AVALIAÇÃO DO RISCO

Avaliação é o processo de determinar a significância ou o valor dos perigos identificados e dos riscos estimados para aqueles envolvidos ou afetados pela decisão. Na avaliação do risco, é necessário avaliar a situação e verificar se o nível de risco é aceitável, com base nos benefícios potenciais e nos indicadores de risco prescritos.

Segundo Miranda (2017, p. 137), “a finalidade da avaliação de riscos é auxiliar na tomada de decisões com base nos resultados da análise de riscos e quais riscos necessitam de tratamento.” A avaliação deve ser feita para cada um dos riscos identificados, partindo-se de mensurações probabilísticas, ou seja, a chance de cada evento de risco ocorrer de fato. Além do mais, os impactos decorrentes desses riscos também são avaliados nessa etapa. Após os riscos terem sido identificados e estimados, sua probabilidade e impacto podem ser combinados para fins de elaboração de uma listagem de relevância.

No entendimento de Brasiliano (2016), a metodologia a ser utilizada para a avaliação de riscos possui dois parâmetros. Primeiramente, saber qual a chance (probabilidade) de os

riscos serem concretizados, frente à condição existente de cada processo e área do negócio e, em segundo lugar, calcular o impacto caso o risco ocorra de fato.

Segundo o autor, a probabilidade do risco é calculada por meio de três critérios, sendo que cada um deles possuirá um peso diferenciado, tendo em vista seu grau de importância, conforme figura 6. Cada um desses pesos geralmente é adaptado de acordo com as características de cada organização. No diz respeito ao controle/segurança, deve ser avaliado os fatores de risco (verificação de causa e efeito) e controles identificados na análise situacional, sendo que quanto maior a nota, pior é a condição de segurança dos controles. Para a frequência e exposição, são verificados como o risco costuma de manifestar, considerando históricos internos ou externos. Por fim, no intervalo é avaliada a questão da frequência de avaliação/auditoria e revisão dos controles nos processos, procedimentos e revisão do próprio processo (exemplo: bienal, anual, semestral). Quanto maior o intervalo, maior é sua fragilidade (BRASILIANO, 2016).

Figura 6 - Critérios de Probabilidade

Fonte: Brasiliano (2016, p. 187).

Para cálculo do impacto do risco, não se deve considerar tão somente o aspecto da perda financeira. É preciso uma visão holística do impacto, prospectando assim todas as consequências decorrentes dos riscos. Brasiliano (2016) determina que cada fator de impacto tem um peso diferenciado, tendo em vista seu grau de importância. Cada critério de impacto possui um peso e também uma nota de valoração, tendo em vista o nível de consequência, conforme figura 7:

Figura 7 - Critérios de Impacto

Fonte: Brasiliano (2016, p. 190).

Os exemplos citados pelo autor representam fatores de impacto frequentes nas organizações, indo além dos aspectos financeiros. Na realidade, os pesos devem ser adaptados de acordo com a realidade particular de cada organização. No caso do fator imagem (ou reputação), os impactos podem ser graduados de acordo com o alcance da repercussão (local, nacional, internacional).

Na etapa de avaliação, é bastante comum a utilização de uma matriz de riscos, que consiste numa ferramenta capaz de classificar qualitativamente os pesos de impacto e probabilidade (MIRANDA, 2017). Na análise de Domokos et al. (2015), as matrizes de risco compreendem o método mais difundido de avaliação de risco e servem para determinar a significância dos riscos e sua ordem de prioridade. A matriz é um procedimento de “ponderação” de duas variáveis, em que uma variável é a extensão do impacto e a outra é a probabilidade do risco ocorrer.

Na matriz, os riscos podem ser classificados de diversas formas, podendo ser 3x3, 5x5, entre outras configurações, variando-se as escalas, não havendo um padrão pré-determinado. Os valores de risco são mais frequentemente expressos em forma textual (baixo, médio e alto). O uso de uma matriz de risco reflete a abordagem de análise orientada para a prática, mas tem a desvantagem de levar em consideração apenas dois fatores. O nível de materialidade pode ser determinado quando os valores de risco resultantes são conhecidos e serve como linha de base para identificar os riscos relevantes (materiais) dos vários processos/atividades, bem como para a classificação de processos por risco (DOMOKOS et al., 2015).

Figura 8 - Matriz de Impacto x Probabilidade

Fonte: Souza e Brasil (2017).

Os eixos das duas dimensões são divididos em várias categorias qualitativas, tipicamente descrições como “alta”, “média” e “baixa”. Cada par de duas categorias de entrada corresponde a uma célula de risco, e para cada célula é atribuída uma classificação. As classificações são geralmente denotadas por cores diferentes, como verde, amarelo, vermelho e assim por diante, e uma matriz de risco consiste, portanto, em várias células classificadas de maneira diferente.

Apesar de possuírem algumas limitações, as matrizes de risco são fáceis de implementar e podem ser implementadas mesmo quando os dados são limitados. Portanto, eles se tornaram ferramentas populares de apoio à decisão nos setores público e privado, em áreas que envolvem risco de integridade, gerenciamento de risco de perfuração, respostas de mudanças climáticas, entre outros campos (LI; BAO; WU, 2018).

O nível de risco de uma organização (apetite de risco) é uma questão fundamental para a avaliação de risco, ou seja, o nível de riscos que a organização está pronta para aceitar antes de considerar necessário tomar medidas de resposta. Isso ocorre porque a decisão sobre as medidas está correlacionada ao grau de risco que uma organização aceita.

Hill (2001) cita que existem dois métodos gerais para prever a probabilidade de eventos futuros: a) utilização de informações históricas para criar previsões probabilísticas de eventos futuros e b) técnicas de modelagem futura. Já Hubbard (2009), por exemplo, traz algumas abordagens não convencionais, conforme descrito a seguir:

 Intuição de especialistas: este é um tipo de método de gerenciamento de risco, sendo considerado pura intuição, livre de classificações estruturadas ou sistemas de avaliação de qualquer tipo. Não há pontos, probabilidades, escalas ou mesmo categorias padronizadas;

 Auditoria especializada: método intuitivo, no entanto mais sistemático. Especialistas, geralmente externos à empresa, tentam desenvolver listas de verificação abrangentes e podem ou não usar os métodos formais de pontuação ou estratificação;

 Métodos simples de estratificação: estes usam escalas de avaliação "verde- amarelo-vermelho" ou "alto-médio-baixo" em uma variedade de empreendimentos arriscados. Tais termos podem ser usados para avaliar independentemente a probabilidade e a consequência, de modo que os riscos possam ser exibidos em um mapa bidimensional. Este mapa é às vezes chamado de mapa de calor (onde um código de cores é usado e o vermelho é o mais arriscado ou “quente”) ou às vezes uma matriz de risco, mapa de risco e assim por diante. Às vezes, uma escala de pontos (por exemplo, de 1 a 5) é usada para avaliar a probabilidade e a consequência, de modo que os dois valores possam ser multiplicados para obter uma “classificação de risco”.  Pontuações ponderadas: há também métodos de pontuação mais elaborados

com dezenas de “indicadores de risco”, cada um em uma escala, que são então multiplicados por algum “peso” para que possam ser adicionados a uma “classificação de risco ponderada”.

 Análise financeira tradicional (sem uso da probabilidade): às vezes, há tentativas de capturar análises de risco dentro dos limites das ferramentas convencionais de análise financeira. Por exemplo, uma “taxa de desconto” é usada para ajustar fluxos de caixa futuros para refletir o valor mais baixo de investimentos arriscados. Pode-se também elaborar “melhor alternativa” e “pior alternativa” para os custos e benefícios de várias decisões.

 Cálculos de alternativas: métodos como a teoria de utilidade multi-atributo (MAUT), tomada de decisão multicritério (MCDM) e processo de hierarquia analítica (AHP) são mais estruturados do que a pontuação ponderada, mas em última análise ainda dependem dos julgamentos de especialistas. No caso do

AHP, um método mais sofisticado é usado para determinar se os julgamentos de especialistas são pelo menos consistentes internamente.

 Modelos probabilísticos: os analistas de risco mais sofisticados acabarão por usar alguma forma de modelos probabilísticos em que as probabilidades de várias perdas e suas magnitudes são computadas matematicamente. É a base para modelar o risco no setor de seguros e em grande parte do setor financeiro. Na figura 6, tem-se um exemplo do método de pontuações ponderadas:

Figura 9 - Método de Avaliação de Risco por Pontuações Ponderadas

Fonte: Hubbard (2009).

Cada letra representa um evento de risco, classificadas na forma de matriz de riscos, em escalas de intensidade e probabilidade de ocorrência de cada evento.

No entanto, Hill (2001) ressalta que a estimativa de risco probabilística quantitativa, embora derivada de teoria e informação científica, pode incluir o julgamento profissional sobre a importância de certos resultados, a aceitabilidade da incerteza e assim por diante.

Ou seja, a estimativa de risco do leigo, embora menos sistemática do que a de um cientista é intuitivamente sofisticada e pode refletir considerações importantes que diferem de uma avaliação científica. Devem ser considerado dentro de um quadro social mais amplo, a fim de compreender que riscos e que nível de risco são importantes e aceitáveis para o público. No governo, os formuladores de políticas públicas devem determinar estimativas de risco que sejam técnica e socialmente válidas.

Cursos de ação para reduzir cada risco também devem ser identificados juntamente com os benefícios e custos de cada curso de ação, havendo assim eficiência no processo de avaliação dos riscos (EGBUJI, 1999). Leva-se isso em consideração porque a avaliação de riscos pode ser bastante sofisticada e com alto custo de implantação, a depender do tipo de

técnica aplicada, como VaR (Value-at-Risk), EaR (Earnings-at-Risk), Risk-Metrics, dentre outros métodos de natureza quantitativa.

É importante ressaltar que os riscos identificados e avaliados são, a princípio, riscos inerentes da organização, ou seja, aqueles que ainda não foram tratados ou mitigados pela administração para fins de redução da probabilidade e impactos gerados pelos mesmos. No entanto, as repostas adotadas pela gerência nem sempre eliminam o risco completamente. É o caso dos riscos residuais ou remanescentes após serem tomadas as medidas de controle que visam atenuar probabilidade e impacto.

De acordo com Miranda (2017), a análise de riscos só se completa quando as ações que a gestão adota para responder a eles são também avaliadas chegando-se ao nível de risco residual, incluindo os controles internos e outras ações. Portanto, se a organização contempla a avaliação do risco inerente, após a utilização da matriz de riscos deve ser realizada a avaliação dos controles já em uso. Na sequencia, deve-se voltar a matriz de riscos para nova avaliação do risco residual considerando os controles já existentes.

A seguir será discutida a etapa de respostas aos riscos inerentes.