A palavra risco, segundo estudos etimológicos, tem sua origem na palavra resecare, que em latim significa cortar. A palavra era usada para descrever o perigo, em viagens marinhas, de geografias submersas que cortavam navios. Hoje, a denotação mais comum para a palavra risco é dada pela possibilidade de algo ruim acontecer. A definição moderna de risco é de incerteza mensurada. Sendo assim, um evento arriscado é aquele que tem uma probabilidade associada de acontecer, diferente de um evento incerto, cujas chances de acontecer são desconhecidas. Contudo, o conceito de risco, de certa forma é bem mais antigo do que esta definição, e, para acompanhar a sua história, precisaríamos voltar ao século XIII. Por enquanto, ficaremos com as definições ora apresentadas.
A organização a ser pesquisada integra o contexto monetário/financeiro nacional e internacional. Portanto, optou-se pela adoção dos conceitos de risco definidos nas resoluções
3.380, 3464 e 3721 do Banco Central do Brasil, e em documentos do Comitê de Supervisão Bancária da Basiléia, criado em 1974, com vistas a possibilitar a supervisão bancária e trazer um maior controle sobre a atividade financeira. Com sede no Bank for International
Settlements-BIS, o Comitê trabalha em conjunto com autoridades monetárias de diversos
países, propondo medidas para redução de riscos do sistema financeiro e estabilidade da atividade bancária.
O primeiro acordo divulgado pelo comitê estabeleceu os componentes do capital, a ponderação dos riscos dos ativos e a necessidade de um capital mínimo para suportar os riscos
de crédito. Estes, segundo o BIS, relacionam-se com a inadimplência de uma contraparte, em
atuar de acordo com uma disposição contratual. Mais tarde, em 1996, acrescentou-se, nos requisitos do capital mínimo, o risco de mercado. Este, segundo Duarte Junior (1996), é o risco associado à variação dos ativos devido às flutuações do mercado.
Após uma série de eventos bancários, com perdas bilionárias de dólares, decorrentes de “falha operacional humana”; o comitê, em 2001, acrescentou, no Novo Acordo Basiléia, uma proposta de controle também do risco operacional. Este seria definido como o risco de perda direta ou indireta, resultante de inadequações ou falhas de processos internos, pessoas e sistemas, ou de eventos externos.
Risco então, segundo o comitê Basileia II, é um conceito “multidimensional”, que cobre quatro grandes grupos: risco de mercado, risco operacional, risco de crédito e risco legal, conforme ilustrada pela figura 3. O risco de que trata o acordo firmado por aquele comitê está presente em qualquer operação no mercado financeiro.
A resolução 3.464 do Banco Central do Brasil define como risco de mercado aquele que pode levar a perdas financeiras derivadas das flutuações de valores de mercado de posições detidas por instituições financeiras e inclui as operações sujeitas à variação cambial, das taxas de juros, dos preços de ações e dos preços de mercadorias (commodities).
O risco de crédito é definido na resolução 3.721 do Banco Central do Brasil como a possibilidade de ocorrência de perdas associadas ao não cumprimento pelo tomador ou contraparte de suas respectivas obrigações financeiras nos termos pactuados, à desvalorização de contrato de crédito decorrente da deterioração na classificação de risco do tomador, à redução de ganhos ou remunerações, às vantagens concedidas na renegociação e aos custos de recuperação.
Figura 3 - Quatro Grandes Grupos de Risco – Duarte Junior (1996)
O risco legal está definido na resolução 3.380 do Banco Central do Brasil como aquele associado à inadequação ou deficiência em contratos firmados pela instituição ou sansões derivadas de descumprimento de clausulas contratuais e/ou indenização decorrentes das atividades prestadas pela instituição financeira.
A mesma resolução 3.380 em seu art. 2 define o risco operacional como aquele que comporta a possibilidade de ocorrência de perdas resultantes de falhas, deficiências ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos.
O contexto abordado neste estudo está fixado ao Risco Operacional, que se relaciona a possíveis perdas, como resultado de sistemas e/ou controles inadequados, falhas de gerenciamento e indisponibilidade de pessoal.
Segundo Duarte Junior (1996) o risco operacional pode ser dividido principalmente em três áreas: a organizacional que está relacionada à organização ineficiente, com administração inconsistente, desorganizada e sem objetivos de longo prazo bem definidos, responsabilidades definidas de forma inapropriada, fluxos de informações inadecuados, fraudes, vazamento de informações para a concorrencia; o risco de operações que se relaciona a problemas como “overloads” de sistemas (infraestrutura de informática, telefonia, elétrica), dados armazenados de forma inconsistente podendo conter erros ou terem sido manipulados; o risco de pessoal que pode ser atribuído a colaboradores sem a qualificação adequada, com
Risco de Mercado
Risco de Crédito Risco Operacional
pouca ou nenhuma motivação, com desvios de personalidade, além de outros problemas pessoais ou de personalidade que pudessem causar desvios de conduta.
2.7.1 RISCO HUMANO
Um sub-risco do risco operacional é o risco humano. Segundo Brito (2003, p.18), “o risco humano é o risco associado à tomada de decisão das pessoas no processo”. As duas principais causas dos erros de julgamento são a autoconfiança excessiva e o estresse.
Este tipo de risco está diretamente relacionado ao risco operacional. Seu foco de preocupação está no homem e nas suas decisões que geram ações ou omissões, bem como na consequência destas decisões.
Segundo Marshall (2002, p.421), o risco humano “surge por variações na qualidade e disponibilidade do pessoal interno da empresa”, e inclui: os erros humanos (erro de ação ou omissão cometido de forma não intencional por um funcionário); a incompetência (erro derivado de ação inadequada na execução do trabalho decorrente de falta de treinamento ou falta de característica importante na formação do funcionário); a malícia (danos causados aos ativos da empresa, principalmente a dados armazenados nos sistemas de informação por mágoa ou ressentimento de algum funcionário); a perda de pessoal-chave e
indisponibilidade de pessoal (este um dos riscos que especialmente interessa a esta pesquisa,
causado por falta de pessoa importante para os negócios da organização por ocuparem posições consideradas chave sem substituto imediato a disposução); a fraude (indivíduos manejam pessoas e empresas de fora para obterem vantagem em benefício próprio e/ou da empresa; ou, quando os indivíduos acessam os sistemas de controle interno para forjar lucros espúrios, usualmente para obter grandes bonificações) e o risco de informações (riscos associados à perda de informação nos sistemas informatizados).
Marshall (2002) aborda de forma bastante abrangente os riscos humanos, detalhando os erros, as fraudes, a incompetência, a malícia, a necessidade de cópias de segurança, etc. Um ponto de extrema relevância, nesta lista de riscos humanos, é a perda de pessoal-chave e a indisponibilidade de pessoal.
Deve-se aqui ressaltar que muitos autores consideram “pessoal-chave” apenas pessoal alocado em altos cargos gerenciais (CEOs, PEOs, etc.) que ausentes trariam graves prejuízos financeiros à organização. A concepção adotada por esta pesquisa e já apresentada
anteriormente considera “pessoal-chave” como um interlocutor, um detentor de conhecimentos importantes para um determinado negócio, ou ainda um líder informal, cuja ausência (gerada por aposentadoria, por transferência para outro setor, ou ainda, por mudanças na organização, ou qualquer outro fator que possa retirá-lo do dia-a-dia daquele negócio) possa trazer indisponibilidade aos negócios, afetar a imagem institucional, gerar prejuízos legais e financeiros à organização.
Risco de continuidade do negócio este é o termo utilizado por Marchall (2002) para denominar o risco enfrentado quando funções fundamentais são afetadas por um período de tempo suficiente para interromper total ou parcial os negócios, operações ou serviços da organização. Os possíveis custos de interrupção dos negócios podem incluir prejuízos à imagem e reputação com consequente perda de confiança na organização, ações judiciais de responsabilidade derivadas da inabilidade em cumprir compromissos. Uma pesquisa da UK
Institute of Management em conjunto com o Business Continuity Institute, concluiu em 1999
que as cinco questões mais temidas pelas gerentes ligadas a continuidade dos negócios são: (1) falha de TI, (2) incêndio, (3) danos à imagem das instituições, (4) publicidade negativa e (5) perda de pessoal especializado. O mais interessante é que a despeito da pesquisa muitos não tinham planos para enfrentar estas questões.
A perda de “pessoal-chave”, segundo nosso entendimento, vai muito além do conhecimento técnico acumulado, ou das habilidades desenvolvidas em determinado cargo ou função; referindo-se, sobretudo, às experiências vividas dentro da organização, ao conhecimento tácito acumulado, e à rede de inter-relacionamentos (rede social) construída ao longo de anos de vivência institucional que determinadas pessoas possuem. São os laços de confiança e amizade estabelecidos, os níveis de influência e interlocução que possibilitam a criação de fluxos de mensagens vitais à disseminação de conhecimento.
Segundo Marchall (2002) diversos fatores podem levar a falhas nas operações, dentre eles, erros decorrentes de falha humana que podem se tornar frequentes quando há rotatividade de pessoal principalmente durante os períodos de treinamento e aclimatação dos novos funcionários.
Marshall (2002) também alerta para a necessidade de uma gestão de relacionamentos e que para muitas empresas os riscos mais sérios residem nas parcerias de longo prazo estabelecidas com contrapartes (acionistas, clientes, fornecedores, outros órgãos e entidades, mídia, parceiros) que representam um ativo de grande valor, e em certos casos, delas depende a sobrevivência da própria empresa.
Para além da indisponibilidade de pessoal por perda de “pessoal-chave” e dos erros por falha humana decorrentes da rotatividade de pessoal, outros fatores, como a extinção ou aglutinação de determinadas unidades de negócio, a redistribuição de pessoal feita de forma indiscriminada e sem estudos mais aprofundados, ou qualquer reconfiguração das unidades operacionais sem o conhecimento sobre as redes interpessoais e o imenso capital contido nelas, pode expor a instituição a vários riscos operacionais, sobretudo em relação ao sub-risco humano/pessoal. Fluxos essenciais à operação dos negócios podem ser desfeitos, relações de confiança pré-estabelecidas podem ser rompidas, o conhecimento de anos sobre as rotinas de trabalho de um determinado setor podem estar em risco. A avaliação de custos e benefícios deste tipo de tomada de decisão deve ser feita também com a observação das redes sociais existentes e do capital social/intelectual acumulado, no intuito de se conhecer as oportunidades de melhoria e os riscos associados às mudanças.
Espera-se poder visualizar o que as pessoas estão oferecendo à rede, verificar qual é o capital social e humano disponível, fazer uma análise da distribuição deste capital pela organização e tentar identificar possíveis focos de risco. A pesquisa traz vários subprodutos que consideramos de grande valor para qualquer organização: a possibilidade de observar quais são as competências mais requisitadas na rede, como são endereçados os fluxos de transferência da informação, quem colabora com quem na organização, qual é a rede de influência e onde estão os principais depósitos informais de conhecimento.
Riscos são de natureza incerta, e por este motivo, sua apuração muitas vezes se torna imprecisa. Para que a organização possa tomar as ações cabíveis, é necessário explicitar essa medida de risco.
Segundo Rachlin (1998), um risco pode ser avaliado segundo duas variáveis:
- Frequência: análise estatística do risco segundo a probabilidade de sua ocorrência;
- Severidade: impacto aguardado caso o evento de risco venha a ocorrer. A figura 4 apresenta uma síntese do referencial de Rachlin (1998).
S E V E R I D A D E FREQUÊNCIA
Figura 4 - Quadro de Riscos – Rachlin (1998)
Segundo Rachlin (1998) as práticas e ferramentas para gerenciamento de risco podem ser classificadas em três níveis:
1. Redução do risco: o gerenciamento de risco deve agir no sentido de reduzir os riscos inerentes aos processos, aos produtos e, neste estudo, às pessoas. Esta ação pode ser viabilizada pela adoção de uma fase formal de avaliação de riscos, na qual analistas de risco podem verificar o risco de desenvolver um produto, de se adotar um procedimento, ou de se deixar de contratar uma mão de obra especializada.
2. Controle do risco: implantar controles preventivos de risco através do estabelecimento de padrões de controle, recomendações e listas de checagem de controle de risco.
3. Contenção do risco: mesmo com todos os controles de risco implementados, sempre existe o risco residual, aquele que não pode ser controlado ou evitado.
Alto Impacto Baixa probabilidade Transferir o risco Baixo Impacto Alta probabilidade Controlar o risco Baixo Impacto Baixa probabilidade Assumir o risco Alto Impacto Alta probabilidade Evitar o risco
Para estes casos, deve haver uma política de contenção de riscos viabilizada através de seguros, planos de continuidade de negócio, procedimentos de recuperação de desastres, planos de contingência.
No entanto, Rachlin (1998) considera que, de fato, a mitigação do risco será uma combinação das três práticas já mencionadas, e que a natureza desta combinação dependerá da filosofia da organização, em relação ao seu nível de aversão a risco e ao custo benefício da implantação destes controles para mitigação dos riscos.
2.7.2 GERENCIAMENTO DE RISCO
Partiremos do pressuposto de que o risco que queremos evitar (risco de descontinuidade dos negócios) é de alto impacto para qualquer organização, mas que tem a possibilidade de ser gerenciado, desde que seja conhecido.
Utilizaremos como métrica para o risco de descontinuidade do negócio por falta de pessoal-chave, o acúmulo de capital social nas relações entre os indivíduos e a acúmulo individual de capital humano. Já abordamos anteriormente que ambos os capitais são de suma importância para as operações diárias dos negócios da organização. O capital social, por representar toda uma rede de relacionamentos essenciais ao fluxo das informações e ao fomento de ações de negócio, e o capital humano, por ser parte do conhecimento organizacional.
Em nossa concepção, quanto maior a concentração de capital humano, maiores são os riscos para o negócio, caso estas pessoas venham a deixar a organização. Por outro lado, maiores são as oportunidades de trabalhar a instituição para evitar estas “ilhas de saber e poder”. Consideramos que uma organização, na qual a informação circule e esteja disponível a quem dela necessite no momento oportuno, está bem mais preparada para enfrentar as diversidades do mundo dos negócios.
O capital social depende de uma série de fatores de difícil conquista, como confiança e amizade. Consideramos que este tipo de capital dificilmente poderia ser terceirizado. O capital humano por sua vez pode ser terceirizado quando se trata de uma expertise, de um conhecimento exclusivo sobre uma determinada área de negócios, ou no caso de áreas essencialmente técnicas, cujo mercado oferece como serviço. Alertamos apenas que consideramos também como capital humano o “saber fazer” ou o conhecimento tácito de difícil replicação e que representa um imenso potencial para inovação segundo Nonaka e Takeuchi (1997).
Desta forma, concebeu-se um gráfico de risco baseado na concentração de capital social e intelectual por funcionário, de acordo com apresentado na Figura 5. Utilizou-se uma forma de tratamento de risco que consideramos mais apropriada para riscos associados ao acúmulo de capital social e humano, já que tanto a transferência do risco quanto o conceito de se evitar o risco, neste caso, não parecem alternativas adequadas. O gráfico terá a forma de uma dispersão de pontos, sendo que na base estarão os funcionários com menor capital sócio humano acúmulado, e no topo os com maior capital sócio humano acúmulado.
Uma das intenções desta pesquisa é justamente verificar qual seria a métrica mais adequada para aferir o risco relacionado à concentração destes dois tipos de capital (social e intelectual). Inicialmente, julga-se que seriam adequadas a este tipo de avaliação as medidas de centralidade para o individuo (representa o grau de proximidade entre os pares e o grau de intermediação das informações) e de densidade para a rede (representa a quantidade de ligações existentes em comparação com as possíveis).
C A Controlar o Risco P I T A Assumir o Risco L Risco
Figura 5 - Gráfico de risco de concentração de capital sócio intelectual. Fonte: elaborado pelo autor.
3 MÉTODO DA PESQUISA
3.1 CLASSIFICAÇÃO DA PESQUISA
Este estudo classifica-se segundo GIL (2006), quanto à sua natureza, como uma pesquisa aplicada, devido à sua finalidade de gerar informações úteis a problemas práticos do dia-a-dia da organização a ser pesquisada. Quanto à forma, pode ser considerada como uma pesquisa quantitativa, por traduzir em valores numéricos (análise quantitativa) a rede informal da organização. Em relação à sua finalidade, este trabalho pode ser considerado como descritivo, por evidenciar características da população a ser pesquisada e explicar alguns fenômenos que ocorrem em suas redes. Finalmente, consiste em uma pesquisa de campo, posto que se trata de um exame empírico, realizado no local onde ocorre o fenômeno e por incluir a aplicação de questionário e entrevistas.
3.2 ORGANIZAÇÃO DA PESQUISA
Esta pesquisa foi organizada da seguinte forma:
Levantamento da literatura RSI, Fluxo de informações nas Redes Organizacionais, Análise de Redes Sociais, Capital Social e Risco Operacional Pessoal;
Busca de estudos de casos semelhantes na literatura;
Realização de um questionário estruturado “on-line” para mapeamento das Redes Sociais Informais do Departamento de Informática do órgão a ser estudado, do Capital Social envolvido na solução de problemas corporativos e dos riscos operacionais ao negócio;
3.3 PROCEDIMENTO DE COLETA
Realizou-se uma coleta de dados por meio de questionário estruturado on-line elaborado para este fim.
Os questionários utilizados para levantamento dos dados estão no Apêndice1.