Por Scott Fenstermaker
“Hidra, de cujo corpo único brotavam cem pescoços, cada um com a cabeça de uma serpente. E quando uma cabeça era cortada, o lugar onde foi cortada fazia nascer duas outras; por isso era considerada invencível, e com razão, pois a parte dela que era subjugada fazia nascer uma dupla ajuda em seu lugar.”
-Diodoro Siculus, Biblioteca de História 4. 11. 5 (trans. Oldfather) (historiador grego do século I a.C.)
Se eventualmente te encontrares em Florença, Itália, na famosa Galleria degli Uffizi, procura uma obra-prima pouco conhecida: Hércules matando Anteu, de Pollaiuolo, que retrata o 11º dos 12 trabalhos de Hércules: matar com as suas próprias mãos Anteu, o Gigante, filho de Poseidon e da deusa da terra Gaia. O que tornava Antaeus quase impossível de matar era o facto de poder retirar força da terra, tornando-o mais forte de cada vez que era derrubado. Assim, qualquer dano que os adversários lhe infligissem tornava Anteu ainda mais difícil de derrotar. Hércules teve de segurar Antaeus completamente fora do chão para finalmente o estrangular. Avançando quinhentos e cinquenta anos, Nassim Taleb cunhou o termo “antifrágil” para descrever os sistemas que não só resistiam à volatilidade como eram positivamente melhorados por ela. No seu livro Antifragile: Things That Gain from Disorder, escreveu
Algumas coisas beneficiam dos choques; prosperam e crescem quando expostas à volatilidade, à aleatoriedade, à desordem e aos factores de stress e adoram a aventura, o risco e a incerteza. No entanto, apesar da ubiquidade do fenómeno, não existe uma palavra para o exato oposto de frágil. Chamemos-lhe antifrágil. A antifragilidade está para além da resiliência ou da robustez. O resiliente resiste aos choques e mantém-se na mesma; o antifrágil melhora. Esta propriedade está por detrás de tudo o que mudou com o tempo: a evolução, a cultura, as ideias, as revoluções, os sistemas políticos, a inovação tecnológica, o sucesso cultural e económico, a sobrevivência das empresas, as boas receitas (por exemplo, a sopa de galinha ou o bife tártaro com uma gota de conhaque), o surgimento das cidades, das culturas, dos sistemas jurídicos, das florestas equatoriais, da resistência bacteriana… até a nossa própria existência como espécie neste planeta.
Tal como os exemplos de Taleb, as empresas bem sucedidas e duradouras captam o valor da exposição aos factores de stress do mercado. As melhores empresas, tal como os organismos, tornam-se mais fortes à medida que ultrapassam as dificuldades e se envolvem na concorrência. Poucas empresas, porém, são antifrágeis. As empresas vão à falência a toda a hora, mesmo as que são ícones consagrados pelo tempo, como a JC Penney e a Sears. Na verdade, todo o sector retalhista, com as suas margens tradicionalmente reduzidas, revelou-se extremamente frágil a um fator de stress socialmente perturbador como a pandemia de COVID-19. A fragilidade do sector acabou por concentrar o poder nas mãos de alguns gigantes, como a Amazon e a Walmart, que têm as operações e o posicionamento para demonstrar antifragilidade. Que implicações tem este conceito de antifragilidade para outras organizações, emergindo de uma pandemia global e numa busca contínua de resiliência? Existe uma forma de criar programas de risco e conformidade que não só permitam que as organizações resistam a eventos extremos, mas também que se fortaleçam direta e sistematicamente com eles? Recentemente, Bob Bowman, diretor de gestão de riscos da The Wendy’s Company, sentou-se com a equipa Riskonnect para gravar um webinar sobre a forma como a sua equipa utilizou a tecnologia ERM para gerir os riscos associados à pandemia da COVID-19. A gravação pode ser acessada abaixo:
Ouve mais sobre o Bob no nosso recente webinar Risk@Work.
A análise de Taleb propõe várias dinâmicas que podem aumentar a antifragilidade em sistemas complexos. Aqui estão três dessas dinâmicas – e como o programa ERM da Bowman demonstra esses princípios.
Tentativa e Erro vs Planeamento Top-Down
Os sistemas antifrágeis tiram partido da tentativa e erro sistemáticos. Na natureza, a seleção natural elimina os que são incapazes de se adaptar, conferindo força ao permitir que os sobreviventes bem sucedidos se reproduzam. Nos negócios, os bons departamentos de risco e conformidade têm uma liderança com visão, é claro. Os bons departamentos de risco e conformidade também resistem a cair na armadilha de ditar a partir do topo em vez de se adaptar a partir da base. Conseguem ver os acontecimentos adversos não só como algo que deve ser ultrapassado, mas também como algo com que podem aprender. Uma das funções mais importantes de um sistema ERM, observa Bowman, é memorizar a dinâmica dos eventos de risco após o seu término, capturando os impactos comerciais, as respostas de controlo, as adaptações processuais e quaisquer outros dados relevantes que possam tornar as respostas futuras mais eficazes. Canalizar o feedback da experiência para o programa é uma forma de corrigir controlos e mitigações insuficientes, ajustando assim o sistema para a próxima vez. As organizações antifrágeis criam mecanismos para imitar a tentativa e erro da seleção natural. Capturam consistentemente as aprendizagens dos eventos adversos, agregam-nas, analisam-nas quanto à sua importância e permitem que as conclusões significativas informem os seus roteiros e estratégias.
Adaptabilidade versus confiança numa previsão bem sucedida
Bowman fala em profundidade sobre a enorme quantidade de pré-planejamento e análise do cenário de risco para informar seu programa ERM. No entanto, não importa quanta previsão tenhas colocado no teu registo de riscos, haverá sempre eventos de risco que se manifestam de forma diferente da que antecipaste. A tua preparação pode dar orientações quanto aos impactos no negócio, à velocidade, etc., mas também tens de te adaptar aos aspectos do evento que se manifestam de forma diferente da planeada. A pandemia da COVID-19 é um bom exemplo. Bowman observa: “Reconhecemos muito rapidamente que este evento de risco pode realmente exceder o planeamento razoável, ou os esforços de mitigação razoáveis, e que a resposta pode ser mais ampla ou ter maior profundidade do que o inicialmente previsto.” Muitas empresas têm pandemias registadas nos seus sistemas ERM, mas poucas – ou nenhumas – imaginaram a escala de perturbação causada pela COVID-19. Um gestor de riscos ágil reconhece que a COVID-19 se assemelha a diferentes aspectos de vários riscos. A pandemia, por exemplo, pode assemelhar-se parcialmente a um risco de catástrofe natural na sua capacidade de encerrar escritórios físicos e forçar o trabalho a partir de casa. Pode também assemelhar-se aos riscos relacionados com as recessões económicas, no seu efeito sobre os fornecedores terceiros. Podemos compreender melhor um evento de risco novo ou surpreendente analisando outros riscos que têm qualidades semelhantes, tirando um pouco disto e um pouco daquilo para completar o quadro.
Eventos de risco que levam a menos eventos futuros (correlação negativa de erros)
Eis um problema matemático comum de gestão de riscos. Digamos que tens três potenciais eventos de risco: 1) uma penetração cibernética bem sucedida, com uma probabilidade de 2% de ocorrer durante o ano; 2) uma recessão económica, com uma probabilidade de 5%; e 3) um grande processo judicial contra um funcionário, com uma probabilidade de 3%. Qual é a probabilidade de os três eventos acontecerem ao mesmo tempo? Se assumires que estes três eventos não estão relacionados, multiplicarias 2% por 5% por 3%, chegando a uma probabilidade de 0,003% de que os três eventos possam acontecer ao mesmo tempo. No entanto, no mundo real, os acontecimentos raramente estão verdadeiramente não relacionados. Podem estar correlacionados de formas surpreendentes. Digamos que, no próximo ano, vives um dos acontecimentos acima referidos, uma recessão económica. Podes sentir-te muito seguro em relação aos outros dois riscos porque fizeste as contas e as probabilidades simultâneas são bastante reduzidas. No entanto, a recessão económica faz com que tenhas de despedir pessoal em vários departamentos, incluindo o departamento de TI. O departamento de TI, com falta de pessoal e sobrecarregado, começa a atrasar certos patches de segurança cruciais, o que resulta numa penetração cibernética. Entretanto, o funcionário de TI que só despediste por causa da referida recessão sente que foi alvo de injustiça e processa-o por despedimento sem justa causa.
Um acontecimento de risco tornou mais provável a ocorrência dos outros dois. É mais assim que a vida funciona. O contrário também pode ser verdade. Em determinadas condições, a presença de certos acontecimentos de risco pode tornar menos provável a ocorrência de outros acontecimentos. Taleb usa como exemplo o mau funcionamento de um avião. Se um avião tiver uma emergência, os resultados são tão mediáticos e os protocolos de investigação tão rigorosos que os voos são imediatamente suspensos e as correcções são rapidamente propagadas, o que torna todo o sistema mais seguro. O valor da Gestão de Riscos Empres ariais consiste em compreender os impactos dos riscos na empresa de forma tão completa, que é possível maximizar a eficácia dos controlos e das atenuações. Bowman fala em ir além das simples pontuações de avaliação de um determinado risco e desenvolver um perfil completo das associações, incluindo políticas, procedimentos, objectivos empresariais, indicadores, controlos e terceiros afectados:
E se pudesses associar uma avaliação de risco a um perfil? … Ao reunirmos rapidamente a equipa multifuncional de resposta a incidentes, vamos equipar cada um deles, individual e coletivamente, com um conjunto comum de conhecimentos relativos a este risco. E se pudéssemos fazer isso como resultado de um relatório? E se a convocação inicial da equipa, o briefing inicial, a triagem – e também vamos usar aqui um “como” – e se tudo isso girasse em torno de um perfil conhecido, detalhado e maduro que complementasse a avaliação?
Bowman usa o Riskonnect Risk Correlation Engine como o núcleo desse perfil de 360 graus para entender os riscos. Com o seu conhecimento detalhado do impacto de um risco em toda a empresa, ele pode concentrar-se na implementação de controlos e respostas que separam um evento de risco de potenciais eventos em cascata que ele possa desencadear. As informações sobre o evento de risco primário são diretamente utilizadas para diminuir a probabilidade de eventos conexos.
Para além da resiliência: Força Incremental do Stress
Discutindo um mundo pós-COVID, os profissionais de risco e conformidade estão a começar a falar mais sobre a resiliência operacional. A resiliência é crucial – mas a conversa deve ir além da rapidez e eficácia com que uma organização pode voltar ao status quo ante. A discussão deve estender-se à forma como a organização pode ser construída – como Antaeus – para adquirir força para além do seu estado inicial sempre que for derrubada. O núcleo de qualquer programa de risco empresarial antifrágil é uma disciplina processual e um compromisso com a agilidade, a análise e a aprendizagem. Os programas de ERM não existem para ser um catálogo estático de Coisas que Podem Acontecer; eles existem para tornar as organizações cada vez melhores em sobreviver e prosperar.
Para saber mais sobre riscos corporativos e como iniciar um programa de ERM, faz o download do nosso e-book, Charting a Course for Enterprise Risk Management.