O dilema do risco

Daniel Schnaider, SCAI Group

Primeira versão: 02/02/2012;         Atualizado em 02/2012

Em reuniões com executivos de empresas sobre o tema de riscos operacionais, sistematicamente escuto os mesmos comentários:“De fato não damos muita atenção para esses tipos de risco por que se fomos começar a questionar nossa exposição a eles, teremos que questionar sobre a possibilidade de um meteoro cair em nossas cabeças.”


Depois de tanto escutar esta frase em suas mais diversas variações, pesquisei sobre a probabilidade de meteoros caírem na terra e criarem mortes ou danos materias.


Este artigo de fato, não falara sobre meteoros, e sim, de riscos operacionais, mas uma vez que os meteoros são usados como desculpa para não se empenhar na solução desses desafios, vamos primeiro deixar claro porque não devemos nos preocupar com meteoros.


Um meteoro de 10 metros atingirá a terra, em média, uma vez a cada dez anos. De 100 metros a cada mil anos e de 1500 metros a cada um milhão de anos. Não se sabe de nenhum humano que tenha morrido por um meteoro ou por seus efeitos colaterais nos últimos mil anos. A NASA não sabe de nenhum meteoro ou cometa com rota de colisão com a terra. Levando em conta que: 70% da terra é água; que a maior parte do planeta não é povoada; a gravidade de Jupter atrai a maioria destes objetos para sua órbita e o fato que temos tecnologia para detectá-los e até mesmo de impedir sua colisão com a superfície se necessário, a chance desses objetos criarem de fato um risco a nossos sistemas de fornecimento ou demanda é extremamente pequena.


Mas em contraste, o risco de desastres naturais, fraudes internas ou externas, erros humanos, acidentes no trabalho, falha em sistemas críticos, na produção, execução de políticas ou na falta de procedimentos, logística e suporte ao cliente, são sim desafios qualitativos e quantitativos que podem ocorrer durante sua administração, sobre sua responsabilidade gerando perdas econômicas significativas e, portanto, devem ser gerenciadas.


Falha operacional teve seu papel em praticamente todas as perdas catastróficas que ocorreram durante os últimos 20 anos. Na verdade, a crise financeira de 2008  foi causada por uma série de falhas operacionais. Como exemplo, a AIG[1] (American Insurance Group) teve a maior perda de uma única empresa já registrada por exposição não controlada a riscos operacionais.


Durante muitos anos a abordagem convencional sustentou que o risco operacional deve ser gerenciado através de auditorias. Nos referimos a esta percepção como a "Abordagem Tradicional" ou gestão de riscos operacionais tradicional (GROT).


Além disso, um grande número de CFOs acreditam que a Abordagem Tradicional (AT) representa o padrão de melhores práticas de gestão de risco operacional. Consequentemente, praticamente todas as organizações que implementaram um programas de gestão de risco operacional tem com base os princípios do GROT.


A abordagem tradicional tem muitas vantagens. Ela fornece estrutura, padrões de governança e uma abordagem simplificada para identificação de riscos e sua avaliação. Mas também tem algumas limitações.


Uma empresa que usa o GROT para medir a exposição a riscos operacionais usa como referência a perda média em um determinado evento. Se a mesma empresa trouxer uma empresa de seguros para avaliar o mesmo tipo de risco, o base de cálculo será a exposição à perda, ou "o pior caso" (worst-case-scenario) de perda.


Estes conflitos tem várias implicações. Especificamente, porque GROT concentra a atenção na observação de ameaças comuns   associadas às perdas de rotina, e detém fracos controles que revelam os maiores riscos.  Portanto, as instituições que seguem a abordagem tradicional pode não ter consciência de seus riscos mais significativos. Além disso, as organizações que fundamentam as decisões de otimização de controle de risco sobre os resultados da avaliação de risco tradicionais e auto-controle podem facilmente tornar-se mais controlada nas áreas onde elas têm o menor risco, mas continuam a ser significativamente sub-controladas nas áreas onde elas têm o maior risco.


A abordagem tradicional é muito eficaz para a prevenção de perdas em um nível tático, mas a prevenção de perdas aborda apenas um aspecto do desafio da gestão de risco operacional - e não o mais importante! Em particular, GROT faz pouco para reduzir a exposição aos grandes eventos catastróficos, como violações de práticas de negócio, tomada de riscos excessivos, falta de comunicação e protocolos entre nível operacional e estratégico, que são realmente os principais fatores de risco operacional.


Um dos riscos operacionais mais importantes é chamado do risco do Agente-Principal[2] (Principal-Agent Problem). O risco do Agente-principal refere-se ao risco de que, em circunstâncias onde há separação entre a propriedade e seu controle, os agentes (que controlam o dia-a-dia em nome da organização) podem exercer ações que estão em seu próprio interesse, mas não são necessariamente entre os melhores interesses dos donos (proprietários). Este tipo de risco tem sido o fator determinante por trás de muitas das maiores perdas.


Ultimamente, presenciamos um caso desses quando trouxemos informação a um determinado executivo de empresa Brasileira, sobre a vulnerabilidade de seu sistema de automação. O mesmo não acreditou que poderia estar exposto a tamanho risco, e convocou o gestor responsável pela área de automação. O mesmo confirmou a existência do problema mas em sua defesa falou que não havia comunicado o problema porque resolver custaria dezenas de milhões de Dólares ou mais, e que dentro das limitações do seu orçamento anual, não  poderia fazer. A resposta do executivo foi sincera, não lhe cabe ao gestor tomar esta decisão. A visão da SCAI Group vai mais a fundo, neutralizar a mesma falha de segurança no sistema seria significativamente mais simples do que o sugerido pelo gestor. Mas a verdade que soluções de riscos operacionais por natureza não são o core-business das empresas, portanto, é necessário o suporte de uma consultoria especializada.


A SCAI Group pelo seu braço de consultoria e projetos optou por uma nova abordagem à gestão do risco operacional. Através de nossos serviços de consultoria de GRC (Governança, Risco e Compliance) e nosso serviço de SCAI Risk Assurance seguimos uma abordagem top-down, que foca, primeiro, nos riscos mais significantes para a organização. Aqueles que colocam em risco a estabilidade da empresa, seus principais executivos, e sócios, muitas vezes sem que os mesmos tenham ciência de seus níveis de exposição. Expandimos nossos estudos, somente naquelas áreas onde é exigido mais granularidade. O método SCAI exige significativamente menos recursos, evita concentrar a atenção de sua gerência e estrutura organizacional em riscos imateriais.


Além de ajudar as organizações a satisfazer os requisitos de conformidade, os serviços de consultoria da SCAI Group se traduzem a um valor tangível. Especificamente, nossa abordagem aos problema mais críticos de riscos da gestão empresarial, que é a exposição para os eventos  com maior impacto ao desempenho financeiro e a credibilidade da organização.

Os serviços de consultoria GRC e Risk Assurance da SCAI Group tem como meta:

  1. Facilitar a gestão holística de todos os riscos operacionais, com base em uma definição consistente de risco.
  2. Criar um processo estruturado e transparente para integrar a gestão de risco nos processos de decisão da empresa, tanto a nível tático como estratégico. Especificamente, fornecer aos gestores, gerentes e executivos, as ferramentas e informações necessárias para otimizar modelos de risco e recompensa, controle de risco e  transferência de risco no contexto de uma análise de custo-benefício.
  3. Inserir uma cultura de risco que harmoniza os objetivos dos executivos e os sócios.
  4. Reduzir as assimetrias de informação entre gestores e sócios
  5. Precaver que os executivos estão se empenhando na busca de estratégias que estejam em conformidade com os padrões de risco e tolerância dos donos em outras palavras, mitigar o risco do agente-principal.


Quer conheçer mais sobre como podemos ajudar sua organização a fazer uma melhor gestão de riscos. Entre em contato

http://www.scaigroup.com/Contato/fale-conosco

Bibliografia

Basel Committee on Banking Supervision, ― A New Capital Adequacy Framework‖ (June 1999).

Basel Committee on Banking Supervision (Secretariat of the Basel Committee on Banking Supervision), ― The New Basel Capital Accord: an explanatory note (January 2001).

Basel Committee on Banking Supervision, ― Working Paper on the Regulatory Treatment of Operational Risk (September 2001).

Basel Committee on Banking Supervision, ― International Convergence of Capital Measurements and Capital Standards (June 2004).

Cruz, Marcelo G., ―Modeling, Measuring, and Hedging Operational Risk, New York: John Wiley & Sons, Inc. (2002).

Dutta, Kabir and J. Perry, ―A Tale of Tails: An Empirical Analysis of Loss Distribution Models for Estimating Operational Risk Capital, Federal Reserve Bank of Boston, Working Paper (April 2007).

ORA OpRisk Advisory, & Towers Perrin, T. (2009). Addressing the Issues Underlying the 2008 Global Financial. Society of Actuaries.

Shih, Jimmy, A. Samad-Khan and P. Medapa, “Is the Size of an Operational Loss Related to Firm Size, Operational Risk (January 2000).

www.scaigroup.com                                        © 2012 SCAI Group, Todos os Direitos Reservados


[1] New York State Insurance Department News Release: ―Allstate Should Report Any Illegal or Inappropriate Use  

of Credit Default Swaps"; (April, 2009)

[2] Principal–agent problem From Wikipedia, the free encyclopedia