Riscos Estratégicos – como tratá-los?
Décio Luís Schons, CIEAI, CEGRC, CIGR, CISI
General-de-Exército da Reserva, é Vice-Presidente de Operações de Consultoria da empresa Brasiliano INTERISK
15/12/2021
Dezembro | 2021
Dissertar sobre a complexidade do ambiente de negócios em nossos dias é perda de tempo. É mais conveniente reconhecer desde logo a realidade e preparar-se para enfrentá-la, tirando proveito das vantagens trazidas pelas inovações e organizando a empresa para gerenciar os riscos, ora potencializados pela aceleração das ações adversas e pela ampliação do espectro de ameaças.
Apesar de tudo, as empresas precisam prosseguir na perseguição de seus objetivos estratégicos, de acordo com a missão e a visão organizacionais, praticando seus valores e atendendo às estratégias elaboradas pela alta gestão. O planejamento estratégico é a ferramenta que irá guiar a empresa nessa jornada, mediante a construção de cenários prospectivos que levem em conta os riscos, tanto os positivos quanto os negativos, na longa caminhada através de pontos fortes e fraquezas, ameaças e oportunidades. A alta gestão da empresa precisa, pois, integrar a gestão de riscos ao seu planejamento para avaliar a estratégia e seus objetivos estratégicos, identificando os riscos para então decidir por aceitá-los, rejeitá-los ou administrá-los, dependendo das circunstâncias. (Vide Figuras 1 e 2)
Fig. 1 - Framework - COSO ERM - 2017 - Integrando Estratégia e Desempenho
Fig. 2 - Framework - COSO ERM - 2017 - Integrando Estratégia e Desempenho
Impulsionando a empresa em sua caminhada, de um lado temos o advento das novas tecnologias, o avanço incessante da digitalização e a evolução das expectativas e demandas dos clientes; de outro, surgem os riscos consequentes, riscos esses que, não devidamente prevenidos ou mitigados por uma gestão competente, podem colocar em xeque a continuidade dos negócios e a própria sobrevivência da empresa.
A primeira ideia que nos ocorre vai exatamente na direção de prevenir esses riscos para evitar que eles saiam do campo das ameaças e se incorporem à realidade. Este será, certamente, o caminho mais sensato a percorrer.
Neste texto, teremos a oportunidade de examinar mais detidamente os riscos estratégicos, motivados pelas sérias consequências que eles podem trazer para a organização. Para dar-lhes realce, iremos colocá-los em contraponto com os riscos operacionais, mais corriqueiros mas nem por isso menos importantes, uma vez que consequências muito desagradáveis para a empresa serão os prováveis resultados de sua repetição ou ocorrência combinada. Na Brasiliano INTERISK, os processos de gestão de riscos estratégicos e operacionais são englobados pela gestão de riscos corporativos (GRC).
Riscos estratégicos, utilizando uma definição bem simplificada, são aqueles que, uma vez materializados em eventos, afetam de maneira decisiva a consecução de um ou mais objetivos estratégicos da empresa. Os riscos estratégicos representam uma provável fonte de perda geralmente determinada pela queda de desempenho do plano de negócios, pelas dificuldades no atingimento dos objetivos estratégicos e na condução a bom termo da estratégia geral de negócios.
Já os riscos operacionais, quando se manifestam, causam transtornos à vida normal da empresa, podendo ser evitados ou ter seus efeitos mitigados, desde que não assumam um caráter sistêmico e abrangente. Nestes casos e em outros, específicos, os riscos operacionais podem ter consequências estratégicas.
Os riscos estratégicos resultam, muitas vezes, de quebras de paradigmas na área de ciência, tecnologia e inovação (CT&I) de que resultem saltos tecnológicos e a obsolescência de produtos, hardware ou processos da empresa. Podem ter origem em mudanças no cenário competitivo, com o aparecimento, por exemplo, de novos concorrentes. Outra causa pode ser a evolução das preferências dos clientes, que passam a demandar entregas impossíveis de serem processadas pela empresa, pelo menos em curto prazo.
Os riscos operacionais resultam muitas vezes de procedimentos internos inadequados, de falhas, negligências ou erros de colaboradores. Esses riscos podem ainda simplesmente repercutir de forma negativa eventos externos à organização.
É conveniente ressaltar que os riscos cibernéticos, em razão do potencial que detêm para causar danos massivos à organização, requerem seu enquadramento na seleta família dos riscos estratégicos.
Dentre os riscos estratégicos de origem interna estão aqueles resultantes de decisões tomadas por líderes empresariais, como o desenvolvimento e comercialização de novos produtos ou serviços ou a perda de competitividade decorrente da falta de atualização do parque tecnológico empresarial. Ainda nessa categoria, podemos citar as alterações desastradas na composição da alta administração, as fusões ou aquisições fracassadas e um fluxo de caixa reduzido por um período apreciável.
Como riscos estratégicos de origem externa, isto é, aqueles gerados fora do ambiente de trabalho da empresa, podemos citar as ações da concorrência, as inovações tecnológicas patrocinadas por outsiders e que provocam a obsolescência de algum produto de importância capital no portfólio de produtos da empresa, ou ainda alterações nas demandas ou expectativas dos clientes.
O processo de gestão de riscos estratégicos (GRE) assume, por conseguinte, papel determinante para o sucesso da empresa. Não é um processo simples, pois exige conhecimento do mercado e da empresa, para que riscos dessa categoria sejam identificados, avaliados e administrados de maneira apropriada. É um trabalho a muitas mãos, que deve necessariamente envolver a alta administração em debates francos com a área de Gestão de Riscos, de modo a não restar qualquer dúvida sobre a situação vivida pela empresa e sobre o caminho a percorrer. Como mencionado anteriormente, essa análise deve necessariamente ter início pelo mais alto nível da administração, analisando a missão, estabelecendo a visão de futuro e conhecendo os valores da empresa, para prosseguir com os seus objetivos estratégicos.
Nesse ponto já se pode ter uma ideia sobre os pontos fortes e as fragilidades da empresa, não só quanto à estrutura física e organizacional, como também quanto a seus processos. São também identificadas as ameaças internas e externas que, combinadas às vulnerabilidades, podem tomar corpo em riscos das mais diversas naturezas e interpor-se no caminho em direção aos objetivos estratégicos elencados.
Para cada risco são então determinados os fatores de risco (também chamados fontes de risco), que são, em última análise, os componentes, muitas vezes de pequena expressão, mas que, somados, dão origem ao risco em si. Para cada fator de risco é então definida a ação que se lhe deverá contrapor, os chamados controles. Naturalmente, as empresas já contam com uma série de controles, mas a questão é saber sobre sua eficácia. Se a eficácia não for considerada em nível adequado, deverão ser estabelecidos planos de ação para aumentá-la. Com esse intuito são conduzidas análises para identificar os riscos inerentes (quando se abstrai da existência de controles) e os riscos residuais (aqueles que persistem, mesmo com os controles em ação). O ganho em segurança com a atuação dos controles existentes em plena carga irá determinar o nível e a intensidade das ações que terão de ser tomadas para sanar eventuais falhas na gestão de riscos da organização.
Esse é um processo relativamente complexo e que se assemelha a um verdadeiro jogo de guerra. Conhecendo os riscos, é possível organizá-los em matrizes, com diversas finalidades. Segundo o Método Brasiliano, a Matriz de Impactos Cruzados (Figuras 3 e 4) permite determinar como eles interagem e assim fazer-se uma ideia clara de sua motricidade, ou seja, concluir sobre o efeito que a concretização de um exerceria sobre a concretização dos outros e reciprocamente.
Fig. 3 - Exemplo de Matriz de Impactos Cruzados - “Motricidade”.
Fonte: Software INTERISK
Fig. 4 - Exemplo de Tabela correspondente à Matriz de Impactos Cruzados - “Motricidade”.
Fonte: Software INTERISK
Uma segunda matriz, denominada Matriz de Riscos (Figuras 5 e 6) fornece a criticidade de cada risco, mediante a análise cruzada da probabilidade de sua ocorrência e do impacto que, caso venha a ocorrer, ele exercerá sobre o negócio.
Fig. 5 - Exemplo de Matriz de Riscos - “Criticidade”.
Fonte: Software INTERISK
Fig. 6 - Exemplo de Tabela correspondente à Matriz de Riscos - “Criticidade.
Fonte: Software INTERISK
A seguir, a Matriz de Priorização dos Riscos (Figuras 7 e 8) nos proporciona, mediante a interação da motricidade com a criticidade dos riscos, a ordenação dos riscos segundo a prioridade que devem receber no tratamento.
Fig. 7 - Exemplo de Matriz de Priorização de Riscos (resultado da integração da Matriz de Impactos
Cruzados “Motricidade” com a Matriz de Riscos - “Criticidade”).
Fonte: Software INTERISK
Fig. 8 - Exemplo de Tabela correspondente à Matriz de Priorização de Riscos (resultado da integração da Matriz
de Impactos Cruzados “Motricidade” com a Matriz de Riscos - “Criticidade”).
Fonte: Software INTERISK
Cenários prospectivos são então montados, não com a intenção de prever o futuro, mas sim como uma valiosa ferramenta que permite a visualização dos possíveis desdobramentos da conjuntura em função dos dados de que se dispõe no momento, das oportunidades e ameaças existentes, das vulnerabilidades abertas no ambiente da empresa e dos passos a serem tomados para eliminá-las. Só assim é possível evitar que os riscos se concretizem em eventos de segurança e comprometam o desempenho da empresa.
Decisão que sempre deverá caber ao mais alto nível decisório da empresa é aquela que diz respeito à aceitação de riscos. Isso é válido para todas as categorias, mas reveste-se de importância particular quando nos referimos aos riscos estratégicos. Trata-se da definição do apetite ao risco, entendido como “a quantidade e o tipo de risco que uma organização está disposta a buscar, manter ou assumir na perseguição de seus objetivos” e da tolerância ao risco, que seria exatamente o nível máximo admissível, o limite superior da curva de riscos que a empresa poderia tolerar.
Ressalte-se aqui o extremo cuidado a tomar na definição desses dois parâmetros, ambos fundamentais para o futuro da organização. Uma aproximação simplista aconselharia estabelecer tanto o apetite quanto a tolerância ao risco em níveis baixíssimos. Essa atitude, porém, levaria a condutas excessivamente cautelosas, que provavelmente cerceariam de forma radical a autonomia dos administradores em todos os níveis, dificultando o processo decisório em suas áreas de atuação. Como em tantas outras situações, o caminho do meio normalmente oferecerá a melhor solução: nem cautela excessiva nem temeridade, mas uma solução que proporcione boa flexibilidade aos tomadores de decisão sem colocar em risco a continuidade dos negócios ou a própria existência da organização.
Coroando o processo, ocorre a elaboração de planos de ação que distribuem as responsabilidades pelas medidas saneadoras das anomalias detectadas, pelo estabelecimento, reforço ou confirmação dos controles relativos a cada fator de risco e pelas condutas a serem desencadeadas na hipótese de os eventos ocorrerem. Naturalmente, a conclusão do processo não significa o seu encerramento e eventual esquecimento em um pen drive, uma prateleira ou uma gaveta qualquer. A gestão de riscos é como um organismo vivo que necessita ser alimentado mediante o monitoramento constante de todos os parâmetros envolvidos. A permanente análise e interpretação das conjunturas externa e interna à organização, combinadas com o acesso da equipe de monitoramento ao decisor estratégico, poderão conduzir a decisões e ações direcionadas ao enfrentamento dos riscos emergentes antes que eles se convertam em uma triste parte da realidade.
A partir daí, é lícito esperar que os riscos possam ser evitados ou, quando isso não for viável, que pelo menos tenham seus efeitos mitigados pela entrada em cena de outro personagem de importância decisiva: o PCN, o plano de continuidade de negócios da empresa. Mas esse tema já é parte de uma outra conversa.
Saiba mais do Módulo de Gestão de Riscos do Software INTERISK!