institutos que permitam a adoção de decisões rápidas, mas, ao mesmo tempo, seguras. Entre eles, podemos destacar invariavelmente o gerenciamento de riscos.
Esse contexto é validado na obra clássica de BERNSTEIN intitulada “Desafio aos Deuses: a fascinante história do risco”, especialmente quando destaca que toda essa complexidade é potencializada também pela falta de invariância do ser humano, tomador de decisão. Entre vários trechos, destacamos:
Nós todos nos imaginamos como seres racionais, mesmo em épocas de crise, aplicando as leis das probabilidades de forma fria e calculista às escolhas com que nos defrontamos. Gostamos de acreditar que estamos acima da média em habilidade, inteligência, visão, experiência, refinamento e liderança. Quem admite ser um motorista barbeiro, um debatedor fraco, um investidor burro ou uma pessoa de mau gosto no trajar?
Todavia, quão realistas são tais imagens? Nem todos podem estar acima da média. Além disso, as decisões mais importantes que tomamos costumam ocorrer sob condições complexas, desconcertantes, indistintas ou assustadoras. Não resta muito tempo para consultar as leis das probabilidades. (BERNSTEIN, 1997, p. 281)
Daniel Kahneman e Amos Tversky, psicólogos israelenses, desenvolvedores da Teoria da Perspectiva[2], destacam duas falhas humanas que impactam diretamente na tomada racional de decisões, afetando diretamente sua segurança: Controle emocional e dificuldade cognitiva. BERNSTEIN destaca que:
A Teoria da Perspectiva descobriu padrões de comportamento nunca antes reconhecidos pelos proponentes da tomada racional de decisões. Kahneman e Tversky atribuem esses padrões a duas deficiências humanas. Primeira, a emoção muitas vezes destrói o autocontrole que é essencial à tomada racional de decisões. Segunda, as pessoas muitas vezes não conseguem entender plenamente com o que estão lidando. Elas experimentam o que os psicólogos denominam dificuldades cognitivas. (BERNSTEIN, 1997, p. 283)
Junte a tudo isso, a falta de cultura de prevenção (tão característica da sociedade nacional), por se superestimar a probabilidade de cenários positivos e de subestimar a de cenários negativos ou eventualmente não vislumbrar oportunidades (comportamento típico de um otimismo irrealista).
De uma outra forma, interessante compartilhar alerta relacionado à necessidade de consciência da importância do risco, diante de sua produção social, por acompanhar sistematicamente a produção social da riqueza. Nesse aspecto, é fundamental compartilhar excerto da obra de Ulrich Beck, “Sociedade de Risco: Rumo a uma Outra Modernidade”, que desde sua primeira publicação em 1986, propõe a seguinte reflexão:
O conceito de risco tem realmente a importância socio-histórica que lhe é aqui assinalada? Não se trata de um fenômeno originário de qualquer ação humana? Não serão os riscos justamente uma marca da era industrial, em relação à qual deveriam ser nesse caso isolados? É certo que os riscos não são uma invenção moderna. Quem – como Colombo – saiu em busca de novas terras e continentes por descobrir assumiu riscos. Estes eram, porém, riscos pessoais, e não situações de ameaça global, como as que surgem para toda a humanidade com a fissão nuclear ou com o acúmulo de lixo nuclear. A palavra “risco” tinha, no contexto daquela época, um tom de ousadia e aventura, e não o da possível autodestruição da vida na Terra. (BECK, 2010, p. 25)
Como se vê, a dificuldade de previsibilidade de cenários se dá pela volatilidade do mundo no qual está submetida a sociedade contemporânea, em que tudo muda absurdamente rápido, com alta intensidade e a todo momento. Dar-se também pela incerteza ocasionada pela dificuldade em se interpretar informações altamente voláteis. Também pela complexidade imposta pela interconexão, interdependência e globalização, o que dificulta a linearidade ou invariância. Como também pela ambiguidade, diante das múltiplas interpretações/percepções válidas para um mesmo contexto.
Por isso tudo, depreende-se a necessidade de se aprimorar o conhecimento sobre gerenciamento de riscos, de modo a melhor controlá-lo. Especialmente quando fazemos um recorte desse cenário aplicado ao Brasil, o país do risco, uma vez que se vive uma esquizofrenia estatal, com modelos de gestão que se sobrepõem diariamente e conduzem o gestor a uma necessidade real de adaptar às incertezas (CASTRO & GONÇALVES, 2019, p. 65).
1.2 As etapas do processo de gestão de riscos
Antes de proceder com a análise individualizada de cada etapa do processo de gestão de riscos, entende-se necessário apresentar o que se entende por gestão de riscos, tanto por parte da doutrina, quanto por parte de shapeholders[1] relevantes desse processo.
Destacamos também os ensinamentos de Castro e Gonçalves (2019), para quem:
Gerenciar riscos é a capacidade de uma organização de gerenciar “incertezas”, seja ela positiva (ganho) ou negativa (perda). Daí a lógica de que uma gestão de riscos efetiva é aquela que consegue antecipar o maior número de eventos incertos, no sentido de estabelecer uma dinâmica, após identificado, para sua priorização, tratamento e controle. Em resumo, falar de gestão de riscos é entender como identificar o risco, priorizar e tratar os eventos encontrados. (grifo nosso)
Assim, quanto maior for a capacidade da estatal de identificar as incertezas de seu negócio, melhor será sua gestão de riscos (CASTRO & GONÇALVES, 2019, p. 48).
Na perspectiva do Instituto Brasileiro de Governança Corporativa (IBGC):
A palavra risco é proveniente do latim risicum ou riscum, cuja definição envolve o conceito de ousar – riscare. Assim, qualquer ação ou empreendimento traz alguma dose de risco. Costuma-se entender risco como possibilidade de algo não dar certo. Mas seu conceito atual no mundo corporativo vai além: envolve a quantificação e a qualificação da incerteza, tanto no que diz respeito às perdas quanto aos ganhos por indivíduos ou organizações. Sendo o risco inerente a qualquer atividade – e impossível de eliminar –, a sua administração é um elemento-chave para a sobrevivência das companhias e demais entidades. (IBGC, 2017, p. 11).
Na concepção do Tribunal de Contas da União (TCU), gestão de risco é o meio para: “reduzir o impacto negativo dos riscos sobre as metas organizacionais” (TCU, 2018, p. 128). Em uma perspectiva interna corporis (no âmbito interno do TCU), a gestão de riscos é formada por “atividades coordenadas para dirigir e controlar a organização no que se refere a riscos e a oportunidades” (TCU, 2017, p. 2) e tem como objetivo “auxiliar a tomada de decisão com vistas a prover razoável segurança no cumprimento da missão e no alcance dos objetivos institucionais” (TCU, 2017, p. 2).
Superadas tais considerações, passemos ao exame individualizado das principais etapas do processo de gestão de riscos.
1.2.1 Identificação
Esta é a primeira etapa de todo processo. Deve-se identificar o evento (descrição hipotética futura), ou seja, determinar a incerteza a ser inserida no processo de gerenciamento. Delinear as causas, efeitos/consequências a ele (evento) vinculados auxiliam significativamente esse processo.
A orientação do TCU no seu Referencial Básico de Gestão de Riscos revela que a identificação de riscos é:
O processo de busca, reconhecimento e descrição dos riscos, tendo por base o contexto estabelecido e apoiando-se na comunicação e consulta com as partes interessadas internas e externas (ABNT, 2009). O objetivo é produzir uma lista abrangente de riscos, incluindo fontes e eventos de risco que possam ter algum impacto na consecução dos objetivos identificados na etapa de estabelecimento do contexto. (TCU, 2018, p.24)
Diante da vastidão de possibilidades, a identificação de riscos pode basear-se em dados históricos, análises teóricas, opiniões de pessoas informadas e especialistas, assim como em necessidades das partes interessadas, motivo pelo qual a multidisciplinariedade é enriquecedora e interessante.
Independentemente da técnica utilizada, para identificação e descrição dos riscos, é determinante se estabelecer uma sintaxe, pois com ela evitam-se que sejam confundidos eventos de risco, com suas causas e consequências. Castro e Gonçalves (2019) desenvolvem sintaxe interessante, descrita da seguinte forma: “Devido a , poderá acontecer , o que levaria impactando no/na . (CASTRO & GONÇALVES, 2019, p. 79).
Como se vê, trata-se de trabalho extenso e intenso, que gera como produto (output), documentação que geralmente inclui: (a) o escopo do processo, projeto ou atividade coberto pela identificação; (b) os participantes do processo de identificação dos riscos; (c) a abordagem ou o método utilizado para identificação dos riscos e as fontes de informação consultadas; e (d) descrição de cada risco, pelo menos com a fonte de risco, as causas, o evento e as consequências (TCU, 2018, p. 25).
1.2.2 Análise
Etapa mais extensa de todo o processo, pois envolve compreender a natureza e determinar o nível de risco, de modo a subsidiar a avaliação e o tratamento de riscos.
O risco é uma função tanto da probabilidade como da medida das consequências. Desse modo, o nível do risco é expresso pela combinação da probabilidade de ocorrência do evento[1] e das consequências resultantes no caso de materialização do evento, ou seja, do impacto nos objetivos. Risco = função (probabilidade e impacto) (TCU, 2018, p. 25).
Para a definição do referido nível do risco, parte-se da definição de escalas, cujo parâmetro acaba dependendo da métrica utilizada para cada dimensão (impacto e probabilidade). Nesse sentido, há uma vastidão de possibilidades, uma vez que não há nenhuma determinação/fixação de um modelo padrão (standard) a ser utilizada, haja vista as inúmeras referências possíveis de serem adotadas.
Contudo, há minimamente certo alinhamento metodológico, pois as escalas irão variar entre perspectivas objetivas-quantitativas e subjetivas-qualitativas. Essa variância é natural porque o método e o nível de detalhamento da análise podem ser influenciados pelos objetivos, pela natureza do risco, pela disponibilidade de informações e de recursos (TCU, 2018, p. 25).
Em resumo, cumpre ressaltar que toda e qualquer escala atribui níveis (representados por pesos numéricos) vinculados a cada classificação/descrição, de cada dimensão (impacto e probabilidade), permitindo a projeção do respectivo cotejamento de níveis no “diagrama de cálculo do risco”.[2]
Como comentado anteriormente neste item, independentemente da escala e da métrica adotada, sempre haverá a projeção do respectivo cotejamento de dimensões no “diagrama de cálculo do risco”, representado graficamente da seguinte forma:
Tabela 1 – Diagrama com 5 níveis. Pesos com intervalos fixos
Fonte: CASTRO & GONÇALVES, 2019, p. 96
Nesse primeiro momento, o resultado obtido exterioriza os riscos inerentes (à atividade da entidade), sem a identificação e avaliação de efetividade dos controles que visam a mitigá-los, para que se apresente à alta administração os riscos aos quais a entidade está sujeita nos casos em que não haja nenhum controle interno, ou ainda, caso todos os existentes falhem, qual risco a entidade estaria sujeita (CASTRO & GONÇALVES, 2019, p. 85).
Na sequência da profunda etapa de análise do risco, o desdobramento é analisar a eficácia dos controles internos existentes em relação aos objetivos do processo organizacional. Nesse cenário, leva-se em consideração o nível de confiança dos controles internamente existentes, que por sua vez permite o estabelecimento do risco de controle (RC) ou também intitulado de fator de avaliação dos controles.
Assim, o valor final da multiplicação entre o valor do risco inerente e o fator de avaliação dos controles (ou risco de controle) corresponde ao nível de risco residual, que pode ser sintetizado pela seguinte expressão/fórmula: RR = RI x FC, em que: RR = nível do risco residual; RI = nível do risco inerente; FC/RC = fator de avaliação dos controles existentes/risco de controle. Graficamente pode ser assim representado:
Tabela 2 – Nível de confiança e Risco de Controle
Fonte: TCU, 2018, p. 30.
A análise de riscos só se completa quando as ações que a gestão adota para respondê-los são também avaliadas, chegando-se ao nível de risco residual, o risco que remanesce depois de considerado o efeito das respostas adotadas pela gestão para reduzir a probabilidade e ou o impacto dos riscos, incluindo controles internos e outras ações (TCU, 2018, p. 29). Por isso se dizer que é o resultado dessa operação é relevante, pois o valor de risco residual pode fazer com que o risco se enquadre em uma faixa de classificação diferente da faixa definida para o risco inerente.
1.2.3 Avaliação
A finalidade desta etapa é auxiliar na tomada de decisões, com base nos resultados da análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação do referido tratamento.
Esse exercício envolve comparar o nível de risco encontrado na etapa anterior (análise) com os critérios de risco estabelecidos quando o contexto foi considerado, de modo a determinar se a magnitude do risco analisado é aceitável/tolerável ou não (balizador conferido pela fixação do apetite ao risco[1]), o que pode levar às seguintes decisões (ABNT, 2018, p. 18/19): nada a fazer; considerar as opções de tratamento de riscos; realizar análises adicionais para melhor compreender o risco; manter os controles existentes; reconsiderar os objetivos.
Uma boa prática para apoiar o processo de avaliação de riscos foi estabelecida pelo TCU ao fixar diretrizes para priorização e tratamento de riscos (TCU, 2018, p. 32), baseadas prioritariamente na autoridade a ser comunicada e no tempo de resposta para o tratamento ao risco.
O produto (output) gerado nesta etapa consiste geralmente em uma lista dos riscos que requerem tratamento, com suas respectivas classificações e prioridades (TCU, 2018, p. 33).
1.2.4 Tratamento
Após superar as duas principais etapas do processo de gestão de riscos (análise e avaliação), trata-se da seleção de uma ou mais opções para modificar o nível de cada risco e a elaboração de planos de tratamento que, uma vez implementados, implicarão em novos controles ou modificação dos existentes (TCU, 2018, p. 33).
É o que se convém chamar também de “resposta” ao risco, composta de 4 conclusões válidas: mitigar, aceitar, transferir ou evitar.
Assim, risco evitado é quando o impacto dele é tão representativo para a instituição, que se faz necessário a eliminação de sua causa-raiz, de modo que sua probabilidade chegue praticamente a zero (CASTRO & GONÇALVES, 2019, p. 87). Na concepção do TCU, é a decisão de não iniciar ou de descontinuar a atividade, ou ainda desfazer-se do objeto sujeito ao risco (TCU, 2018, p. 33).
O risco é aceito quando o impacto e a probabilidade do risco estão dentro do limite do apetite de risco declarado pela instituição, independentemente de anteriormente ter sido ou não seguido plano de ação para que aquele determinado risco tenha sido dirimido. Em outras palavras, aceitar ou tolerar o risco é não tomar, deliberadamente, nenhuma medida para alterar a probabilidade ou a consequência do risco.
A terceira opção de resposta/tratamento ao risco é quando a responsabilidade pelo gerenciamento do risco é conferida à outra parte da relação jurídica ou a terceiro, mitigando a consequência ou probabilidade de ocorrência do risco por meio da transferência ou compartilhamento de uma parte do risco (CASTRO & GONÇALVES, 2019, p. 88) (TCU, 2018, p. 33).
Normalmente tal transferência de riscos se dá por meio da contratação de seguros, garantias ou até mesmo elaboração de matriz de riscos como cláusula contratual, em que se possa delimitar/compartilhar a responsabilidade das partes em eventos posteriores à assinatura do contrato.
Por fim, reduzir ou mitigar o risco consiste em adotar medidas para reduzir a probabilidade ou a consequência dos riscos[2] ou até mesmo ambos. A mitigação visa à diminuição da probabilidade e nível aceitável ao apetite de risco da instituição. (CASTRO & GONÇALVES, 2019, p. 89) (TCU, 2018, p. 33).
Como produto (output) desta etapa, tem-se o plano de tratamento de riscos, que a propósito deve definir a ordem de prioridade para a implementação de cada ação de tratamento, bem como identificar, minimamente: (a) a justificativa para seleção daquelas opções de tratamento, incluindo os benefícios esperados; (b) os responsáveis pela aprovação e pela implementação do plano; (c) as ações propostas, os recursos requeridos, e o respectivo cronograma (TCU, 2018, p. 34).
1.2.5 Monitoramento
Esta última etapa do ciclo de gestão de riscos tem o objetivo de assegurar que as diferentes formas de tratamento se tornem e permaneçam eficazes, garantindo uma melhoria contínua da qualidade e eficácia da concepção, implementação e resultados do processo (ABNT, 2018, p. 20/21).
Como alertado pelo TCU, o referido monitoramento deve ser contínuo (ou pelo menos, frequente) pelas funções que gerenciam e têm propriedade de riscos e pelas funções que supervisionam riscos (motivo pelo qual a segregação de funções se torna relevante neste contexto também), com vistas a medir o desempenho da gestão de riscos (TCU, 2018, p. 35).
Diante do desenvolvimento de todas as etapas atinentes ao processo de gerenciamento de riscos, depreende-se que a matriz de riscos é um elemento anafórico, por sintetizar de forma organizada o registro documental de todos os dados consolidados ao longo do extenso processo de gestão de riscos, razão pela qual deve ser constituída/estruturada com todos os elementos essenciais para o desenvolvimento do já citado processo, não podendo ser reduzida à mera cláusula contratual descritiva.
E mais, por falta de diretriz normativa quanto à metodologia de formação da respectiva matriz e levando em consideração o conteúdo apresentado até aqui, podemos estabelecer como vertentes a constar na matriz de riscos contratuais das empresas estatais, os seguintes critérios: 1) identificação numérica do risco; 2) objetivo institucional impactado; 3) descrição do risco; 4) categoria do risco; 5) fatores de risco internos; 6) fatores de risco externos; 7) probabilidade, impacto (destacando dimensão financeira, de continuidade e de imagem), grau/nível de risco; 8) fatores de avaliação do controle; 9) resposta ao risco; 10) plano de ação, com responsáveis e datas; 11) plano de contingência, com responsáveis e datas; 12) kpi/kri (indicadores principais de performance e de riscos).
Thiago Bueno de Oliveira
Advogado, Bacharel em Direito pelo Centro Universitário de Brasília – Uniceub; Pós graduado em Ordem Jurídica pela Fundação Escola do Ministério Público do Distrito Federal e Territórios; Especialista em Direito Administrativo pelo Instituto Brasiliense Direito Público – IDP e Pós-graduado em Direito e Gestão dos Serviços Sociais Autônomos pelo Instituto Brasiliense de Direito Público – IDP. Mestre em Administração Pública pelo Instituto Brasiliense de Direito Público – IDP. Possui treinamento em negociação pela CMI na Universidade de Harvard (Theory and Tools of the Harvard Negotiation Project). Ex- Supervisor da Unidade de Compras e Licitações, Pregoeiro e Presidente da Comissão Permanente de Licitação da Agência Brasileira de Promoção de Exportações e Investimentos (Apex-Brasil). Ex-Gerente Executivo Administrativo da Apex-Brasil. Ex- Assessor da Diretoria de Negócios da Apex-Brasil. Membro da Comissão de Legislação Anticorrupção e Compliance da OAB/DF. Affiliate member of The Internaional Compliance Association (ICA). Membro do Instituto Brasileiro de Gestão Corporativa (IBGC).
Atualmente advogado da Apex-Brasil. Autor de vários artigos em Direito Administrativo, bem como das obras: “O Caráter Regulatório das Licitações Públicas”, com prefácio do Min. Benjamim Zymler; e
“Manual das Estatais: Questões jurídicas, práticas e essenciais de acordo com a Lei 13.303/2016”, com prefácio do Phd. Rodrigo Pironti e posfácio do Ex-Advogado Geral da União (AGU), Dr. Fábio Medina
Osório. Professor Universitário. Coautor da obra “Diálogos sobre a nova lei de licitações e contratações”.
REFERÊNCIAS
BECK, U. Sociedade de risco: rumo a uma outra modernidade (1986). Tradução de Sebastião Nascimento. São Paulo: Ed. 34, 2010.
BERNSTEIN, P. L., Desafio aos Deuses: a fascinante história do risco. 19ª reimpressão. Rio de Janeiro: Elsevier, 1997.
BRASIL. ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO 31000: Gestão de riscos – princípios e diretrizes. Rio de Janeiro: ABNT, 2018.
BRASIL. Tribunal de Contas da União. Política de Gestão de Riscos do TCU. Resolução TCU n.º 287. Brasília: TCU, 2017.
_______. Referencial básico de gestão de riscos. Brasília: TCU, Secretaria Geral de Controle Externo (Segecex), 2018.
CASTRO, R. P. A. de; GONÇALVES, F, S. P. Compliance e gestão de riscos nas empresas estatais. 2ª ed. Belo Horizonte: Fórum, 2019.
IBGC (Instituto Brasileiro de Governança Corporativa). Gerenciamento de riscos corporativos: evolução em governança e estratégia / Instituto Brasileiro de Governança Corporativa. São Paulo, SP: IBGC, 2017.
[2] Nessa perspectiva, destaca-se a importância do estabelecimento de planos de contingência, que garantem maior segurança e velocidade na tomada de decisões visando a mitigação das consequências oriundas da ocorrência de um determinado evento ou a restituição ao status quo ante à ocorrência do risco.
[1] Extremamente dificultada no cenário da sociedade contemporânea, em razão do mundo VUCA no qual estão submetidos.
[2] Não há homogeneidade no escalonamento dos níveis de impacto e probabilidade, podendo ser plenamente aceito as mais diversas referências. Usualmente, adota-se a “régua” 5×5, ou seja, 5 níveis em cada dimensão, atribuindo-se, comumente, pesos de 1 a 5.
[1] Expressão utilizada para descrever aqueles atores (de governança, de controladoria, de regulação, de mercado) que possuem poder significativo para determinar comportamentos de determinada empresa/instituição. Amplamente difundida por Mark R. Kennedy, na obra intitulada “Shapeholders: Business Success in the Age of Activism”, da Columbia Business School.
[1] Entre vários, destacamos os produzidos pela Associação Nacional de Pós-Graduação e Pesquisa em Administração (ANPAD).
[2] Teoria da psicologia cognitiva que descreve o modo como as pessoas escolhem entre alternativas que envolvem risco, onde as probabilidades de resultados são incertas. Ou seja, como administram o risco e a incerteza.