O nível de sensibilidade básico de mitigação de riscos ainda é suficiente? Após mais de 10 anos da publicação da resolução 3.380/06 de gerenciamento de risco operacional, e para incorporar o efeito de integração entre riscos da resolução 4.557/17, talvez já seja hora de evoluir. Essa evolução pode ser feita através do tipo de variável utilizado e a capacidade de representação da interconectividade entre riscos com respectivos múltiplos fatores de risco.
Os exemplos são simplificações didáticas para facilitar a compreensão, não exaustivos e nem definitivos. Possuem caráter mais prático de nossa experiência pessoal, podendo não corresponder com a terminologia acadêmica. Limitado a recursos viáveis de implementação, nem sempre as soluções atingirão esse acabamento didático. Acreditamos que o raciocínio é aplicável também aos demais setores.
Processo de análise e síntese com diferentes tipos de variáveis
O nível de sensibilidade na mensuração de riscos sofre grande influência dos tipos de varáveis utilizados, onde a tabela abaixo exemplifica e define a terminologia adotada nesse artigo. Quanto mais variáveis contínuas forem utilizadas, maior precisão teremos nos resultados dos cálculos. Mas envolvendo variáveis contínuas de diferentes unidades de medida (valor x probabilidade, por exemplo), os modelos de risco que vivenciei transformam-nas em variáveis discretas mediante uma tabela de conversão. Na etapa final, para efeito de gerenciamento, são convertidas numa linguagem menos analítica e mais qualitativa para facilitar o processo de tomada de decisões. De forma geral, muitos cálculos sucessivos com variáveis discretas podem perder precisão, na medida que representam categorias ou intervalos de valores, pois necessitam ser ‘truncados’ ou ‘arredondados’. Nossa sugestão é calcular com variáveis contínuas até o limite possível de serem usados, para posterior conversão em variáveis discretas e/ou qualitativas.
Exemplos de variáveis:
Sensibilidade de mitigação sobre o risco
Uma abordagem básica é apresentação qualitativa conforme figura acima. Possui correspondência com variáveis discretas para probabilidade e impacto, resultando numa matriz dessa combinação para o risco inerente. Havendo algum controle (seta azul), era atribuída uma variável discreta de eficácia para redução desse risco, que aplicado ao risco inerente de forma geral (número 1), resultava num risco residual (número 2). Havia variações nesse cálculo de mitigação pelo efeito dos controles (por multiplicação ou subtração), conforme conveniência e critério da gestão de risco, influindo na escolha da escala de variáveis discretas de eficácia do controle.
Sensibilidade de mitigação da probabilidade ou impacto sobre o risco
Uma evolução do modelo anterior é identificar se o controle ou iniciativa reduz a probabilidade de ocorrência ou o impacto de um risco. Isso permite representar a migração dentro da matriz de risco impacto x probabilidade da figura acima, o que não é possível no modelo mais simplificado. Seguindo a numeração da figura acima:
1-Redução no impacto, por exemplo contratando um seguro, de forma que caso ocorra uma perda financeira, ela seja recuperada no todo ou em parte, migrando no sentido da seta número 1. Assim, o risco residual foi reduzido em relação ao risco inerente pela iniciativa de redução do impacto, mas sem atuação alguma sobre a probabilidade de erro ou fraude da causa original nesse exemplo.
2-A mitigação do risco no exemplo anterior permite identificar que há espaço para atuar sobre a causa e não sobre a consequência, migrando o risco residual no sentido da seta 2. Um exemplo é implementar uma atividade de conferência para reduzir a probabilidade de ocorrência da causa do risco, de tal forma que sua ocorrência fique tão remota a ponto de não ser necessária a contratação do seguro e reduzir custos nessa operação.
3-Ou ainda manter a contratação do seguro combinado ao novo controle, migrando o risco no sentido da seta 3.
O nível de sensibilidade básico, anteriormente abordado, não permite identificar de forma rápida que o risco residual foi melhorado em relação ao risco inerente pela redução da probabilidade de ocorrência ou do impacto na consequência, o que é possível identificar nesse segundo nível de abordagem.
Sensibilidade de mitigação da probabilidade na causa ou impacto na consequência do risco e interconectividade
Uma sugestão de um próximo passo de evolução, conforme a numeração da figura acima, seria:
1-Mapeamento de cada fator de risco, organizando-os de forma gráfica num diagrama de Ishikawa (espinha de peixe), conforme nossos artigos anteriores de identificação de riscos-Grafos GRI (links no final do artigo), visando representar o efeito de múltiplos fatores que afetam um risco e a interconectividade entre os diversos riscos.
2-Aprofundamento na análise e levantamento de evidências históricas de cada fator de risco de forma isolada (2), independentemente de seus efeitos na mensuração do risco. Esse estudo é feito sobre variáveis e unidades de medida de conhecimento da área de negócio. Isso permite que essas áreas, conhecedoras de seus respectivos processos e históricos de ocorrências, possam contribuir de forma efetiva na validação desse estudo.
3-Sob ótica de risco, atribuir o peso relativo no relacionamento de dependência entre todos esses fatores.
4-Dados históricos comparativos auxiliam a calibrar o peso relativo da dependência entre os múltiplos fatores da etapa anterior. Para isso, podem ser utilizados gráficos ‘fator 100’ comparando séries das mesmas variáveis estudadas isoladamente nos fatores de risco em (2).
5-Iniciativas de mitigação são associadas aos seus devidos fatores de risco individualmente, atribuindo as reduções no nível mais detalhado possível. Isso permite uma simulação da eficácia da mitigação de risco sobre as mesmas variáveis originais, resultando em variáveis simuladas na mesma unidade, ambas contínuas, portanto com maior precisão numérica. Esse resultado final é que será convertido numa variável discreta representando o fator de risco.
6- Os fatores de risco já convertidos em variáveis discretas (conveniente para permitir calcular fatores com variáveis originais de diferentes unidades de medida) contribuirão no cálculo do risco residual. Estes resultados, em variáveis discretas, são convertidos por sua vez em variáveis qualitativas para facilitar o gerenciamento e tomada de decisões.
Espera-se, dessa forma, maior precisão na análise e simulação dos cálculos ao aplicar mitigação pelo uso de variáveis contínuas de probabilidade e impacto sobre as causas e consequências, bem como efetiva contribuição das áreas de negócio pelas unidades de medida serem de seu profundo conhecimento. Sua conversão em variáveis discretas ocorre apenas nas últimas etapas de consolidação, onde há necessidade de envolver diferentes unidades de medida.
Yoshio Hada
Fontes
Resolução 4.557/17 – Gerenciamento integrado de riscos
Artigos anteriores – identificação de riscos
Mioto bom texto, o que, na realidade, apresenta esquemática e sistematicamente, uma abordagem de análise causal, por isso, a menção ao instrumento de diagrama de Ishikawa. Parabéns! No entanto, não há método que resita à falta de cultura de melhoria de processo (não é por acaso o recurso a uma ferramenta de Qualidade Total). Entendo que precisamos investir nos métodos, por isso, o parabenizo, mas, se não houver, investimento em mudança de visão e de comportamento, nada adiantará ou apenas servirá para “inglês ver”. Muito boa a sua contribuição para esse importante debate. Grade abraço!
Primeiramente grato pelo feedback, José Carlos. Concordo inteiramente com você. A contribuição foi de sugerir um ‘veículo’ com características para o mercado avaliar novos paradigmas. Mas se os ‘motoristas’ não tiverem o conhecimento, a cultura e a disciplina para dirigi-lo, de nada adiantará ter um excelente equipamento nas mãos. E chamo de motoristas toda organização, não apenas as áreas envolvidas na segunda ou terceira linha de defesa. Seu apontamento é um foco importante e vamos exercitar argumentos para estimular esse aculturamento em futuros artigos. Abraços.