A Falácia da Matriz de Riscos

A matriz de riscos é uma ferramenta capaz de proporcionar um overview ao gestor de risco, ao conselho e
aos gestores nos diversos níveis dos principais riscos de determinada organização e somente isto. Saber a
dimensão de cada risco em termos de probabilidade (frequência) e impacto (severidade) é o mínimo que
um gestor de risco, um membro de conselho ou qualquer gestor em qualquer nível deva saber.

Normalmente, as matrizes de riscos são compostas de 2 eixos: Probabilidade X Impacto. Teoricamente,

basta calcular a probabilidade de ocorrência de cada risco e seu impacto para se ter a matriz. Entretanto,
excetuando-se as seguradoras, re-seguradoras, corretoras e instituições financeiras, base de dados
confiáveis é um artigo raro no Brasil. Para tal, pode ser estimada a probabilidade por meio de modelos
qualitativos. As empresas de consultorias costumam a possuir alguns modelos semi-prontos. Cabe
lembrar, que definir um modelo qualitativo efetivo não é tarefa simples. Não raro, vemos matrizes de
risco no mercado, confeccionadas por empresas de consultoria de primeira linha que nem de longe
correspondem a realidade.

Tive a oportunidade de verificar matrizes com riscos considerados raros (tipo incêndio e explosão)
apresentando estimativas de probabilidade acima de 50% e com impacto catastrófico. Ao contrastar estes
riscos com as bases de dados das seguradoras, nem de longe faziam sentido. Dificilmente, qualquer
organização consegue permanecer ou até mesmo sobreviver com riscos de impacto considerados alto ou
muito alto que apresentem uma probabilidade alta por um longo ou médio período de tempo. Por um
motivo muito simples, rapidamente ela desiste de operar com este tipo de risco (declina operações que
apresentem este risco), ou sofre um impacto tão significativo que ajusta seus sistemas de proteção para
estarem adequados a estes riscos ou simplesmente quebram.

Os maiores erros na definição da estimativa de probabilidade de um risco para modelos quantitativos

ocorre quando nossa base de dados não é confiável ou quando modelamos erradamente utilizando
modelos de distribuições inadequados. Por exemplo, possuímos eventos raros (tipo explosão de reatores
nucleares) que não são em números suficientes para aplicar uma distribuição normal e mesmo assim ela é
aplicada.

Para modelos qualitativos, o erro mais comum é considerar que as variáveis possuem o mesmo peso ou
achar que todos os riscos possuem as mesmas variáveis causais. Isto é muito comum quando se aplicam
modelos já prontos.

Uma boa pratica a ser adotada pelos gestores é questionar qual o modelo que foi utilizado, as variáveis
adotadas e a equação que foi empregada para a definição de cada risco, qual a logica e o racional utilizado
para definir o modelo. A simples comparação da matriz com a realidade vivida e o conhecimento de
especialistas mais experientes permite dizer muito sobre a credibilidade do sistema que foi utilizado para
confeccionar a matriz.

Modelos como Simulações de Monte Carlo mostram-se bastante úteis em alguns casos, contudo exige-se
conhecimento específico e nem sempre encontramos profissionais aptos a operarem tais modelos.

 
Para a definição do impacto, o erro mais comum é não se levar em conta outras variáveis além do valor
contábil puro e simples. Os impactos para imagem, marca, credibilidade, legais e etc... devem de alguma
forma serem capturados nesta quantificação.

Outro erro bastante comum é atrelar o impacto financeiro ao impacto que a concretização de tal risco
afeta o EBTIDA pura e simplesmente, sem levar outras variáveis ou indicadores em consideração. Cabe
lembrar que o EBTIDA permite capturar algumas variáveis financeiras, tais como o que afeta de
lucratividade, mas que o principal causador de quebra de um negocio é a falta de liquidez e para tal
existem indicadores mais interessantes que este.

A matriz de riscos define as dimensões dos riscos em termos de Impacto X Probabilidade, mas saber as
dimensões dos riscos não evita que os riscos venham a se concretizar, não diminui a probabilidade da
ocorrência dos mesmos e nem tampouco o seu impacto.

O gestor de risco, após analisar detalhadamente cada risco que está plotado na matriz de riscos deve
verificar quais sistemas de proteção existem para cada risco, analisando a efetividade de cada um.

Para uma análise adequada, o gestor de riscos, além da matriz de riscos, necessita ter uma tabela de
avaliação dos seus sistemas de proteção definindo a efetividade de cada um. Desta forma, ele poderá
contrastar o risco (em termos de impacto e probabilidade) com a efetividade do sistema de proteção para
aquele determinado risco.

O problema básico não está em ter um risco alto, mas sim em possuir um grau de risco alto aliado a um
sistema de proteção com nível de vulnerabilidade elevado. Mal comparando as consequências de um risco
de acidente de bicicleta são bem menores que de um risco de acidente automobilístico, logo, temos
sistemas de proteção nos automóveis bem mais sofisticados e robustos (ABS, Air Bags, EBD etc) se
comparados aos disponíveis nas bicicletas. A mesma similaridade é válida quando comparamos
automóveis com aeronaves ou quando comparamos usinas hidrelétricas com usinas nucleares.

Resumidamente poderíamos dizer que o problema não é possuirmos riscos altos, mas sim possuirmos
riscos altos com sistemas de proteção que apresentem alto índice de vulnerabilidade. Ou seja, a matriz
não resolve o problema, ela simplesmente fornece uma dimensão do problema. A solução passa por uma
avaliação da coerência existente entre o grau de determinado risco e o nível de efetividade dos sistemas
de proteção para impedi-lo, aliado a definição de um plano de ação para a mitigação deste riscos de forma
consistente.

Fora isto, a matriz não passará de uma fotografia estática dos riscos e sem efeito prático nenhum.

Publicado em Publicado em28 de fevereiro de 2016

Nelson Ricardo Fernandes da Silva