Vejo que a gestão moderna de riscos é muito mais focada em fatores humanos do que em processos, procedimentos e conformidade com padrões e frameworks, e infelizmente não existe uma abordagem única que sirva para todos, onde por exemplo seguir a ISO 31000 à risca pode até ser ineficaz na gestão real de riscos, simplesmente devido aos fatores humanos de conduta e decisões de resposta ao risco tomadas pelas pessoas.
Queria então abordar o difícil e desafiador tema de construir uma Cultura de Risco, que é sempre um processo de crescimento e melhoria contínua na forma como cada pessoa em uma empresa responderá a uma situação de risco, visando mitigar, controlar e otimizar esse risco para o benefício da empresa.
Começo então listando abaixo alguns tipos de cultura de riscos que vemos por aí:
- Cultura de Risco Ruim: Pessoas não se importam e não fazem a coisa certa, independentemente das políticas, procedimentos e controles de risco.
- Cultura de Risco Típica: Pessoas tendem a se importar mais e farão a coisa certa quando as políticas, procedimentos e controles de risco estão em vigor.
- Boa Cultura de Risco: Pessoas se importam e farão a coisa certa mesmo quando as políticas, procedimentos e controles de risco não estão em vigor.
- Cultura de Risco Eficaz: Pessoas se importam o suficiente para pensar sobre os riscos associados ao seu trabalho antes de tomar decisões diárias.
- Cultura de Risco Ideal: Cada pessoa age como um gestor de risco, avaliando, controlando e otimizando riscos constantemente para tomar decisões informadas e construir uma vantagem competitiva sustentável para a organização.
Qual o tipo ou estágio de maturidade sua empresa está acima?
Nenhuma pessoa responde da mesma forma a uma situação de risco, pois a resposta de qualquer indivíduo a um risco é influenciada por diversos fatores, que vou tentar listar alguns mais relevantes abaixo:
- Nacionalidade e Cultura: A perspectiva cultural molda a percepção e resposta ao risco.
- Experiências de Infância e Ambiente Formativo: O ambiente em que a pessoa cresceu influencia suas atitudes em relação ao risco.
- Ética de Trabalho, Confiança e Honestidade: Valores pessoais impactam diretamente a resposta ao risco.
- Educação: O nível e método de obtenção de educação influenciam a compreensão e abordagem ao risco.
- Experiência de Trabalho: Experiências anteriores moldam a percepção de riscos.
- Religião e Pensamento Espiritual: Crenças pessoais podem influenciar a tolerância ao risco.
- Atitude em Relação à Vida e Morte: A visão de vida de uma pessoa impacta sua disposição a correr riscos.
Normalmente os gestores de risco geralmente falharam em abordar esses aspectos humanos subjacentes, onde desde a publicação do Acordo de Basileia, e da ISO 31000 e outros padrões e regulamentos, tem sido argumentado que a conformidade com esses padrões mitigará e controlará os riscos, mas infelizmente, no entanto, isso só é verdadeiro se os padrões e regulamentos forem adotados dentro de uma Cultura de Gestão de Riscos eficaz. Assim como as políticas, procedimentos e sistemas, esses elementos são inúteis se a atitude humana, aceitação e resposta desejada faltarem.
Abordando o Risco Humano:
Por isso, entender melhor o aspecto do risco humano é a única maneira pela qual uma empresa pode melhorar a eficácia de como seus funcionários respondem a uma situação de risco. Sabemos que nenhuma empresa vai ter uma cultura de gestão de riscos perfeita, mas elas podem alcançar um nível de maturidade onde possuem um processo eficaz de cultura de risco e cada funcionário é consciente do risco, fazendo algo diariamente para mitigar, controlar e otimizar riscos.
Desenvolvimento da Cultura de Risco:
Por isso mesmo, o desenvolvimento de uma Cultura de Risco precisa focar na conscientização e treinamento em ética empresarial e comportamento humano, incentivando os comportamentos desejáveis e evitando os indesejáveis, onde as empresas devem avaliar frequentemente o progresso (ou não) no caminho para a maturidade e implementar planos de ação.
Avaliação da Maturidade da Cultura de Risco:
Para iniciar o processo de construção da Cultura de Risco, uma empresa precisa primeiro entender o seu nível atual de maturidade em relação a esta cultura de risco.
Normalmente usando algum tipo de abordagem de questionário ou checklist vinculada a uma planilha de pontuação, que depois é tabulada para quantificar uma pontuação geral, que é então vinculada a um nível de maturidade percebido. Em muitos casos as empresas chamam consultores experientes, que usam um processo de entrevista combinado com formulários, e depois os resultados são então debatidos e acordados por consenso com o cliente.
Embora a maioria das entradas em qualquer tipo de avaliação de maturidade cultural seja subjetiva, há valor em usar uma combinação de abordagens, mas geralmente o resultado, devido à natureza humana e percepção, é sempre mediano. Infelizmente esses processos também falham normalmente em conseguir identificar fraquezas específicas ou planos de ação.
Não há uma definição padrão para os diferentes níveis de maturidade, mas um aspecto interessante é que a maioria dos praticantes que trabalham nisso usam o conceito de cinco diferentes níveis de maturidade, o que contribui para que a maioria dos resultados consolidados termine no ponto médio.
Ferramentas de Avaliação de Maturidade:
Para melhorar a precisão dessas avaliações se usa conjuntos de perguntas focadas em seis áreas operacionais dentro da disciplina de gestão de riscos:
Políticas
Processos
Pessoas e Design Organizacional
Relatórios
Gestão e Controle
Sistemas e Dados
Uma ou mais das perguntas em cada área operacional estão vinculadas a um nível específico de maturidade da cultura de risco nos cinco níveis definidos de maturidade da cultura de risco, onde estas perguntas não precisam seguir nenhuma sequência relacionada aos diferentes níveis de maturidade e o usuário também não pode ver os cálculos matemáticos subjacentes, evitando a manipulação do processo de avaliação e tornando o resultado imprevisível pelo usuário.
O aspecto mais importante, além da medição precisa do nível de maturidade, é que ao comparar os níveis de maturidade em cada uma das seis áreas operacionais, a empresa pode identificar áreas que precisam de melhoria e focar seus planos de ação de acordo.
Os cinco níveis de maturidade da Cultura de Risco são definidos como:
Nível 1 = Cultura de Risco Ruim: Revisão urgente necessária, nenhum progresso e possivelmente sem estratégia.
Nível 2 = Cultura de Risco Típica: Algum progresso feito para estabelecer uma Cultura de Gestão Integrada de Riscos, foco e direção da estratégia de gestão integrada de riscos.
Nível 3 = Boa Cultura de Risco: Abaixo da média de maturidade da Cultura de Gestão Integrada de Riscos, revisão do processo de implementação.
Nível 4 = Cultura de Risco Eficaz: Nível razoável de Cultura de Gestão Integrada de Riscos estabelecida, revisão de resultados e relatórios.
Nível 5 = Cultura de Risco Ideal: Cultura de Gestão Integrada de Riscos madura, foco em melhoria contínua e valor agregado.
Em que nível de maturidade cultural acha que está sua empresa, na sua opinião?
A partir do posicionamento de sua empresa em um destes cinco níveis de maturidade nas áreas operacionais, vai existir logicamente depois um conjunto de padrões de orientação e necessidade de criar seus planos de ação para melhorar.
Processo de Construção da Cultura de Risco:
Uma vez que uma empresa entendeu o seu nível de maturidade em cada um dos temas relevantes acima sobre a gestão de riscos, o Conselho de Administração e a alta administração podem iniciar o processo da construção da Cultura de Risco, onde este processo de construção começa no topo, e infelizmente não existem melhores práticas que possam ser implementadas, a cultura de risco deve ser construída sobre a cultura corporativa subjacente, tornando cada processo de construção de cultura de risco específico e único para a empresa, fazendo com que seja um processo de mudança para instilar novos comportamentos no time, tanto os comportamentos que a liderança deseja encorajar quanto os comportamentos que deseja evitar.
Conforme destacado por vários especialistas, um foco contínuo na cultura é essencial para evitar crises. A má conduta pode ser exacerbada quando as empresas estão sob pressão, tornando crucial uma cultura de risco que opera de maneira interdisciplinar, incorporando demandas cognitivas, organizacionais, ambientais, contextuais e tecnológicas.
Existem três classes gerais de fatores cognitivos que governam como as pessoas formam intenções para agir em resposta a uma situação de risco ou a uma decisão relacionada:
Fatores de Conhecimento: Relacionados às experiências e conhecimentos históricos que podem ser utilizados na resolução de problemas em contexto. Use o que você sabe.
Dinâmicas de Atenção: Governam o controle da atenção e a gestão da carga mental à medida que as situações evoluem e mudam ao longo do tempo. Reserve um tempo para pensar.
Fatores Estratégicos: Os trade-offs entre objetivos que conflitam, especialmente quando os praticantes devem agir sob incerteza, risco e pressão de recursos limitados (por exemplo, pressão de tempo; custos de oportunidade). Quais são os possíveis resultados e as consequências desses resultados?
A conscientização sobre riscos é essencialmente dar aos trabalhadores uma “licença para pensar”, onde requer que os líderes reconheçam que pode haver uma lacuna entre o “trabalho como imaginado” pelos líderes e o “trabalho como realmente executado” pelos trabalhadores.
Ensinar a todos os funcionários habilidades de gestão de riscos e construir uma cultura de risco eficaz é a única maneira de ter uma gestão de riscos sólida em todos os níveis e alcançar uma vantagem competitiva sustentável.