A importância de uma avaliação correta do risco

José Miguel Batista, Diretor – Enterprise Risk Management & Engineering da Willis Towers Watson

O risco é não é bom, nem é mau. É algo que existe e com o qual temos de saber lidar. Mas existem dois pontos fundamentais neste processo de aprendizagem: o dinamismo do risco e a correta avaliação que fazemos desse mesmo risco.

Olhando para os mapas do World Economic Forum de 2019 e 2020 – construídos a partir de inquéritos feitos a gestores de risco, com o objetivo de antecipar tendências -, percebemos que o movimento mais evidente é o associado ao risco de doenças infecciosas. Este era considerado de baixa probabilidade e impacto em 2019, mas a meio da pandemia já era classificado como de alta probabilidade e impacto.

Este tipo de mapas permite-nos tirar algumas conclusões e ideias sobre como os riscos se vão mover. Mas esta movimentação conduz-nos também a outros fatores, que é a correta avaliação que estes riscos têm. Neste caso, onde é que está a verdade?

Isto são apenas exemplos, como temos, também, o caso dos riscos do choque dos preços da energia e de commodities, que eram tidos como de baixa probabilidade e impacto em 2020. Outros, como a disrupção da cadeia de abastecimento, nem sequer apareciam nos radares, o que nos deixa curiosos com o mapa de 2021.

Mas o que importa reter aqui são dois pontos fundamentais. Um é o dinamismo que os riscos têm com o passar do tempo e que vamos ter de saber lidar com ele. Outro é a correta avaliação que fazemos destes mesmos riscos, que por vezes é excessiva, outras vezes conservadora.

Estas avaliações menos ajustadas podem decorrer de falta de experiência ou, por vezes, por o responsável da avaliação querer defender-se. E porquê? Porque pensa, na minha opinião de forma errada, que se expuser os riscos da sua área está, de alguma forma, a expor a sua competência e capacidade em controlar a área pela qual é responsável. E aqui falamos de qualquer de risco (operacional, tecnológico, recursos humanos).

Tenho falado com alguns clientes sobre a importância de se implementar uma cultura de gestão de risco nas empresas. Essa cultura passa, também, por acabar com os mitos de que o risco é mau. Não é bom, nem mau. O risco existe e faz parte da nossa vida. Agora, é necessário saber manejar os mecanismos que nos ajudam a mitigar e a controlar esses riscos.

Ferramentas para lidar com riscos e o seu dinamismo

A norma ISO 31 000 diz que o processo de gestão de risco deve ser um processo de melhoria contínua, no qual os riscos são monitorizados e revistos periodicamente para se ter uma fotografia precisa e sempre atual. Porém, estes processos não se esgotam nesta periodicidade, sendo aconselhada uma revisão sempre que exista alguma alteração do contexto onde estamos inseridos.

A própria norma refere que, para não haver zonas cinzentas, deverão ser atribuídos responsáveis distintos pela monitorização e pela revisão.

Já no processo de revisão, devemos tocar em alguns pontos como: comprovar a eficácia dos controlos que atualmente existem; reavaliar o contexto macro onde estamos inseridos; aprender com as falhas que ocorreram no passado e retirar o melhor para não voltar a acontecer; e identificar riscos emergentes.

Isto leva-nos a alguns pontos a que convido à sua reflexão:

• A Gestão de Risco esgota-se na transferência para apólices de seguro? Os seguros são excelentes mecanismos e ferramentas de controlo, mas não são apropriados a todo os tipos de risco. Uma gestão de risco, na nossa ótica, não se deve esgotar nessa compra de seguros.
• Qual foi a última vez que identificaram e avaliaram os riscos da vossa empresa? Para avaliar os controlos há primeiro que saber quais é que são os riscos que estes controlos vão ajudar a mitigar.
• Com que periodicidade os riscos são revistos? Cada caso é um caso, mas para sabermos que mecanismos de controlo e planos de mitigação devemos implementar, temos, em primeiro lugar, de saber o que é pretendido e o que tem de ser mitigado.
• Cada Risco tem um “Dono”? E este é diferente do gestor de risco? O responsável por parametrizar uma máquina é distinto do responsável pelo cumprimento da regulamentação dentro de uma empresa. Quando falamos de necessidades diferentes, como é o caso, devemos ter responsáveis distintos.
• Como acompanham a evolução de cada controlo estabelecido para mitigar cada um dos riscos prioritários? É necessário conhecer bem todos os processos críticos que podem expor uma organização, assim como os planos de mitigação adequados.
• Por fim, há um orçamento anual definido para a Gestão de Risco? Se não existe, é difícil funcionar. Mas, se existe, voltamos ao primeiro ponto: vai além da verba alocada à compra de seguros?

Estas reflexões vão permitir-lhe alguns insights sobre a sua empresa e como pode avançar. O risco vai sempre existir. Precisamos é de conhecê-lo e aprender a lidar com ele.