Profissionais que trabalham com gestão de riscos e em áreas correlatas tendem a se sentir confortáveis com normas de referência como a ISO 31000:2018, pois elas fornecem uma estrutura, um processo e um senso de ordem para as organizações que seguem as suas diretrizes.
Porém, independente dos princípios que as norteiam e da estrutura de gestão de riscos que possam oferecer, existe um componente que dificilmente pode ser removido do Processo de Gestão de Riscos: os vieses cognitivos.
Vieses são atalhos em nosso pensamento que nos ajudam a tomar decisões rápidas. Tais decisões, no entanto, nem sempre estão corretas. Embora os vieses possam nos ajudar a tomar decisões mais rápidas em momentos de incerteza, eles também podem distorcer os julgamentos.
Em ambientes de alto risco, como os que requerem tomada de decisões críticas, até mesmo as menores distorções podem levar a pontos cegos estratégicos, desperdício de recursos ou a surpresas com impactos negativos.
Os vieses cognitivos podem surgir em qualquer etapa do processo de gestão de riscos, desde o estabelecimento do contexto e dos critérios de riscos, até a identificação, análise e/ou avaliação de riscos, passando pelo monitoramento e comunicação dos mesmos.
Eles podem aparecer de diversas formas, seja em conselhos administrativos que atribuem soluções complexas para problemas aparentemente simples, em gestores que justificam erros e atribuem a culpa a outros, ou em funcionários que optam por seguir o grupo em vez de expressar suas próprias perspectivas.
Oito dos vieses mais comuns que moldam a gestão de riscos atual são: complexidade, inovação, autoatribuição, excesso de confiança, ancoragem, confirmação, enquadramento e pensamento de grupo.
Assim, como os gestores de riscos podem identificar proativamente esses vieses e desenvolver estratégias para minimizar a tomada de decisões enviesadas, de modo a apoiar decisões baseadas em riscos?
Vieses de Complexidade e Inovação
Considere um cenário em que uma organização decide contratar um consultor externo para avaliar o nível de maturidade de gestão de riscos e propor melhorias nos processos.
O consultor então conclui o trabalho e entrega uma estrutura complexa, repleta de jargões, alinhada a normas internacionais, porém, com múltiplas taxonomias e poucos conselhos práticos ou recursos para ajudar a empresa a implementar as recomendações.
Dessa forma, a identificação de riscos fica estagnada porque a estrutura é muito complexa para os funcionários da linha de frente aplicarem. Supõe-se que complexidade é automaticamente melhor, o que caracteriza o viés de complexidade.
O viés de complexidade leva as organizações a priorizar soluções excessivamente complicadas em detrimento de soluções pragmáticas. Ele é frequentemente acompanhado pelo viés da inovação, no qual a versão mais recente de uma ferramenta ou tecnologia é percebida como inerentemente superior, ainda que não gere melhorias reais nos processos existentes.
Esses vieses podem gerar um impacto significativo na governança de riscos. Tornar práticas muito complexas pode confundir os funcionários, dificultar melhorias e dar às partes interessadas a falsa impressão de que suas competências para gestão de riscos são mais avançadas do que realmente são.
Ao tornar as estruturas inviáveis para as equipes de trabalho, tais vieses podem prejudicar a identificação de riscos e dificultar o estabelecimento de estruturas e modelos de gestão de riscos.
Para contorná-los, é importante avaliar se é possível explicar a estrutura da organização a um novo funcionário em poucos minutos. Se a resposta for não, ela é muito complexa e o viés de complexidade pode estar em jogo.
Além disso, devem-se eliminar os excessos e focar no que realmente importa, resumindo, por exemplo, as estruturas e os modelos de governança de riscos em documentos sucintos. Em seguida, é recomendável consultar os responsáveis pela gestão de riscos em toda organização para validar se os documentos são suficientemente compreensíveis e acessíveis.
Viés de Autoatribuição
Uma organização planeja lançar um novo produto ou serviço. Caso o lançamento seja bem-sucedido, os gestores atribuem o mérito à sua visão de futuro. Se fracassar, culpam os órgãos reguladores ou a mudanças de mercado 'imprevistas'.
Como consequência, os relatórios de análise crítica são superficiais e as lições aprendidas raramente são integradas ao processo de gestão de riscos. Surge então o viés de autoatribuição, ou seja, atribuir os sucessos a nós mesmos e as derrotas a fatores externos.
Em discussões estratégicas, o viés de autoatribuição pode levar a uma narrativa seletiva. Os gestores tendem a se apropriar demais do crédito pelos sucessos e a minimizar a influência de fatores externos. Isso cria uma falsa sensação de confiança e impede que a empresa aprenda com seus erros, enfraquecendo, em última análise, a estratégia geral da organização e os processos de tomada de decisões futuras.
Para combater esse viés, é importante associar cada decisão importante a um profissional independente, como um membro do conselho ou um consultor externo, capacitado para questionar - e não apenas aprovar - decisões.
Dessa forma, é possível exigir que as equipes documentem tanto os fatores controlados pela gestão, quanto os fatores externos antes de encerrar as análises críticas, de modo a garantir equilíbrio e responsabilização e identificar oportunidades de melhoria.
Viés de Ancoragem
Durante o processo de avaliação de riscos, o primeiro conceito ou ideia mencionado pode muitas vezes "ancorar" o resto da discussão, mesmo que seja arbitrário.
Por exemplo, na revisão do mapa de riscos, a área de operações pode manter classificações baseadas em avaliações feitas há três anos. Mesmo com o aumento de falhas no maquinário e maior volume de produção, ela continua usando os mesmos níveis de probabilidade e consequência, porque está ancorada no histórico, não na evidência atual.
O viés de ancoragem ocorre frequentemente em workshops de riscos e reuniões de alocação orçamentária. Uma vez estabelecida uma âncora inicial, torna-se difícil aos participantes visualizarem além dela, mesmo quando dados melhores tornam-se disponíveis.
Esse viés pode dificultar as avaliações de risco, em que os riscos são avaliados e priorizados, pois as âncoras iniciais podem distorcer a probabilidade e impactar os julgamentos.
Para evitar o viés de ancoragem ao facilitar workshops e reuniões, todos os participantes devem receber materiais prévios que forneçam insights sobre o que será abordado e sobre os riscos específicos que serão avaliados ou discutidos.
É importante utilizar materiais estruturados que exijam contribuições anônimas de múltiplas áreas, como finanças, operações e jurídico. Além disso, devem-se calibrar os resultados em sessões de validação para reduzir a dependência do primeiro número apresentado.
Viés de Confirmação
Durante uma análise de indicadores de qualidade, o gestor da área procura apenas dados que reforçam a ideia de que o novo procedimento reduziu o retrabalho da equipe.
Ele ignora registros de pequenas não conformidades, afirmando que 'os operadores só precisam de mais tempo para se adaptar', mesmo com evidências claras de que o processo não está funcionando como previsto. Este é um exemplo de viés de confirmação, ou seja, favorecer informações que corroboram aquilo que já acreditamos.
O viés de confirmação prevalece em situações nas quais não se consideram dados e informações alternativas, independente da qualidade ou disponibilidade dos mesmos.
Se não for devidamente monitorado, esse viés pode impedir que as equipes de gestão de riscos detectem novas vulnerabilidades, perpetuando registros de riscos desatualizados e tornando as organizações mais vulneráveis a riscos graves.
O viés de confirmação também interfere no monitoramento e análise crítica de riscos, nos quais se rastreiam dados e métricas. Quando as organizações passam a descartar sinais contraditórios, deixam de detectar mudanças em seus níveis de exposição a riscos emergentes.
Para evitar esse viés, é importante não buscar apenas evidências que apoiem perspectivas individuais. Em vez disso, devem-se procurar elementos que refutem tais perspectivas e provem que elas estão equivocadas.
Uma alternativa seria implementar um rodízio de equipes designadas para questionar premissas e suposições. Elas podem agir como adversárias para descobrir pontos cegos e desafiar a eficácia dos mecanismos de controles internos em vigor. Caso a organização possua uma área de auditoria interna, a equipe de auditores também pode exercer essa função.
De forma similar, em todas as discussões de tomada de decisão, é importante que os gestores apresentem pelo menos um fato ou exemplo que desafie a forma de pensar vigente e analisem criticamente pelo menos um fato ou exemplo contrário durante cada reunião.
Viés de Excesso de Confiança
Considere uma organização em que a alta direção está confiante de que a migração do sistema de gestão de riscos corporativo para a nuvem será tranquila porque sua equipe já executou projetos semelhantes com sucesso.
Assim, os gestores alocam uma verba mínima para contingências, para se depararem com meses de atrasos e falhas de segurança inesperadas. Surge assim, o viés de excesso de confiança, que mina a resiliência corporativa.
O viés de excesso de confiança leva as organizações a subestimarem a complexidade dos processos, ignorarem alertas precoces, confiarem demais em sucessos anteriores e se comprometerem excessivamente com cronogramas ambiciosos.
No processo de avaliação de riscos, isso geralmente resulta em projeções otimistas demais, impactando diretamente a forma como as organizações alocam recursos, estabelecem cronogramas e respondem aos riscos.
Para combater esse viés, é importante realizar análises prévias, anteriores às principais iniciativas, simulando como se estas já tivessem falhado e, em seguida, analisando de trás pra frente o que pode ter dar errado.
Esse exercício ajuda a descobrir pontos cegos e riscos ocultos antes que as decisões sejam tomadas, de modo que os responsáveis pela iniciativa sejam capazes de explicar como ela poderia falhar. Monitorar as variações entre os resultados previstos e os resultados reais do projeto ajuda a recalibrar as premissas futuras e alocar os recursos adequados.
Viés de Enquadramento
Em um relatório da área de segurança da informação, o gestor informa que a área bloqueou 99% das tentativas de ataque cibernético no último trimestre. O comitê de riscos avalia que a postura é adequada.
No entanto, caso ele reportasse que 1% das tentativas de ataque passaram pelas defesas da área, totalizando mais de 2 mil incidentes potenciais, a urgência para ampliar controles seria maior. Gera-se assim, o chamado viés de enquadramento, em que os mesmos dados podem alterar percepções e decisões quando apresentados de forma diferente.
O viés de enquadramento afeta a forma como os gestores interpretam os mesmos dados. Enquadramentos positivos geralmente incentivam a tomada de riscos, enquanto enquadramentos negativos tendem a gerar aversão a riscos.
Uma vez que a forma como os dados são apresentados, muitas vezes impacta diretamente as decisões dos líderes, mudanças na abordagem podem influenciar investimentos multimilionários.
Para evitar esse viés, é importante padronizar a forma como as informações são apresentadas e utilizar linguagem neutra em relatórios para reduzir julgamentos inconscientes.
Nesse sentido, deve-se apresentar as informações sobre riscos de forma a destacar tanto os pontos positivos quanto os negativos, incentivando os tomadores de decisão a refletirem sobre os dados antes de chegarem a uma conclusão.
Viés de Pensamento de Grupo
Organizações muitas vezes se orgulham do consenso, mas o excesso de harmonia pode ocultar riscos, tanto positivos quanto negativos.
Considere uma empresa em que as discussões nas reuniões de conselho frequentemente tornam-se tensas, porém, quando o presidente defende sua perspectiva com confiança, os gestores dissidentes hesitam em contrariá-lo ou apresentar um ponto de vista oposto.
Em vez disso, concordam com o restante do grupo para evitar 'causar problemas'. As decisões são unânimes e as exposições a riscos críticos são ignoradas. Surge assim o viés de pensamento de grupo, ou seja, a preferência pelo consenso em detrimento da decisão sob diferentes pontos de vista.
O pensamento de grupo prejudica a qualidade dos relatórios e da supervisão. Silencia opiniões minoritárias, limita as perspectivas e impede que os conselhos cumpram seu papel como gestores dos interesses de diversas partes interessadas.
Além disso, ele dificulta o processo de reporte de riscos, no qual as informações sobre riscos são encaminhadas aos executivos e conselhos. Suprimir opiniões divergentes nos relatórios enfraquece a supervisão e encobre as reais exposições.
Para superar esse viés, a organização pode adotar uma prática de 'falar abertamente', que encoraje as partes interessadas em todos os níveis a se expressarem livremente, sem qualquer receio de retaliação ou represália.
Também é possível implementar um processo para incentivar opiniões divergentes de forma estruturada, com rodadas de perguntas como "o que estamos deixando de lado?" em cada reunião.
Outra opção seria permitir o envio anônimo de pontos de vista alternativos e apresentá-los em reuniões futuras, de modo a normalizar opiniões sinceras e divergentes. Assim, cria-se um ambiente mais seguro, em que esse tipo de contribuição tende a ser recompensado, e não penalizado.
A importância do fator humano no combate aos vieses cognitivos
Gestores capazes de combater vieses em tempo real podem ajudar a posicionar as organizações à frente de seus pares e concorrentes. Estruturas de gestão de riscos, procedimentos e controles internos eficazes são essenciais, mas por si só, não eliminam a variável mais imprevisível no processo de gestão de riscos: as pessoas.
Os vieses cognitivos infiltram-se em discussões estratégicas, na identificação, análise e em avaliações de riscos, bem como na elaboração de relatórios, muitas vezes sem que ninguém perceba.
Como eles são inerentes à tomada de decisões, os gestores devem incorporar a conscientização sobre os vieses em todas as etapas do processo de gestão de riscos, não como um exercício acadêmico, mas como uma disciplina diária.
Para minimizar esses vieses, é importante iniciar com pequenas ações, simplificando estruturas, realizando análises prévias de incidentes, revezando equipes no questionamento de pontos de vista e normalizando e recompensando opiniões divergentes.
Com o tempo, essas práticas podem ajudar a criar culturas de riscos positivas, práticas organizacionais mais saudáveis e uma supervisão de riscos mais eficaz.
___________________________
Não deixe de ouvir nosso MiniPodcast no YouTube: Os Vieses Ocultos na Gestão de Riscos e Como Combatê-los (são apenas 3 min e 25 s).
Não deixe de ouvir nosso MiniPodcast no YouTube: Os Vieses Ocultos na Gestão de Riscos e Como Combatê-los (são apenas 3 min e 25 s).
___________________________
• Para entender melhor como as ferramentas de IA podem ajudar a identificar e minimizar os vieses na gestão de riscos, conheça nosso novo treinamento 100% prático, voltado ao uso e aplicações da IA no Processo de Avaliação de Riscos: IA Aplicada à Identificação, Análise e Avaliação de Riscos.
• Para simular técnicas de risk assessment e auditorias com o suporte da IA, acesse e utilize gratuitamente o Risk Assessor QSP, nosso Assistente de IA - treinado na norma NBR IEC 31010:2021 e em documentos específicos selecionados pelo QSP - para execução de técnicas qualitativas, semiquantitativas e quantitativas do processo de avaliação de riscos.
• E, para colocar em prática as aplicações da IA Generativa em sua organização, utilize gratuitamente os demais bots especialistas do nosso SuperChatGPT | ISO31000.net, desenvolvidos e treinados pelo QSP em Gestão de Riscos e temas relacionados.
