Dúvidas sobre "Apetite a Risco"

Boa tarde!
Como eu determino o apetite ao risco de uma organização?
Essa é a questão! Conforme os normativos, o Apetite a Risco é o nível de risco que a organização está disposta a aceitar. E, em pesquisas realizadas, ficou claro que o Apetite a Risco varia de organização para organização, pois deve basear-se em estratégias e atributos específicos que influenciam os comportamentos organizacionais. Mas, ainda assim, gostaria de fazer um benchmark, se possível, no sentido de informar os requisitos considerados para a definição do Apetite a Risco de suas organizações?
Desde já, agradeço.
Att. Edna.

Sobre o tema, cito trecho do melhor livro que já escrevi sobre riscos:

Para compreender a definição de apetite a risco, imagine que você pretenda investir seu dinheiro. Para isso, você procura o gerente do banco. O gerente vai identificar o seu perfil de investidor, seu apetite ao risco, fazendo perguntas como:

• Qual o prazo máximo da aplicação?
• Caso a aplicação tenha perda no curto prazo, qual o percentual aceitável?
• Se a aplicação tiver uma perda de 10%, o que você faria?
• Qual o principal objetivo com a aplicação financeira?
• Qual a sua faixa de renda?
• Quanto o investimento representa do seu patrimônio total?

A partir das respostas apresentadas, o gerente definirá o seu perfil – se conservador (busca segurança nos investimentos e investe em produtos de baixo risco), moderado (busca segurança nos investimentos, mas também aceita investir em produtos com maior risco, que podem proporcionar ganhos melhores no longo prazo) ou arrojado (busca maiores ganhos e, para isso, aceita correr mais riscos) – e apresentará os tipos de investimento mais adequados ao seu perfil (fundos de renda fixa curto ou longo prazo, ações, etc.).
Essa é a mesma lógica aplicada aqui. O apetite a risco está diretamente associado à estratégia da instituição e deve ser considerado no momento de definição dos objetivos, pois estes expõem a organização a diferentes riscos.
É claro que o conceito de apetite a risco se comporta de modo diferente nos setores público e privado. Numa empresa comercial, numa fábrica, num empreendimento qualquer em que os proprietários ou gerentes possuem autonomia de decisão, o estilo gerencial tem muito mais flexibilidade e espaço de variação do que em um órgão ou mesmo em uma empresa pública.
No setor público, leis, regras, regulamentos, normas e mecanismos de regulação e controle atuam muito mais fortemente, restringindo a faixa de opções do gestor. Nesse sentido, o apetite a risco de gestores públicos, em geral, tem patamar reduzido.
É o que acontece, por exemplo, nestas organizações:

Não é apropriado, entretanto, defender que nenhuma atividade pública, em função de sua natureza, terá apetite a risco alto. Certos empreendimentos exigem dose maior de risco. É o caso de pesquisas e desenvolvimentos de novas tecnologias. A inovação comporta, em si, risco maior, pela incerteza do resultado.

Tudo isso você encontra aqui:
https://www.amazon.com.br/Como-Combater-Desperd%C3%ADcio-Setor-P%C3%BAblico/dp/854500639X

6 Likes

Boa noite! Muitíssimo obrigada pela informações, serão muito bem aproveitadas.

Bom dia Prezada Edna

Concordo com as colocações do Prof. Franklin.

Só gostaria de ressaltar que realmente, existe uma grande diferença entre as organizações privadas e as organizações públicas.

A avaliação deve considerar a estratégia e a missão da organização pública. Se você avaliar um BNDS, por exemplo, talvez o apetite de risco seja até elevado, por conta das operações de crédito.

Contudo para outros órgãos, como estes que o Prof. Franklin relatou, não vejo a possibilidade do apetite ser elevado. Considere que a organização recebe dinheiro público, proveniente de impostos pagos por contribuintes e que deve prestar serviços adequados. Ou seja, o imposto que você pagou, serve de investimento para que aquele órgão execute a atividade fim. Você gostaria que esse órgão tivesse um apetite a risco elevado podendo ter perdas financeiras, fraudes, etc?

Acredito que não!

Att

1 Like

Prezada Edna e colegas,

Em relação ao apetite de risco, excluindo-se as organizações cujo “core business” é financeiro, ou seja, o apetite de riscos é calculado quantitativamente, para as demais organizações públicas, o apetite de riscos será calculado qualitativamente…

Minha posição: você não parte da definição de apetite de riscos para decidir o tratamento do risco, mas ao contrário, é o tipo/estilo/tempo do tratamento que vai definir o apetite. Não é o apetitie ao risco que define sua ações de tratamento, mas suas ações de tratamento que definem o seu apetite de risco. E na prática, como fazer? Ficaria extenso explicar aqui, mas para tentar elucidar esse pensamento vou usar uma analogia:

Você está do lado de fora de um restaurante esperando as portas abrirem. Você vê o buffet e alguém pergunta como está seu apetite. Bem, há coisas que você detesta e outras que adora. Por exemplo, se a comida vier cheia de coentro você perderá o apetite, mas se tiver polenta com molho você abrirá o apetite. Ok, então como é que você vai dizer seu apetite sem conhecer o que vai comer? (riscos são o buffet, você não sabe o que virá até conhecê-los/identificá-los) Você teria que dar um declaração de apetite antes de adentrar no restaurante? Teria lógica isso? Claro que não! Imagine uma organização definir (travar) o apetite para riscos ainda desconhecidos. Entende o ponto aqui!?

É lógico que a natureza da organização vai definir a postura de tratamento dos riscos que forem surgindo. Um aeroporto deve, obrigatoriamente, ter baixo apetite a risco. Um órgão que trabalha com processos administrativos pode ter um apetite maior, isto é, pode se dar ao luxo de levar um ano para tratar um risco de média criticidade, enquanto o aerporto deveria levar um dia.

Resumindo: não se preocupe com essa necessidade de definir o apetite para começar o tratamento dos riscos. São as ações de tratamento que vão definir seu apetite. E essa informação nesse caso não é relevante. Não importa para o trabalho a ser feito!!! É o trabalho sendo feito que define seu apetite. Voltando ao exemplo do restaurante: Para comer bem ou comer mal você precisa definir seu apetite? Ou é o ato de comer, depois de analisado que definirá como foi seu apetite? Você vai comer muito ou pouco independentemente da definição prévia. É sua necessidade em tratar os riscos em primeiro lugar (não a definição de apetite)! É um conceito teórico! É o chantilly. É a cobertura sobre o prato principal!

Espero ter ajudao. Qualquer coisa entre em contato direto: jb@jbrm.eti.br

Forte Abraço,
JB
http://www.jbrm.eti.br

4 Likes

Apetite a risco fora entidades financeiras é igual ao “caviar” da música.

2 Likes

@EdnaRizia, boa tarde

Entendo que definição formal do apetite a risco é mais inerente a entidades expostas a condições de mercado, observadas suas nuances.

No setor público, de forma geral o apetite a risco pode quiçá ser identificado, num esforço mais de sensibilização do que prático, em relação ao trabalho a ser feito (respostas aos riscos), aproveitando a reflexão de @jb_moura.

Por outro lado, o setor público tem múltiplas abordagens, destacando áreas de natureza inovadora como P,D&I (acompanhando a reflexão de @FranklinBrasil) e fomento (BNDES, como destacou @paulo.almeida), por exemplo.

No setor financeiro, muito se deve à regulação na Resolução CMN nº 4.557/2017. Fora disso, ainda há um grande esforço envolvendo inclusive a compreensão da necessidade de sistematização desse aspecto, como “ouvi falar” o professor @walterluis.

Em suma, vale avaliar criteriosamente a necessidade de definir ex-ante o apetite a risco, os controles e esforços envolvidos e sua efetividade esperada.

A dispor!

1 Like

segue definições de apetite ao risco:

  1. ISO31000 e ISO 22301 : apetite a risco: nível de risco que uma organização se dispõe a aceitar na busca por agregar valor aos serviços prestados;
  2. Ministério Publico Portaria CNMP PRESI numero 45 de 27 de abril de 2017 : apetite a risco: nível de risco que o CNMP se dispõe a aceitar na busca por agregar valor aos serviços prestados;
  3. COBIT 5: a mesma definição da ISO31000
  4. Literatura internacional OCDE : http://www.oecd.org/daf/ca/risk-management-corporate-governance.pdf

Sigo a disposição
Abraços
Geraldo Falcão
Linkedin: https://www.linkedin.com/in/geraldofalcao/

1 Like

Live Agora sobre " Apetite a Riscos "

Ainda não enxergo muita aplicação prática na definição de um apetite organizacional, a não ser para classificar culturalmente as empresas.
Para mim, depende mais do processo. Eu posso ser conservador nos processos core e agressivos em processo meios e gerenciais.
É o caso da RFB, é conservadora na arrecadação e no sigilo fiscal, mas foi muito agressiva no teletrabalho.

3 Likes

Além das contribuições do @FranklinBrasil, @EdnaRizia, @jb_moura, gostei da abordagem do @walterluis. Acredito que para instituições não financeiras os caminhos viáveis seriam observar o planejamento estratégico e os processos (Cadeia de Valor). Nesse caso a graduação dos riscos e seu apetite se dariam conforme a criticidade do processo e da ação estratégica.

Todavia, é importante registrar que também daria para graduar o apetite a risco a partir do cálculo das rubricas de perdas. Este formato possibilitaria uma avaliação do impacto em matéria de valoração.

1 Like

Marcelo,

O importante é não travar a Gestão de Riscos em função desse conceito. Você não precisa perder tempo tentando achando “fórmulas” para chegar ao Apetite de Risco da organização para levantar, analisar riscos e tratar riscos. Não é o apetite que define a tomada de decisão, mas a tomada de decisão que define o apetite… Algumas pessoas mistificam esse aspecto da gestão de riscos a ponto de travá-la!

Riscos são dinâmicos e não se admite mais em organizações modernas e num mundo VUCA (grande Volatility, Uncertainty, Complexity, Ambiguity) o uso de tomada de decisão/planejamento de longo prazo (mais de um ano)… Então, nesse cenário qualquer indicador usado em Gestão 1.0 ou 2.0 está fadado ao erro. A Gestão de Riscos precisará de indicadores KRI que coletarão informações pelos controles implementados que alimentarão o gestor para tomada de decisão mais rápida (ciclos semanais em direção aos objetivos estabelecidos…)… Imagine: se você dependesse do estabelecimento de “Apetite de Risco” (antes do início do ciclo PDCA da Gestão de Riscos) para tomada de decisões durante o ano (ou meramente durante o processo de Avaliação de Riscos - ISO31000:2018) o apetite ficaria completamente furado (defasado/errático) pela velocidade e complexidade do ambiente VUCA em nossas organizações …

JB

3 Likes

Obrigado por compartilhar seu ponto de vista JB.

Como estudiosos do tema, estamos tentando investir tempo na identificação de possibilidades. A intenção não é delimitar ou travar a gestão de riscos.

O apetite a risco é oriundo de um processo decisório e a tomada de decisão pode levar em conta as perdas documentadas em rubricas contábeis. Essa é apenas uma dentre outras diversas possibilidades. Há outras mais simples, como definir a graduação para o risco residual numa tabela de matriz 5X5=25 (conhecida como matriz de risco ou mapa de calor). Mas, tudo dependerá do nível de maturidade.

A gestão moderna do século 21, atenta à dinâmica VUCA, pode também propor outras maneiras de se identificar riscos. Como por exemplo, mapear e analisar o comportamento de dados e identificar desvios que possam representar riscos na operação. Essa seria uma possibilidade interessante para empresas e governos com muitos processos de negócio digitais. Novamente, tudo depende do nível de maturidade.

O mais importante é entender as possibilidades e aplicá-las no contexto de nossas organizações.

Marcelo,

Perfeito. Realmente você verá muitas vertentes nessa área. Definir apetite de risco tem muito sentido para aspectos financeiros. Para outras organizações do setor público não terá muito sentido você tentar definir previamente os apetites, por exemplo, por categoria de riscos, pelos seguintes motivos:

  1. Teria o gestor público o direito de ter grande apetite ao risco, isto é, submeter aquilo que não é seu a risco desnecessário?
  2. Para a coisa pública, o apetite de risco não deveria ser sempre baixo?
  3. Se os riscos surgem no seu radar a partir do Processo de Identificação de Riscos, não é possível saber com antecedência quais riscos serão descobertos (ninguém tem bola de cristal). Os riscos são dinâmicos e por isso não podem ser Identificados por formulários prontos e fechados, concorda? Aliás, essa é outra confusão feita: verificação de Compliance (processo de auditoria) versus Identificação de riscos (processo de gestão de riscos). Teria sentido o gestor publicar seu apetite de riscos para qualquer aspecto da organização como sendo alto ou médio. Como combater o desperdício no setor público com apetite de risco alto? Isso seria possível? Você consegue imaginar situação onde é possível externalizar para a sociedade que o apetite de risco da organização é alto ou médio para, por exemplo, tecnologia, integridade, aspectos legais, financeiros?
  4. DeMarco e Lister contam em seu livro “Waltzing with Bears” logo no primeiro capítulo sobre “A Ética da Crença” diz o seguinte:

O que você escolher acreditar NÃO deve ser isento do julgamento ético de outras pessoas. Suas crenças podem estar carregadas de um comportamento antiético se você tiver “o DIREITO de acreditar” do jeito que acredita. Para tornar claro, ele oferece um exemplo de um dono de um navio de transporte cheio de passageiros. O proprietário do navio está incomodado que o navio está velho, em más condições e não foi bem construído, só para começar. Existe uma questão real na mente dele sobre a segurança aos outros passageiros.

No entanto, com certo esforço, o armador supera suas dúvidas e o persuade que não existem grandes riscos em mais uma viagem. Afinal, o navio já enfrentou tantas tormentas antes e sempre se saiu bem. Porque não uma vez mais?

O navio foi ao mar e muitas vidas foram perdidas. E o que podemos dizer sobre o proprietário?

“(…) Certamente, que há culpa na morte daquelas pessoas. Ele admitiu com sinceridade na crença que o navio era sólido; porém a sinceridade de sua convicção não pode ajudá-lo porque ele não tinha o direito de não acreditar nas evidências que estavam diante dele. Ele adquiriu sua crença não devido a uma investigação cuidadosa das condições no navio, mas por um processo de sufocamento de suas dúvidas que, ao final, restou-lhe tantas certezas que não poderia ter pensado diferente. (…)”

O autor, volta na mesma história, alterando-a para uma gestão da viagem do navio com sucesso durante toda a viagem e sem qualquer perda de vidas. Nesse caso, o dono do navio seria menos culpado?

“(…) Nem uma vírgula. Quando algo está feito, está feito. Estará certo ou errado para sempre. Nenhuma falha acidental para o bem ou para o mal poderia alterar a culpa. O dono do navio não foi inocente. A questão do certo ou errado não tem qualquer relação com a origem de sua crença na segurança do navio. Não o que era de fato, mas como concluiu; não se aquilo era verdade ou não, mas se ele tinha o direito de não acreditar nas evidências que estavam diante dele? (…)”

Para o autor, havia a presunção de que suas crenças jamais poderiam ser consideradas sob luz da ética. Você pode acreditar em qualquer coisa que queira. Você pode, inclusive, acreditar em coisas impossíveis, como na Raínha em Alice nos País dos Espelhos. Quando Alice reclama que não se pode acreditar em coisas impossíveis, a rainha responde:

“Eu me atrevo a dizer que você não tem muita prática…Quando eu tinha sua idade, eu sempre gastava uma hora e meia por dia pensando coisas impossíveis. Porque, algumas vezes, eu acreditava ao menos seis coisas impossíveis antes do café da manhã”

Há, provavelmente no seu trabalho na Terra para o qual a habilidade de crer em seis coisas impossíveis no café da manhã é mais uma necessidade da sua gestão. Nós rotineiramente nos colocamos rotineiramente em um estado de crer em uma deadline, um orçamento, ou fator de performance ou time que mais tarde se mostrará impossível. Este processo não é diferente daquele do dono do navio que conversava consigo mesmo acreditando na capacidade do navio. Existem muitas outras situações pegando você: seu chefe, por exemplo, pergunta sobre considerar que um projeto estará realizado até o Natal, com apenas três pessoas disponíveis para trabalhar nele. Você expressa dúvidas que não dará tempo, mas o chefe dirá:

“Por isso eu escolhi você para esse cargo”, falando com confiança.

Então, você tem o cargo, o desafio e o prestígio,… porém você terá a crença no prazo. Esse é o preço que você paga. Logo, está dizendo para si mesmo “porque não no Natal? Outros projetos foram feitos em menos tempo…”. E então, se sente confiante, mas o tempo prova o contrário…

E o autor volta a perguntar: Sim, isso é o que você acreditou, porém TINHA O DIREITO DE ACREDITAR? Você tinha o direito de acreditar no cronograma baseado nas evidências que coletou?

O negócio da crença somente no direito de acreditar é chamado “risk management”. Essa disciplina essencial aplicada à ética da crença para qualquer projeto cheio de incertezas. É importante eliminar a fábrica de pequenas mentiras e auto-enganações. É a alternativa às seis mentiras impossíveis antes do café da manhã.

  1. A pergunta é: temos o direito de CRER na possibilidade de correr riscos com a coisa pública? Em que situações você escreveria e assinaria embaixo que o risco de sua organização é alto ou médio?

O que eu já coloquei em prática foi o seguinte:

  1. Estabeleci uma Política de Gestão de Riscos que determina prazos máximos para tratamento do risco identificado em função da criticidade do risco calculado.

Exemplos:

risco de uma goteria -> baixa criticidade - > até 3 anos para tratar ou monitorar
risco de invasão da rede computacional -> alta criticidade -> até 6 meses para tratar

A equipe que identificou os riscos - a partir de oficinas, brainstorming, formulário anônimos - ajuda a calcular a criticidade do risco. A Política indica fortemente as opções de tratamento (aqui o APETITE DE RISCO está nas entrelinhas bem definido de forma prática, não retórica. ) Um aeroporto diria que riscos de alta criticidade terão 5 minutos para tratamento. Um órgão de julgamento, teria 6 meses. Este é o APETITE de risco sendo colocado no mundo REAL; não no mundo das ideias bonitas…

(bem acho que é isso. não sei se ajudei ou confundi - risos)

Abraços,
JB
http://www.jbrm.eti.br

2 Likes

JP, Gostei desse modelo que vocês criaram: “prazos máximos para tratamento do risco identificado em função da criticidade do risco”.

Essa pode ser entendida como outra forma de atender o que os frameworks de gestão de riscos chamam de apetite a riscos.

Obrigado pelo papo e por compartilhar conosco.

Pessoal,

Atrasado, mas de coração.

Pessoal, não sei se a definição de apetite a risco é tão inócua assim na grande maioria das entidades públicas, tendo muito a concordar com o @marcelosantarem , meu xará, quando ele diz sobre a possibilidade de uso dessa informação da seguinte forma: “Há outras mais simples, como definir a graduação para o risco residual numa tabela de matriz 5X5=25 (conhecida como matriz de risco ou mapa de calor). Mas, tudo dependerá do nível de maturidade.”

O que isso importa?

Vejamos.

A pergunta retórica “Teria o gestor público o direito de ter grande apetite ao risco, isto é, submeter aquilo que não é seu a risco desnecessário?” do @jb_moura , é uma pergunta de uma resposta só, não existe duas ou mais respostas para essa pergunta.

Mas se trabalharmos o apetite a risco associado a definição do limite do risco, continua uma pergunta de uma resposta só, o apetite a risco será na enorme maioria das vezes, baixo, uma ou outra vez perdida os mais ousados poderão colocar no máximo médio.

Mas o que é um risco baixo? O que é que vai me dizer se um risco é baixo, ou não? A definição desses limites passa a ganhar uma importância na prática, mais que a definição que o apetite, a princípio, não tem, mas onde entra a importância da definição do apetite? Seguindo.

Uma vez tratados os riscos a partir dos respectivos controles e definição de estratégias criar e monitorar as respectivas aderências; veremos na matriz probabilidade x impacto, ou de calor, ou probabilidade x consequência, ou outro nome, refletidos os riscos chamados de residuais.

Dessa forma, teremos esses riscos localizados em severidade baixa, média, alta, por exemplo, dependendo, do nível de vulnerabilidades que cada risco manteve, após os respectivos tratamentos.

Quando se tem definido o apetite baixo, ou melhor, NORMATIZADO INTERNAMENTE na instituição, também tendo definido, ou melhor NORMATIZADO INTERNAMENTE os respectivos limites, os requisitos e orientaçãoes que definem o que é que se entende por risco baixo, médio, ou alto, para quem está no dia a dia da execução faz uma graaande diferença.

Trabalhei um pouco mais de seis anos na CGU e bem mais do que isso em outros órgãos monitorados por ela, e aprendi e afirmo, existe um abismo de diferença no processo de decisão em decidir, ou não por um projeto, quando os órgãos de controle estão próximos e quando não estão.

Para os técnicos muitas vezes é uma angústia tentar convencer os gestores que determinado projeto abarca uma quantidade de vulnerabilidades que o colocaria contendo riscos tidos como alto, por exemplo, e que melhor seria buscar reduzir essas vulnerabilidades antes de investir recursos públicos nesse projeto.

Com a NORMATIZAÇÃO INTERNA do apetite, esse é tão igual na grande maioria dos órgãos que poderia vir até definido em IN, mas NORMATIZADO INTERNAMENTE e associado a definição internamente o limite, com suas caracterizações, o processo de convencimento em não aceitar determinados projetos, no primeiro momento, mostrar as vulnerabilidades e que as mesmas, conforme a os requisitos da NORMA INTERNA, coloca alguns riscos desse projeto em limites altos, ajudará sobremaneira o corpo técnico.

Tenho conversado muito isso com amigos tanto da CGU, como do TCU, como essas definições, requisitos quando NORMATIZADOS, ganham uma força e tem ajudado nos bastidores das tomadas de decisão.

Sugestão: Chova no molhado, defina o apetite a risco de sua organização, realize esforço na elaboração dos requisitos orientações na definição dos limites, NORMATIZE tudo isso, que ajudará em muitas vezes no processo de convencimento para colaborar com a tomada de decisão de reduzir algumas vulnerabilidades, antes de investir em alguns projetos e e o resultado é que essas vulnerabilidades acabam expondo muitos técnicos.

Com relação a ter orientações somente no tempo de resposta, como o exemplo do aeroporto, coloquei um tópico de estudo de caso justamente com esse exemplo, com algumas oportunidades de melhoria, somente falar em tempo de resposta, para as severidades, acredito que fica uma orientação que deixa espaço para complemento e alcançar um pouco mais de eficácia no entendimento de suas importâncias e de seus alertas.

Abraço povo de DEUS!

1 Like

Onde se lia “(…) A pergunta é: temos o direito de CRER na possibilidade de correr riscos com a coisa pública? Em que situações você escreveria e assinaria embaixo que o risco de sua organização é alto ou médio? (…)”

LEIA-SE: “A pergunta é: temos o direito de CRER na possibilidade de correr riscos com a coisa pública? Em que situações você escreveria e assinaria embaixo que o APETITE DE RISCO de sua organização é alto ou médio?”

Nossa, gostei demais do exemplo. Obrigada @jb_moura

1 Like

Ótimo debate sobre esse critério da gestão de riscos. Obrigado a todos.

Creio que, na prática, o apetite a riscos no serviço público é suficientemente abordado quando da elaboração dos tipos de resposta para cada quadrante da matriz de riscos. Em riscos processuais, não há muito mais o que fazer. Já para riscos estratégicos, pode ser possível aperfeiçoar a complexidade do apetite ao risco no sentido de que os riscos de cada ação estratégica são diferentes e pode haver apetite para uma estratégia com um risco maior, mas com possibilidades de resultados muito maiores do que as estratégias de riscos menores. Obviamente depende do contexto interno e externo de cada organização.

Um abraço.

1 Like