The failure of risk management

-A maioria dos novos métodos “não financeiros” não é baseada em

qualquer teoria prévia sobre análise de riscos e não há evidência
científica que tais métodos resultem em reduções mensuráveis do
risco ou melhoria do processo decisório;

- Reconhece-se uma falta de habilidade generalizada em distinguir

métodos que funcionam dos métodos que não funcionam, e isso tem
levado a um maior uso de métodos ineficazes de risk management,
alguns até reputados como melhores práticas;

- Para responder a questão sobre as consequências de um risk

management deficiente o autor cita o caso de “common mode
failure”, trazendo o exemplo de um DC10 que, em 1989, teve sua
turbina sobre a cauda arrancada e, como consequência, danificou os
três sistemas hidráulicos redundantes, levando a um plane crash. O
acidente foi considerado como “um em um bilhão” pela imprensa e
experts. Na realidade, a falha na turbina pode ter resultado de uma
falha de inspeção (erro humano), que é muito mais provável que “um
em um bilhão”. Assim, o processo de risk management deveria tentar
controlar os erros humanos, e não falhas no material;

- O autor fala o maior dos riscos de uma organização é exatamente

um processo risk management deficiente, que pode não somente
endereçar o problema errado mas, pior, ele próprio adicionar erros no
processo decisório.

- Ás vezes os processo de risk management é vendido como “formal

e estruturado” e considerado “proven”. Pesquisas em organizações
mostram que percentual relevante dos gerentes que dizem que seus
processos de gerenciamento de riscos foram bem sucedidos relaciona
esse sucesso ao fato do processo ter conseguido “construir um
consenso”, “comunicar riscos” ou ainda “criar uma cultura de riscos”.
No entanto, se o processo não aborda e mitiga os riscos de maneira
apropriada, qual a vantagem de construir um consenso sobre isso,
comunicar isso ou ainda mudar a cultura? Essa não é o principal
objetivo do risk management.......

- Definições de riscos: probabilidade e magnitude de uma perda,

desastre ou outro evento indesejável;
- Definição de risk management: identificação, avaliação e priorização
de riscos seguida por uma aplicação coordenada e econômica de
recursos para minimizar, monitorar e controlar a probabilidade e/ou
impacto de eventos indesejáveis.

- Anedotas são frequentemente utilizadas para provar a eficácia (ou,

mais frequentemente, a ineficácia) do risk management. No entanto,
as anedotas deveriam ser utilizadas para ilustrar um ponto, não para
prová-lo;

- O autor acredita que o risk management está falho em razão de

três aspectos, todos independentes de anedotas:

- Com exceção de alguns métodos quantitativos aplicados em

algumas indústrias, a eficácia do risk management é quase nunca
mensurada. A principal falha é que não há evidência experimental de
que os métodos utilizados melhoram a avaliação e mitigação de
riscos, especialmente os métodos mais simples (e mais populares);

- Algumas partes que foram mensuradas não funcionam. Desde

que muitos dos métodos de risk management se baseiam em
julgamentos de experts, deveríamos considerar pesquisas que
mostram como os humanos falham na percepção dos riscos e
normalmente os subestimam. Outros métodos adicionam erros
através de escalas arbitrárias ou uso de dados históricos de maneira
ingênua, quando estes existem;

- Algumas partes que funcionam não são utilizadas.

Como nós sabemos o que realmente funciona?

- Ceticismo com auto-avaliações de processos de risk management

deve sempre existir, em face das pesquisas atuais relacionadas à
percepção das pessoas sobre si mesmas;

- Dois pesquisadores de Cornell Justin Kruger e David Dunning

publicaram pesquisa na área de auto-avaliações mostrando que 2/3
da população classificam a si mesmos como melhores que a média
em itens como habilidades de raciocínio, humor e gramática;

- A maior parte das empresas classificam seus próprios processos de

risk management como “muito efetivo”;
- Estudos conduzidos pela Protiviti e pela AON mostraram o número
de empresas que concluíram que seus processos de risk management
eram muito eficientes foi além do esperado, e a maioria informou que
realmente quantificava riscos;

- Para a maior parte das organizações, o “estado da arte” é uma

análise puramente qualitativa. Elas fazem pesquisas e workshop e
propõem uma lista de riscos. Elas propõem um ranking com
frequência e impacto, cada um desses itens avaliados segundo uma
escala, por exemplo, de 1 a 5. “Isto não é exatamente o que
consideramos como análise de risco quantitativa”, afirma Christopher
Bohn, da Aon Global Risk Consulting;

- Os seguintes argumentos são utilizados como “evidências” de um

processo de risk management bem sucedido:

- alguns dizem que stakeholders envolvidos no processo

avaliaram que o esforço foi um sucesso. Mas, como estudos
sobre self-assessment demonstraram, tais julgamentos não
são confiáveis. Sem uma medida objetiva e independente de
risk management, a percepção de qualquer sucesso pode não
passar de um efeito de placebo. Ou seja, eles podem se
sentir bem acerca dessa situação somente pelo fato de
estarem fazendo alguma coisa;

- Alguns arguem que o processo foi devidamente

“estruturado”. Há vários métodos estruturados que
comprovadamente não funcionam (astrologia, por exemplo, é
estruturada......);

- Frequentemente a “mudança de cultura” é mencionada

como um benefício do risk management. No entanto, o
objetivo do risk management não é criar uma cultura.
Adianta uma mudança de cultura se isso realmente não
resultar em uma redução de riscos ou melhores decisões,
devidamente fundamentadas?

- Os proponentes desse método podem arguir que o

mesmo ajudou a construir um consenso. Esse também não é
o objetivo do risk management. Um consenso que leva a uma
decisão equivocada apenas acelera o malogro da companhia;