Explorando o potencial da Gestão de Risco: uma reflexão baseada no framework FAIR

Resumo

O artigo tem como objetivo ressaltar que a adoção de gestão de risco por organizações pode trazer resultado de curto a longo prazo e que a prática é negligenciada por muitas organizações. As instituições de ensino se apegam apenas a um padrão de melhores práticas de gestão de risco e ignoram outras metodologias e padrões de gestão de risco. A análise de risco vai muito além de apenas uma simples análise de probabilidade e impacto e outros fatores precisam ser considerados. O método empregado foi baseado em literatura técnica e científica e como resultado obtido a demonstração ao leitor de que é possível realizar uma análise de risco de forma simples através de cenários práticos do dia a dia e que podem ser replicados em qualquer área.

Palavras-Chave: Gestão de risco. Vulnerabilidade. Probabilidade. Impacto. 

1. Introdução

O ano de 2020 está sendo muito desafiador uma vez que muitos não esperavam que uma pandemia ocorresse e as empresas não estavam preparadas para lidar com uma ameaça dessa magnitude. Por outro lado, a pandemia traz algumas oportunidades para aquelas empresas que se mantiveram no mercado, como adaptar o seu modo de operação e maior atenção ao gerenciamento de risco.

A pandemia do coronavírus seria um cisne negro? Mas o que seria um cisne negro?

O filósofo libanês Nassim Taleb criou o conceito cisne negro para designar um evento que é fora da curva, ou seja, um evento imprevisível e de altíssimo impacto. No livro de Taleb (2008) – A Lógica do Cisne Negro – ele chama de cisnes negros acontecimentos que são inesperados e que trazem grandes consequências, que podem ser tanto negativas (ameaças) quanto positivas (oportunidades).

Voltando a pergunta inicial se a pandemia do coronavírus seria um cisne negro, em termos de imprevisibilidade, a resposta é não. Em janeiro de 2020 o World Economic Forum emitiu o The Global Risk Report 2020 – O Relatório de Riscos Globais 2020 – onde foi identificado o risco de uma pandemia, como mostrado no gráfico da figura 1.

Figura 1 – Risco identificado de doença infecciosa – Fonte: Site weforum.org

As empresas e nações ao longo do mundo sabiam da existência do risco, mesmo que no relatório apresentado a probabilidade não estivesse alta, não é possível afirmar que tivemos um cisne negro, pois era de conhecimento de todos ou pelo menos daqueles que se propuseram a ler o relatório, que é de acesso livre. 

2. Contexto da gestão de risco nas organizações

Como informado no início do artigo, a pandemia trouxe algumas oportunidades, entre elas, uma atenção maior à gestão de risco nas organizações que até então era negligenciada e não tinha muita importância. Esta afirmação pode soar forte, mas em seminários de gerenciamento de riscos – Risk Management Summit – nas edições de 2012, 2013 e no ano de 2014 na qual participei do painel de discussão “A Cultura do Gerenciamento de Risco nas Organizações” em um público estimado de 250 pessoas assistindo o evento, foi solicitado que levantassem as mãos aquelas pessoas que trabalhavam em empresas que tinham a prática da gestão de risco. E para surpresa, apenas 4 pessoas levantaram suas mãos.

O ritmo de trabalho em muitas organizações é muito intenso ao ponto de seus colaboradores se tornarem “apagadores de incêndios” por não dedicarem tempo ao planejamento e gestão de riscos, o que resultará no surgimento de vários cisnes negros, onde alguns poderão ser fatais para a organização.

As áreas das empresas tem suas metas a serem atingidas, mas problemas ocorrerão, custos e prazos não serão cumpridos, o mundo é probabilístico e não determinístico, e dedicar tempo para se antecipar as ameaças e oportunidades fará com que a organizações estejam mais preparadas para as adversidades e usufruir de oportunidades que possam vir a ocorrer.

3. Contexto da capacitação em gestão de risco

Muitos cursos de pós graduação e treinamentos de extensão em gerenciamento de projetos na disciplina de gerenciamento de risco se apegam apenas a uma metodologia ou padrão, a maioria esmagadora utiliza apenas o PMBOK – Project Management Body of Knowledge – do PMI – Project Management Institute – com seus processos, ferramentas e técnicas, sem se aprofundarem na análise quantitativa dos riscos e se limitam a fazer uma matriz de probabilidade e impacto.

A gestão de risco vai além de uma simples análise de probabilidade e impacto e por mais que um gerente de projetos esteja comprometido em fazer a gestão de risco, não é ele quem irá fazer a identificação dos riscos, o papel dele é de ser o facilitador de todo o processo e deverá contar com recursos de áreas funcionais e especialistas e é necessário que a empresa tenha essa cultura e que todos se sintam responsáveis pela gestão de risco. E apenas com o PMBOK não fará com que os profissionais tenham esse entendimento, é preciso que os profissionais tenham uma visão mais abrangente do que se tem no mercado e não se apegar apenas a um padrão ou método. Deve ter um “canivete suíço” com opções que possa ser aplicado ou até combinado de acordo com sua necessidade e contexto que está inserido.

Na próxima seção será abordado um cenário onde ficará mais claro porque não devemos nos prender apenas a um método ou padrão de gerenciamento de risco.

4. Análise de risco além de probabilidade e impacto

Na gestão de risco precisamos avaliar a probabilidade de ocorrência e o impacto negativo ou positivo que o evento, caso se materialize, causará aos objetivos. Mas a gestão de risco vai além de uma simples análise de probabilidade e impacto, há outros fatores que precisamos analisar.

Um framework de gestão de risco que nos faz pensar além de probabilidade e impacto é o FAIR – Factor Analysis Information Risk – que foi concebido para a área de cyber security e trata apenas de ameaças. Com o conhecimento da sua ontologia, é possível aplicarmos no nosso dia a dia.

Figura 2 – Ontologia do framework FAIR – Fonte: Adaptação Measuring and Managing Information Risk: A FAIR Approch (2014)

4.1. Aplicação prática na pandemia

A OMS – Organização Mundial da Saúde – desde o início da pandemia orienta que as pessoas fiquem em suas residências, principalmente aquelas pessoas que pertencem aos grupos de risco. Mas por que o isolamento social é de suma importância?

Na perspectiva de gestão de risco do framework FAIR ele ressalta que o tempo de exposição ao risco, no cenário em questão o vírus, faz com que tenha uma elevação na frequência da ameaça, na qual ele chama de CF – Frequência de contato. Quanto mais tempo ficamos expostos ao risco (vírus) mais chance temos da ameaça se materializar. Por este motivo que o isolamento social se faz necessário para que não fiquemos expostos a ameaça.

Com a redução de exposição ao risco, a probabilidade de ação (PoA) de uma ameaça entrar em contato diminui significantemente, fazendo com que a ameaça seja reduzida, na qual o framework FAIR chama de TEF – frequência de evento de ameaça.

As ameaças se materializam quando há alguma vulnerabilidade. É necessário que se encontrem os pontos vulneráveis e identifiquem as ações que neutralizem as ameaças. Vamos a um exemplo: você está no seu apartamento e o síndico do prédio não permite que entregadores subam para fazer a entrega. Isso fará com que você tenha que pegar o elevador para chegar até a portaria do seu prédio. A vulnerabilidade que o FAIR chama de Vuln está quando há alguém dentro do elevador e sem máscara em um ambiente confinado. Possíveis ações neutralizadoras que o FAIR chama de Diff poderiam ser: utilização de máscara e pegar o elevador apenas quando não tiver ninguém. As ameaças que o FAIR chama de TCap seria uma pessoa dentro do elevador sem máscara, o que não dá para garantir se a pessoa está infectada ou não. Então, é necessário que tenhamos ações neutralizadoras para inibir as ameaças para que a vulnerabilidade seja reduzida.

Com a redução da vulnerabilidade (Vuln) e a frequência de evento de ameaça (TEF), a probabilidade de haver um impacto ou perda que o FAIR chama de LEF, será muito baixa.

Na figura 3 é demonstrado com mais detalhes como o framework FAIR pode ser aplicado. 

Figura 3 – Análise FAIR no cenário do coronavírus – Parte 1

A medida de isolamento social exigida pelos governos estaduais e municipais fizeram com que as empresas tivessem impacto financeiro e, como consequência, um aumento de perda de postos de trabalho na sociedade e perda de arrecadação de impostos pelo governo.

Enquadrando na ontologia FAIR, seria o elemento de risco secundário SR que é a exposição as perdas das partes interessadas primárias devido as possíveis reações secundárias ao evento primário. 

Da perspectiva das empresas, deixando de faturar e com a necessidade de demitir seus funcionários, se enquadra em uma frequência de evento de perda secundária SLEF que é dado pelo percentual de eventos primários que tem efeitos secundários.

São esses os motivos que fizeram os governos municipais e estaduais afrouxarem o isolamento social para reaquecer a economia.

Na figura 4 conseguimos ver com mais detalhes a parte da magnitude da perda que o FAIR chama de LM.

Figura 4 – Análise FAIR no cenário do coronavírus – Parte 2

4.2. Aplicação prática em acidentes domésticos

Vejamos esta segunda aplicação prática de riscos de acidentes domésticos. Na seção anterior já foram abordados os elementos da ontologia do framework FAIR, então nesta seção vamos ser mais direto na aplicação prática.

4.2.1. Vulnerabilidades

Comecemos pelas vulnerabilidades como ponto de partida, as pessoas podem caminhar por suas residências com um olhar crítico buscando por pontos vulneráveis, ou seja, aqueles pontos que tem uma ameaça iminente onde algum acidente possa ocorrer.

Ao caminhar pela sua residência em busca de pontos de vulnerabilidades, você identifica que na escada que dá acesso ao terraço, o piso está sempre molhado (TCap) e que não há nenhum corrimão nas paredes ou frisos antiderrapantes, que poderiam ser seus possíveis Diffs. Neste caso, há uma grande vulnerabilidade que um acidente ocorra neste ponto.

As crianças pequenas brincam correndo de um lado para o outro dentro de casa, e você identifica que há armários com quinas (TCap), que se alguma criança escorregar e bater com a cabeça, poderá ter um grande acidente. Um grande ponto de vulnerabilidade. Para minimizar essa situação, você compra cantoneiras (Diff) para minimizar o trauma, caso ocorra.

Seus pais idosos moram em casa sozinhos, e mesmo em um cenário de pandemia, você resolve ir até a casa deles para verificar as vulnerabilidades (claro, se cercando de todos os cuidados e utilizando máscara e uso do álcool em gel ao chegar), e constata que na cozinha, o botão de acionamento do fogão não estava funcionando e que sua mãe idosa estava usando fósforo, e por ser uma pessoa de muita idade, demora muito tempo até conseguir acender o fósforo e com o gás aberto. A demora de riscar o fósforo é um TCap elevado, então você resolve comprar um acendedor de fogão elétrico (Diff) para reduzir essa vulnerabilidade.

4.2.2. Ação direta nas ameaças

Na seção anterior de vulnerabilidades onde o primeiro exemplo foi a escada de acesso ao terraço, ao determinar que ninguém irá acessar ao terraço até que as Diffs (Corrimão e friso antiderrapante) sejam providenciados é um caso de se evitar a CF, ou seja, a ameaça não entrará em contato com as pessoas, e consequentemente a PoA será zerada, já que como as pessoas não utilizarão a escada de acesso ao terraço, a probabilidade será nula.

Da mesma forma, os pais simplesmente poderão determinar e dar ordens as crianças que elas não poderão correr dentro de casa, que seria um caso de se eliminar o CF no caso de corrida, mas nada impede que alguém tropece e também bata em uma das quinas do armário. As crianças, normalmente, têm muita energia e os pais não podem assegurar que elas obedecerão às suas ordens. Nem sempre é possível anularmos a CF e PoA. Neste caso se faz necessário reforçar às Diffs.

Na figura 5 é demonstrada a ontologia completa do framework FAIR para análise dos riscos de acidentes domésticos.

Figura 5 – Ontologia FAIR para análise de riscos de acidentes domésticos

A definição de Loss Event Frequency (LEF), segundo o FAIR é ” a frequência provável em um determinado período de tempo, que uma perda se concretizará pela ação de uma ameaça”. No cenário de riscos de acidentes domésticos, a perda seria o acidente em si, que pode ser um ferimento ou um trauma, ou até nos casos mais severos a perda de uma vida.

5. Considerações finais

Neste artigo foi abordado porque os cisnes negros ocorrem, e muitas vezes é devido a negligência na gestão de risco ou pela falta de um processo eficaz. É necessário dedicar tempo ao planejamento e a gestão de risco para que os colaboradores não virem “apagadores de incêndios”.

Ainda neste artigo, foi abordado que a maioria das instituições de ensino se prendem apenas a um padrão de gestão de risco e se faz necessário que os profissionais tenham um leque de opções para avaliar o que melhor se adequa a sua necessidade e contexto. E que o processo de gestão de risco vai além de uma simples análise de probabilidade e impacto, outros fatores precisam ser analisados, como demonstrado nos cenários de pandemia e acidentes domésticos com a utilização do framework FAIR. Ter conhecimento de apenas um padrão ou método faz com que os profissionais deixem de explorar análises mais aprofundadas e outros conceitos.

Existe um padrão ou metodologia de gestão de risco que seja melhor? Minha resposta é que a melhor metodologia é aquela que supre as suas necessidades e se encaixa ao contexto que está inserido, mas volto a enfatizar que não podemos ficar amarrado apenas a um método e precisamos sempre estar estudando novos modelos, com isso, seu leque de opções aumentará e sua visão será ampliada e com maior senso crítico.

Referências

FREUND, Jack; JONES, Jack. Measuring and managing information risk: a FAIR approach. Butterworth-Heinemann, 2014.

TALEB, Nassim Nicholas. A lógica do cisne negro. São Paulo: Best Seller, 2008.

World Economic Forum: The Global Risks Report 2020. 15 Jan 2020. Disponível em: < https://www.weforum.org/> Acesso em 28 Ago 2020

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *