-A maioria dos novos métodos “não financeiros” não é baseada em
qualquer teoria prévia sobre análise de riscos e não há evidência científica que tais métodos resultem em reduções mensuráveis do risco ou melhoria do processo decisório;
- Reconhece-se uma falta de habilidade generalizada em distinguir
métodos que funcionam dos métodos que não funcionam, e isso tem levado a um maior uso de métodos ineficazes de risk management, alguns até reputados como melhores práticas;
- Para responder a questão sobre as consequências de um risk
management deficiente o autor cita o caso de “common mode failure”, trazendo o exemplo de um DC10 que, em 1989, teve sua turbina sobre a cauda arrancada e, como consequência, danificou os três sistemas hidráulicos redundantes, levando a um plane crash. O acidente foi considerado como “um em um bilhão” pela imprensa e experts. Na realidade, a falha na turbina pode ter resultado de uma falha de inspeção (erro humano), que é muito mais provável que “um em um bilhão”. Assim, o processo de risk management deveria tentar controlar os erros humanos, e não falhas no material;
- O autor fala o maior dos riscos de uma organização é exatamente
um processo risk management deficiente, que pode não somente endereçar o problema errado mas, pior, ele próprio adicionar erros no processo decisório.
- Ás vezes os processo de risk management é vendido como “formal
e estruturado” e considerado “proven”. Pesquisas em organizações mostram que percentual relevante dos gerentes que dizem que seus processos de gerenciamento de riscos foram bem sucedidos relaciona esse sucesso ao fato do processo ter conseguido “construir um consenso”, “comunicar riscos” ou ainda “criar uma cultura de riscos”. No entanto, se o processo não aborda e mitiga os riscos de maneira apropriada, qual a vantagem de construir um consenso sobre isso, comunicar isso ou ainda mudar a cultura? Essa não é o principal objetivo do risk management.......
- Definições de riscos: probabilidade e magnitude de uma perda,
desastre ou outro evento indesejável; - Definição de risk management: identificação, avaliação e priorização de riscos seguida por uma aplicação coordenada e econômica de recursos para minimizar, monitorar e controlar a probabilidade e/ou impacto de eventos indesejáveis.
- Anedotas são frequentemente utilizadas para provar a eficácia (ou,
mais frequentemente, a ineficácia) do risk management. No entanto, as anedotas deveriam ser utilizadas para ilustrar um ponto, não para prová-lo;
- O autor acredita que o risk management está falho em razão de
três aspectos, todos independentes de anedotas:
- Com exceção de alguns métodos quantitativos aplicados em
algumas indústrias, a eficácia do risk management é quase nunca mensurada. A principal falha é que não há evidência experimental de que os métodos utilizados melhoram a avaliação e mitigação de riscos, especialmente os métodos mais simples (e mais populares);
- Algumas partes que foram mensuradas não funcionam. Desde
que muitos dos métodos de risk management se baseiam em julgamentos de experts, deveríamos considerar pesquisas que mostram como os humanos falham na percepção dos riscos e normalmente os subestimam. Outros métodos adicionam erros através de escalas arbitrárias ou uso de dados históricos de maneira ingênua, quando estes existem;
- Algumas partes que funcionam não são utilizadas.
Como nós sabemos o que realmente funciona?
- Ceticismo com auto-avaliações de processos de risk management
deve sempre existir, em face das pesquisas atuais relacionadas à percepção das pessoas sobre si mesmas;
- Dois pesquisadores de Cornell Justin Kruger e David Dunning
publicaram pesquisa na área de auto-avaliações mostrando que 2/3 da população classificam a si mesmos como melhores que a média em itens como habilidades de raciocínio, humor e gramática;
- A maior parte das empresas classificam seus próprios processos de
risk management como “muito efetivo”; - Estudos conduzidos pela Protiviti e pela AON mostraram o número de empresas que concluíram que seus processos de risk management eram muito eficientes foi além do esperado, e a maioria informou que realmente quantificava riscos;
- Para a maior parte das organizações, o “estado da arte” é uma
análise puramente qualitativa. Elas fazem pesquisas e workshop e propõem uma lista de riscos. Elas propõem um ranking com frequência e impacto, cada um desses itens avaliados segundo uma escala, por exemplo, de 1 a 5. “Isto não é exatamente o que consideramos como análise de risco quantitativa”, afirma Christopher Bohn, da Aon Global Risk Consulting;
- Os seguintes argumentos são utilizados como “evidências” de um
processo de risk management bem sucedido:
- alguns dizem que stakeholders envolvidos no processo
avaliaram que o esforço foi um sucesso. Mas, como estudos sobre self-assessment demonstraram, tais julgamentos não são confiáveis. Sem uma medida objetiva e independente de risk management, a percepção de qualquer sucesso pode não passar de um efeito de placebo. Ou seja, eles podem se sentir bem acerca dessa situação somente pelo fato de estarem fazendo alguma coisa;
- Alguns arguem que o processo foi devidamente
“estruturado”. Há vários métodos estruturados que comprovadamente não funcionam (astrologia, por exemplo, é estruturada......);
- Frequentemente a “mudança de cultura” é mencionada
como um benefício do risk management. No entanto, o objetivo do risk management não é criar uma cultura. Adianta uma mudança de cultura se isso realmente não resultar em uma redução de riscos ou melhores decisões, devidamente fundamentadas?
- Os proponentes desse método podem arguir que o
mesmo ajudou a construir um consenso. Esse também não é o objetivo do risk management. Um consenso que leva a uma decisão equivocada apenas acelera o malogro da companhia;