DiagnosticMind · ← Todas as edições · EN

A Inversão do Risco: Por Que a Conformidade Barulhenta Prevê o Fracasso

Um diagnóstico estrutural da governação em setores regulados

Toda a organização regulada tem o aparato. O registo de riscos. O comité de gestão de risco empresarial. O painel de risco trimestral ao nível do conselho. A biblioteca de controlos. O ciclo de auditoria. O calendário de atestações. O quadro de políticas. As três linhas de defesa. A declaração de apetite ao risco. O mapa de calor agregado.

O aparato produz volume. Os documentos ficam mais longos. Os comités multiplicam-se. As atestações empilham-se. O ciclo anual de auditoria torna-se um estado permanente. Por qualquer medida externa — páginas produzidas, horas investidas, controlos catalogados — a organização está a «gerir o risco a sério».

Depois materializa-se uma falha que ninguém viu chegar. Exceto que, em revisão, dezenas de pessoas dentro da organização a viram chegar. Tinham-na levantado. Estava numa lista algures. Fora adiada. Fora «anotada». E nada se mexera.

Este padrão repete-se por toda a infraestrutura crítica — pagamentos bancários, operações de energia, implementações de ISO 22301 em setores regulados. Indústrias diferentes, reguladores diferentes, siglas diferentes. A mesma estrutura por baixo. O volume de governação de risco não é um indicador fiável de quão bem uma organização gere o risco. Em muitos casos, é um indicador do contrário.

Há um padrão específico que se repete. Um risco fica no registo operacional ao longo de vários ciclos de revisão — assinalado pela equipa responsável, revisto em comité, adiado de cada vez a favor de itens que a liderança considerou mais prementes. O plano de ação dizia «monitorização». O responsável dizia «planeado». A ata dizia «anotado». Quando o modo de falha se materializou, o pessoal de operações identificou o que tinha acontecido quase de imediato — tinham-no descrito no registo, pelo nome, mais do que uma vez. O relatório pós-incidente descreveu o evento como se tivesse sido imprevisível. A entrada do registo que o nomeara foi arquivada sem mais discussão.

É este o aspeto real do Teatro de Risco visto por dentro. As pessoas mais próximas dos modos de falha não são desouvidas. São documentadas. E depois são ignoradas exatamente na cadência que o quadro de governação exige.

Esta é a inversão do risco no coração da governação moderna: volume que sinaliza não gestão, mas exposição.


A arquitetura do Teatro de Risco

O Teatro de Risco não é mentir. Não é ausência de governação. É a produção de artefactos que se parecem exatamente com gestão de risco enquanto, em silêncio, deslocam a prática dela.

Os artefactos são reconhecíveis: um registo de riscos de 200 linhas onde cada linha tem um responsável, uma pontuação de probabilidade, uma pontuação de impacto, uma referência de controlo e um estado. Atualizações trimestrais. Mapas de calor a vermelho, âmbar, verde. Atas do comité de risco a confirmar que os itens estão a ser acompanhados. Um dossiê para o conselho que resume os registos de cada linha de negócio numa visão única. Uma auditoria externa a confirmar que o quadro está a operar «conforme desenhado».

Cada um destes é, individualmente, um artefacto razoável. O problema é o que o seu volume combinado faz à atenção.

Um registo de riscos com 47 itens pode ser discutido. Cada item pode ser examinado. O comité pode perguntar: qual destes é de facto provável, o que aconteceria se se materializasse, qual o estado atual do controlo, quem responde por fechar a lacuna. Em quatro horas, o comité pode fazer trabalho real sobre cada um.

Um registo de riscos com 200 itens, agregado a partir de uma dúzia de linhas de negócio, não pode ser discutido desta forma. Só pode ser revisto. A revisão consiste em confirmar que os itens têm responsáveis, que o mapa de calor está atualizado, que os itens de alta prioridade têm planos de ação registados. Nada sobre se esses planos de ação são reais, se os controlos de facto funcionam, se o modo de falha seria apanhado caso se materializasse amanhã.

O comité sai da reunião tendo «coberto» a gestão de risco. Os riscos estão inalterados. Os artefactos estão atualizados. E o modo de falha que acabará por se materializar está algures nos três quartos de baixo do registo, marcado a âmbar, responsável atribuído, estado: «monitorização».

Isto não é negligência. É o que acontece quando o volume de governação cresce mais depressa do que a capacidade de lhe prestar atenção.


TSB Bank, abril de 2018

Em abril de 2018, o TSB Bank no Reino Unido migrou aproximadamente 5,2 milhões de contas de clientes para uma nova plataforma central de banca construída pela Sabis, o braço de serviços de TI da sua empresa-mãe, o Banco Sabadell. O plano estivera em desenvolvimento durante anos. Fora testado. O risco fora governado. O conselho aprovara. No fim de semana da migração, 1,9 milhões de clientes perderam acesso às suas contas. Alguns viram saldos errados. Alguns viram transações de outros clientes. As agências não conseguiam processar. A banca online ficou inutilizável durante semanas. A fraude disparou porque os atacantes exploraram o caos. O CEO demitiu-se. O custo direto eventual para o TSB aproximou-se dos 366 milhões de libras, com danos incalculáveis na confiança dos clientes.

A revisão independente da Slaughter and May, publicada em 2019, foi impiedosa. A governação pré-migração fora abrangente. Os artefactos existiam. Ao conselho fora dito que a plataforma estava pronta. Nenhum destes correspondia à realidade operacional. Os testes não tinham exercitado o sistema a volume de produção. A infraestrutura não fora adequadamente testada em carga. Problemas conhecidos tinham sido adiados para pós-migração. A decisão de avançar fora tomada com base em documentos, não com base numa leitura operacional séria de se a plataforma aguentaria.

Não é uma história sobre um banco a tomar uma má decisão. É uma história sobre a diferença estrutural entre governar o risco e geri-lo. O aparato de risco pré-migração do TSB estava, pelos padrões da indústria, em boa ordem. Produzia volume. Satisfazia auditores. Satisfazia reguladores. Não protegeu o banco nem os seus clientes de uma falha que, em retrospetiva, era visível para pessoas dentro da equipa de migração semanas antes do lançamento.


Por que o volume de governação cresce com a exposição

O mecanismo incómodo é este: o volume de governação tende a crescer com a pressão regulatória, não com o risco carregado. À medida que uma indústria fica sob mais escrutínio regulatório, os artefactos multiplicam-se. Cada nova regulação cria uma nova atestação. Cada nova atestação cria um novo controlo. Cada novo controlo cria uma nova linha no registo. Cada nova linha no registo cria um novo responsável, uma nova cadência de revisão, uma nova obrigação de auditoria.

Nada disto está errado isoladamente. Cada elemento individual é uma resposta razoável a uma preocupação real.

O problema é o que o agregado faz. A atenção é finita. A função de risco é composta por humanos com agendas. À medida que o volume de governação cresce, a atenção por item comprime-se. O registo de 200 itens passa a ser revisto no mesmo tempo de reunião em que antes se revia o de 47 itens. A profundidade do envolvimento colapsa. Os artefactos continuam a parecer corretos. A qualidade real da gestão de risco deteriora-se.

Pior: à medida que o volume cresce, o custo político de remover itens do registo aumenta. Os responsáveis não querem os seus riscos «despromovidos» porque isso sinaliza que a sua função é menos crítica. Os auditores não querem itens antes acompanhados «removidos» porque a remoção parece governação reduzida. Por isso o registo só cresce. A atenção por item só diminui.

Quando o registo tem 500 itens, a organização já não gere o risco através dele. Gere o artefacto. O risco continua a existir na realidade operacional, onde as pessoas mais próximas dele o conseguem ver e já não conseguem que a atenção sénior se foque nele, porque a atenção sénior está consumida a rever o artefacto.


Como a aviação o faz de forma diferente

Há um domínio que passou cinquenta anos a construir exatamente o arranjo oposto, e os resultados são publicamente verificáveis.

O Aviation Safety Reporting System foi criado em 1976. É gerido pela NASA — deliberadamente separado da Federal Aviation Administration, que detém a autoridade de fiscalização. Pilotos, controladores, tripulação de cabine, pessoal de manutenção, despachantes e pessoal de terra submetem relatórios confidenciais que descrevem quase-acidentes, situações perigosas, erros que cometeram, erros que observaram. Em troca de relatar com honestidade, os contribuintes recebem imunidade limitada face a ação de fiscalização da FAA. O sistema reuniu mais de dois milhões de relatórios até à data.

As escolhas de desenho estrutural importam. O órgão que recebe os relatórios fica fora do regulador. Fica fora do operador. Os relatórios são confidenciais e anonimizados antes da análise. O foco está em identificar perigos latentes do sistema, não em atribuir culpa individual. Quando emergem padrões, o sistema emite alertas de volta para a indústria. O volume de sinal operacional que flui pelo sistema é alto — medido em dezenas de milhares de relatórios por ano. O volume de teatro de governação à sua volta é comparativamente baixo.

Os serviços financeiros não têm nada disto. Não há órgão equivalente, não há separação estrutural entre as instituições que são revistas e as instituições que conduzem as revisões, não há quadro de imunidade para operadores que assinalam preocupações, não há repositório de âmbito industrial de quase-acidentes analisado por um terceiro neutro. Há comités de auditoria, diagramas de três-linhas-de-defesa, bibliotecas de controlos e painéis de risco. O volume de governação é alto. O volume de sinal operacional que flui para dentro da governação é, em comparação, quase nada.

A aviação é uma das atividades de larga escala mais seguras da história humana, apesar da crescente complexidade tecnológica. Este resultado não é produzido pelo volume de documentação de segurança que as companhias aéreas geram. É produzido pelo desenho estrutural de como a realidade operacional é trazida à superfície, captada, analisada e realimentada na prática. O arranjo não é teórico. Está a funcionar há meio século. A indústria dos serviços financeiros simplesmente não adotou nenhum equivalente.

A objeção escreve-se sozinha: a aviação tem os acidentes como verdade no terreno, as finanças não têm, e foi isso que forçou o desenho. Verdade — e a conclusão errada. As finanças têm as suas próprias fatalidades: perdas de pensões, famílias deslocadas, transações negadas, vidas silenciosamente diminuídas por falhas que nunca chegam à primeira página. O argumento de que a ausência de aviões despenhados desculpa a ausência de sistemas estruturais de aprendizagem é, ele próprio, uma forma de teatro de risco.


O que isto significa para um observador externo é incómodo.

Quando vê uma organização com a governação de risco mais elaborada — mais comités, mais atestações, os registos mais longos, mais comentário público sobre a sua cultura de risco — não está a olhar para proteção. Está a olhar para a superfície que a governação produziu. A exposição real está algures por baixo, nos modos de falha que o volume expulsou da atenção sénior.

As organizações que gerem bem o risco parecem silenciosas por fora. Não porque se estejam a esconder. Porque a prática de gestão de risco, feita a sério, não produz o tipo de artefactos públicos que são recompensados por analistas, reguladores e imprensa financeira. Produz continuidade operacional, que é invisível por definição. Não se consegue ver o incidente que não aconteceu.

Esta inversão é a parte que a própria profissão de risco raramente nomeia, porque a profissão é recompensada por produzir os artefactos. Os incentivos de carreira nos mercados de auditoria e consultoria pagam por volume de governação. Não pagam pelo silêncio de uma operação que tem menos modos de falha do que tinha há um ano.

Até que esses incentivos mudem, a inversão persistirá. As organizações barulhentas continuarão a ser celebradas pelos seus quadros de risco até que a próxima falha venha ao de cima. As organizações silenciosas continuarão a fazer o trabalho que impede as falhas de virem ao de cima, logo à partida. E a distância entre o volume de governação que uma organização produz e o risco real que carrega continuará a ser um dos sinais mais fiáveis que um observador externo tem — não de segurança, mas de exposição.

Por isso, da próxima vez que ler que uma empresa tem «governação de risco de classe mundial», faça uma pergunta.

Que modo de falha é que a sua função de risco fechou de facto no último trimestre?

Se a resposta for uma lista de artefactos produzidos, já sabe o que está realmente a ser gerido.