Uma abordagem adaptativa para gestão de riscos
O gerenciamento de riscos é frequentemente tratado como um problema de conformidade que pode ser resolvido através da elaboração de muitas regras e da garantia de que todos os funcionários as sigam. Muitas dessas regras reduzem alguns riscos que podem danificar seriamente uma empresa. Porém, o gerenciamento de riscos baseado em regras não diminuirá a probabilidade ou o impacto de um desastre externo, assim como não impediu o fracasso de muitas instituições financeiras durante a crise econômicas dos últimos anos.
Basicamente existem 3 tipos de riscos: Riscos evitáveis, Riscos de estratégia e Riscos externos.
Riscos evitáveis: Esses são riscos internos, decorrentes da organização, que são controláveis e devem ser eliminados ou evitados. Exemplos são os riscos de ações não autorizadas, ilegais, antiéticas, incorretas ou inadequadas de funcionários e gerentes e os riscos de falhas nos processos operacionais de rotina. Em geral, as empresas devem procurar eliminar esses riscos, pois não obtêm benefícios estratégicos ao assumi-los. Essa categoria de risco é melhor gerenciada por meio da prevenção ativa: monitorando processos operacionais e orientando os comportamentos e decisões das pessoas em direção às normas desejadas.
Riscos de estratégia: Uma empresa aceita voluntariamente algum risco para gerar retornos superiores de sua estratégia. Um banco assume risco de crédito, por exemplo, quando empresta dinheiro; muitas empresas assumem riscos por meio de suas atividades de pesquisa e desenvolvimento. Os riscos da estratégia são bem diferentes dos riscos evitáveis porque não são inerentemente indesejáveis. Uma estratégia com altos retornos esperados geralmente exige que a empresa assuma riscos significativos, e o gerenciamento desses riscos é um fator-chave para capturar os ganhos potenciais.
Os riscos da estratégia não podem ser gerenciados por meio de um modelo de controle baseado em regras. Em vez disso, você precisa de um sistema de gerenciamento de riscos projetado para reduzir a probabilidade de que os riscos assumidos realmente se materializem e melhorar a capacidade da empresa de gerenciar ou conter os eventos de risco, caso ocorram. Esse sistema não impediria as empresas de empreender empreendimentos arriscados; pelo contrário, permitiria às empresas assumir empreendimentos de maior risco e maior recompensa do que os concorrentes com gerenciamento de risco menos eficaz.
Riscos externos: Alguns riscos surgem de eventos fora da empresa e estão além de sua influência ou controle. As fontes desses riscos incluem desastres naturais e políticos e grandes mudanças macroeconômicas. Os riscos externos exigem outra abordagem. Como as empresas não podem impedir que tais eventos ocorram, seu gerenciamento deve se concentrar na identificação (elas tendem a ser óbvias em retrospectiva) e na mitigação de seu impacto.
As empresas devem adaptar seus processos de gerenciamento de riscos para essas diferentes categorias. Embora uma abordagem baseada em conformidade seja eficaz para gerenciar riscos evitáveis, é totalmente inadequada para riscos de estratégia ou riscos externos, que exigem uma abordagem fundamentalmente diferente com base em discussões de risco abertas e explícitas.
Gerenciamento de riscos da estratégia
Existem três abordagens distintas para gerenciar riscos de estratégia. O modelo apropriado para uma determinada empresa depende em grande parte do contexto em que uma organização opera. Cada abordagem requer estruturas e funções bastante diferentes para uma função de gerenciamento de riscos, mas as três incentivam os funcionários a desafiar as premissas existentes e debater as informações de risco.
Especialistas independentes.
Algumas organizações enfrentam alto risco intrínseco à medida que buscam projetos longos, complexos e caros de desenvolvimento de produtos. Mas como grande parte do risco decorre do enfrentamento de leis conhecidas da natureza, o risco muda lentamente ao longo do tempo. Para essas organizações, o gerenciamento de riscos pode ser tratado no nível do projeto.
Algumas empresas criam conselhos de revisão de riscos composto por especialistas técnicos independentes, cuja função é desafiar as decisões de projeto, avaliação e mitigação de riscos dos engenheiros do projeto. Os especialistas garantem que as avaliações de risco ocorram periodicamente ao longo do ciclo de desenvolvimento do produto. As reuniões, construtivas e de confronto, não pretendem inibir a equipe do projeto de perseguir missões e projetos altamente ambiciosos. Mas eles forçam os engenheiros a pensar com antecedência sobre como descreverão e defenderão suas decisões de projeto e se consideraram suficientemente prováveis falhas e defeitos. Os membros do conselho, agindo como advogados do diabo, contrabalançam o excesso de confiança natural dos engenheiros, ajudando a evitar a escalada do compromisso com projetos com níveis inaceitáveis de risco.
Facilitadores.
Muitas organizações operam em ambientes tecnológicos e de mercado estáveis, com demanda relativamente previsível dos clientes. Nessas situações, os riscos decorrem em grande parte de escolhas operacionais aparentemente não relacionadas em uma organização complexa que se acumula gradualmente e pode permanecer oculta por um longo tempo. Como nenhum grupo de funcionários possui o conhecimento necessário para executar o gerenciamento de riscos em nível operacional em diversas funções, as empresas podem implantar um grupo central de gerenciamento de riscos relativamente pequeno que coleta informações de gerentes operacionais. Isso aumenta a conscientização dos gerentes sobre os riscos assumidos em toda a organização e fornece aos tomadores de decisão uma visão completa do perfil de risco da empresa.
Especialistas incorporados.
O setor de serviços financeiros apresenta um desafio único devido à dinâmica volátil dos mercados de ativos e ao impacto potencial das decisões tomadas por traders descentralizados e gerentes de investimentos. O perfil de risco de um banco de investimento pode mudar drasticamente com um único negócio ou grande movimento de mercado. Para essas empresas, o gerenciamento de riscos exige que especialistas incorporados na organização monitorem e influenciem continuamente o perfil de riscos da empresa, trabalhando lado a lado com os gerentes de linha cujas atividades estão gerando novas idéias, inovação e riscos - e, se tudo correr bem, lucros .
O principal perigo da incorporação de gerentes de risco na organização de linha é que eles “se tornem nativos”, alinhando-se ao círculo interno da equipe de liderança da unidade de negócios - tornando-se criadores de negócios em vez de questionadores de negócios. Prevenir isso é responsabilidade do diretor de risco sênior da empresa e, em última instância, do CEO, que define o tom da cultura de risco da empresa.
Evitando a armadilha
Mesmo que os gerentes tenham um sistema que promova discussões ricas sobre riscos, uma segunda armadilha cognitivo-comportamental os espera. Como muitos riscos estratégicos (e alguns riscos externos) são bastante previsíveis - até mesmo familiares - as empresas tendem a rotulá-los e compartimentá-los, especialmente ao longo das linhas de funções de negócios. Os bancos geralmente gerenciam o que denominam “risco de crédito”, “risco de mercado” e “risco operacional” em grupos separados. Outras empresas compartimentam o gerenciamento de “risco de marca”, “risco de reputação”, “risco de cadeia de suprimentos”, “risco de recursos humanos”, “risco de TI” e “risco financeiro”. Esses silos organizacionais dispersam informações e responsabilidades pelo gerenciamento de riscos eficaz. Eles inibem a discussão de como diferentes riscos interagem. Boas discussões de risco devem ser não apenas de confronto, mas também integrativas. As empresas podem ser prejudicadas por uma combinação de pequenos eventos que se reforçam mutuamente de maneiras imprevistas.
Alinhando riscos com a estratégia
Os gerentes podem desenvolver uma perspectiva de risco em toda a empresa ancorando suas discussões no planejamento estratégico, o único processo integrador que a maioria das empresas bem geridas já possui. Por exemplo, a Infosys, empresa indiana de serviços de TI, gera discussões de risco com o Balanced Scorecard, sua ferramenta de gerenciamento para medição e comunicação da estratégia. Ao criar seu Balanced Scorecard, a Infosys identificou “relacionamentos crescentes com os clientes” como um objetivo-chave e selecionou métricas para medir o progresso, como o número de clientes globais com faturamento anual superior a US $ 50 milhões e o aumento percentual anual nas receitas de grandes clientes. Ao analisar a meta e as métricas de desempenho juntas, a gerência percebeu que sua estratégia havia introduzido um novo fator de risco: inadimplência do cliente. Quando os negócios da Infosys eram baseados em inúmeros pequenos clientes, um único padrão de cliente não colocaria em risco a estratégia da empresa. Mas um padrão de um cliente de US $ 50 milhões apresentaria um grande revés. A Infosys começou a monitorar a taxa de swap de crédito de todos os grandes clientes como um indicador importante da probabilidade de inadimplência. Quando a taxa de um cliente aumenta.
Para dar outro exemplo, considere a Volkswagen do Brasil (posteriormente abreviada como VW), a subsidiária brasileira da montadora alemã. A unidade de gerenciamento de riscos da VW usa o mapa estratégico da empresa como ponto de partida para seus diálogos sobre riscos. Para cada objetivo no mapa, o grupo identifica os eventos de risco que podem levar a VW a ficar aquém desse objetivo. A equipe gera um Cartão de Evento de Risco para cada risco no mapa, listando os efeitos práticos do evento nas operações, a probabilidade de ocorrência, os principais indicadores e as possíveis ações de mitigação. Ele também identifica quem é o principal responsável pelo gerenciamento do risco.
Além de introduzir um processo sistemático para identificar e mitigar os riscos da estratégia, as empresas também precisam de uma estrutura de supervisão de riscos. A Infosys usa uma estrutura dupla: uma equipe de risco central que identifica os riscos gerais da estratégia e estabelece políticas centrais, e equipes funcionais especializadas que projetam e monitoram políticas e controles em consulta com as equipes de negócios locais. As equipes descentralizadas têm autoridade e conhecimento para ajudar as linhas de negócios a responder a ameaças e mudanças em seus perfis de risco, escalando apenas as exceções à equipe de risco central para revisão. Por exemplo, se um gerente de relacionamento com o cliente deseja conceder um período de crédito mais longo a uma empresa cujos parâmetros de risco de crédito são altos, o gerente de risco funcional pode enviar o caso à equipe central para revisão.
Gerenciando o incontrolável
Os riscos externos, a terceira categoria de risco, normalmente não podem ser reduzidos ou evitados por meio das abordagens usadas para gerenciar riscos evitáveis e estratégicos. Os riscos externos estão amplamente fora do controle da empresa; as empresas devem se concentrar em identificá-las, avaliar seu impacto potencial e descobrir a melhor forma de mitigar seus efeitos, caso ocorram.
A maioria dos eventos de risco externos, no entanto, exige uma abordagem analítica diferente, porque sua probabilidade de ocorrência é muito baixa ou porque os gerentes acham difícil visualizá-los durante seus processos normais de estratégia. Identificamos várias fontes diferentes de riscos externos:
Desastres naturais e econômicos com impacto imediato. Esses riscos são previsíveis de uma maneira geral, embora seu momento não seja geralmente (um grande terremoto ocorrerá algum dia na Califórnia, mas não há como dizer exatamente onde ou quando). Eles podem ser antecipados apenas por sinais relativamente fracos. Exemplos incluem desastres naturais, como a erupção do vulcão islandês de 2010, que fechou o espaço aéreo europeu por uma semana, e desastres econômicos, como a explosão de uma grande bolha de preços de ativos. Quando esses riscos ocorrem, seus efeitos são tipicamente drásticos e imediatos.
Mudanças geopolíticas e ambientais com impacto a longo prazo. Isso inclui mudanças políticas, como grandes mudanças políticas, golpes, revoluções e guerras; mudanças ambientais de longo prazo, como aquecimento global; e esgotamento de recursos naturais críticos, como água doce.
Riscos competitivos com impacto a médio prazo. Isso inclui o surgimento de tecnologias disruptivas (como internet, smartphones e códigos de barras) e movimentos estratégicos radicais dos participantes do setor (como a entrada da Amazon no varejo de livros e a Apple nos setores de telefonia móvel e eletrônicos). As empresas usam diferentes abordagens analíticas para cada uma das fontes de risco externo:
Testes de estresse de risco
O teste de estresse ajuda as empresas a avaliar grandes mudanças em uma ou duas variáveis específicas cujos efeitos seriam grandes e imediatos, embora o momento exato não seja previsível. As empresas de serviços financeiros usam testes de estresse para avaliar, por exemplo, como um evento como a triplicação dos preços do petróleo, uma grande oscilação nas taxas de câmbio ou de juros ou a inadimplência de uma grande instituição ou país soberano afetaria posições e investimentos comerciais.
Os benefícios do teste de estresse, no entanto, dependem criticamente das suposições - que podem ser tendenciosas - sobre o quanto a variável em questão mudará.
Planejamento de cenário.
Essa ferramenta é adequada para análises de longo alcance, geralmente de cinco a 10 anos. A análise de cenários é um processo sistemático para definir os limites plausíveis dos futuros estados do mundo. Os participantes examinam as forças políticas, econômicas, tecnológicas, sociais, regulatórias e ambientais e selecionam um número de fatores - tipicamente quatro - que teriam o maior impacto na empresa. Algumas empresas explicitamente recorrem à experiência em seus conselhos consultivos para informá-las sobre tendências significativas, fora do foco diário da empresa e do setor, que devem ser consideradas em seus cenários.
Para cada um dos drivers selecionados, os participantes estimam valores máximos e mínimos previstos em cinco a 10 anos. A combinação dos valores extremos para cada um dos quatro drivers leva a 16 cenários. Cerca da metade tende a ser implausível e é descartada; os participantes então avaliam o desempenho da estratégia da empresa nos cenários restantes. Se os gerentes vêem que sua estratégia depende de uma visão geralmente otimista, eles podem modificá-la para acomodar cenários pessimistas ou desenvolver planos de como eles mudariam sua estratégia caso os indicadores iniciais mostrassem uma probabilidade crescente de eventos se voltando contra ela.
Jogos de guerra.
Os jogos de guerra avaliam a vulnerabilidade de uma empresa a tecnologias disruptivas ou mudanças nas estratégias dos concorrentes. Em um jogo de guerra, a empresa atribui a três ou quatro equipes a tarefa de conceber estratégias ou ações plausíveis de curto prazo que os concorrentes existentes ou potenciais possam adotar durante os próximos um ou dois anos - um horizonte de tempo mais curto que o da análise de cenário. As equipes se reúnem para examinar como concorrentes inteligentes podem atacar a estratégia da empresa. O processo ajuda a superar o viés dos líderes para ignorar as evidências contrárias às suas crenças atuais, incluindo a possibilidade de ações que os concorrentes podem adotar para interromper sua estratégia.
As empresas não têm influência sobre a probabilidade de eventos de risco identificados por métodos como testes de risco de cauda, planejamento de cenários e jogos de guerra. Mas os gerentes podem tomar ações específicas para mitigar seu impacto. Como o risco moral não surge para eventos imprevisíveis, as empresas podem usar seguros ou hedge para mitigar alguns riscos, como uma companhia aérea quando se protege contra aumentos acentuados nos preços dos combustíveis usando derivativos financeiros.
O desafio da liderança
Gerenciar riscos é muito diferente de gerenciar estratégias. O gerenciamento de riscos se concentra no negativo - ameaças e falhas, em vez de oportunidades e sucessos. Ela é exatamente contrária à cultura “pode fazer” que a maioria das equipes de liderança tenta promover ao implementar a estratégia. E muitos líderes tendem a descontar o futuro; eles relutam em gastar tempo e dinheiro agora para evitar um problema futuro incerto que possa ocorrer mais adiante, sob vigilância de outra pessoa. Além disso, a mitigação de riscos normalmente envolve a dispersão de recursos e a diversificação de investimentos, exatamente o oposto do foco intenso de uma estratégia bem-sucedida. Os gerentes podem achar antitético à sua cultura defender processos que identificam os riscos para as estratégias que ajudaram a formular.
Por esses motivos, a maioria das empresas precisa de uma função separada para lidar com o gerenciamento de riscos estratégicos e externos. O tamanho da função de risco varia de empresa para empresa, mas o grupo deve se reportar diretamente à equipe principal. De fato, cultivar um relacionamento próximo com a liderança sênior será sem dúvida a sua tarefa mais crítica; a capacidade de uma empresa de enfrentar tempestades depende muito de quão seriamente os executivos assumem sua função de gerenciamento de riscos quando o sol está brilhando e sem nuvens no horizonte.
O gerenciamento de riscos não é intuitivo; contraria muitos preconceitos individuais e organizacionais. Regras e conformidade podem atenuar alguns riscos críticos, mas não todos. O gerenciamento de riscos ativo e econômico exige que os gerentes pensem sistematicamente sobre as múltiplas categorias de riscos que enfrentam, para que possam instituir processos adequados para cada um. Esses processos neutralizarão seu viés gerencial de ver o mundo como gostariam que fosse, e não como realmente é ou poderia se tornar.
Sua empresa está preparada para vencer em um ambiente de incerteza?
Conheça a Plataforma Channel, solução da JExperts que disponibiliza uma robusta ferramenta de Gestão de Riscos Corporativos, totalmente aderentes aos padrões COSO, ISO31000 e COBIT e com uma interface fácil e amigável.
https://inbound.jexperts.com.br/grc
Referências:
KAPLAN, Robert S.; MIKES, Anette, Managing Risks: A New Framework. Disponível em: https://hbr.org/2012/06/managing-risks-a-new-framework. Acesso em: 12/09/2019.
Assuntos: grc / riscos / estratégia
por Mauricio Fiorese
Sócio-fundador e Diretor de Produtos da JExperts