Matriz de Risco e Mapa de Calor: Por Que Viraram Teatro em Muitas EFPCs e Como Tirar do Papel
Matriz de risco é uma das ferramentas mais usadas e menos compreendidas da gestão de riscos em EFPC. Em quase toda entidade que se examina, há uma. Em poucas, ela cumpre o que o nome promete.
A matriz é uma representação visual que cruza probabilidade e impacto de cada risco identificado, geralmente em uma escala de cores (verde, amarelo, vermelho), o que dá origem ao chamado mapa de calor. A função declarada é simples: oferecer ao Conselho e à gestão uma visão consolidada da exposição da entidade, permitindo priorização racional de tratamento.
Na prática, três distorções comuns transformam a matriz em ritual.
A primeira é a falta de critério explícito para classificar probabilidade e impacto. Quando “alta probabilidade” significa coisas diferentes para o gestor de investimentos, para o gestor de benefícios e para o auditor interno, o resultado consolidado perde valor. Cada um classifica conforme sua própria intuição, e a matriz vira média de percepções heterogêneas.
A solução não é sofisticar a escala. É documentar o que cada nível significa, com referência a frequência observável (por exemplo, “alta probabilidade = mais de uma ocorrência prevista por ano”) e a impacto financeiro, regulatório ou reputacional mensurável. Sem isso, a matriz é estatisticamente vazia.
A segunda distorção é o viés do que aconteceu recentemente. Quando a matriz é construída logo depois de um incidente, todos os riscos relacionados a esse incidente sobem de nível. Quando é construída em período sem eventos relevantes, a percepção geral é de tranquilidade. O risco real não muda nessa frequência. A percepção sim.
A solução é separar revisão programada (anual ou semestral) de revisão por evento. A primeira mantém a matriz calibrada. A segunda registra o aprendizado de incidentes específicos sem distorcer a leitura agregada.
A terceira distorção é a ausência de consequência. Riscos classificados como “vermelho” precisam acionar plano de tratamento com responsável, prazo e indicador de acompanhamento. Quando essa cadeia não existe, classificar como vermelho passa a ser tratado pela gestão como exagero do auditor, e a próxima revisão tende a rebaixar a classificação para evitar incômodo.
A solução é vincular formalmente o nível da matriz à obrigação de tratamento. Risco vermelho sem plano de tratamento aprovado em até X dias é elevado ao Conselho. Não como punição, como mecanismo de garantia de que a ferramenta produz decisão.
O mapa de calor herda os mesmos riscos, com um adicional: o conforto visual. Quando a maior parte da matriz aparece em verde, o leitor (especialmente o conselheiro com pouco tempo de leitura técnica) pode interpretar que a entidade está em situação confortável. Quando aparece em vermelho, pode interpretar que está em crise. Ambas as leituras são frágeis se a metodologia por trás da classificação for inconsistente.
Uma matriz de risco que funciona em EFPC tem três características visíveis:
Primeiro, vem acompanhada do método. Quem lê a matriz precisa conseguir entender, em uma página, como cada risco foi classificado.
Segundo, é viva. Há datas registradas de revisão programada, de revisões por evento, e de tratamentos em andamento.
Terceiro, é instrumento de decisão. As reuniões de Conselho não recebem a matriz como anexo. Recebem como agenda: o que mudou, o que precisa ser decidido, o que está fora do apetite.
Quando esses três elementos estão presentes, a matriz para de ser teatro e volta a ser o que sempre deveria ter sido: uma representação viva da exposição da entidade que serve como base concreta para decisão.
Esta é a sétima publicação da série sobre Gestão de Riscos em EFPCs. Na próxima semana: KRIs, ou indicadores-chave de risco, e como projetá-los para que sinalizem o problema antes da ocorrência, não depois.
