Fonte: Revista Harvard Business Review (13/06/2012)

Gestão de Riscos: um novo modelo

Robert S. Kaplan é professor da Harvard Business School (Baker Foundation
Escrito por:
Professor) e um dos criadores do sistema de gestão Balanced Scorecard.

Anette Mikes é professora assistente da Harvard Business Schoo

A empresa astuta casa abordagem à natureza do perigo que enfrenta.

Quando virou presidente da BP, em 2007, Tony Hayward prometeu fazer da segurança a
prioridade. Entre as novas regras que instituiu estava a exigência de que todo trabalhador
usasse copo com tampa para tomar café em movimento e não mandasse mensagens de
texto enquanto dirigia. Três anos depois, ainda no mandato de Hayward, a plataforma de
petróleo Deepwater Horizon explodiu no Golfo do México — um dos piores acidentes com
o dedo do homem na história. A comissão encarregada do inquérito nos Estados Unidos
atribuiu a tragédia a falhas de gestão que minaram “a capacidade de indivíduos envolvidos
de identificar os riscos que enfrentavam e de corretamente avaliá-los, comunicá-los e
corrigi-los”.

O caso de Hayward reflete um problema comum. Apesar de todo o discurso e do dinheiro

investido, a gestão de riscos ainda costuma ser tratada como uma questão de
“compliance” que pode ser resolvida com a adoção de um sem-fim de regras — e a
fiscalização para que todo funcionário as siga. Naturalmente, muitas dessas regras são
sensatas e reduzem, sim, riscos capazes de abalar seriamente a empresa. Mas uma
gestão de riscos fundada em regras não vai reduzir nem a probabilidade nem o impacto de
uma tragédia como a da Deepwater Horizon — assim como não impediu o tombo de
muitas instituições financeiras durante a crise de crédito de 2007–2008.

Neste artigo, apresentamos uma nova categorização de riscos. Com ela, o executivo vai
poder dizer que riscos podem ser geridos com um modelo à base de regras e quais
exigem outras abordagens. Examinamos desafios individuais e organizacionais inerentes à
geração de uma discussão aberta e construtiva sobre a gestão de riscos ligados a
escolhas estratégicas e sustentamos que a empresa precisa ancorar essa discussão nos
processos de formulação e implementação da estratégia. Para concluir, mostramos como
a organização pode identificar riscos impossíveis de prever, alheios a sua estratégia e a
suas operações — e se preparar para eles.

Gestão de riscos: regras ou diálogo?

O primeiro passo para a criação de um bom sistema de gestão de riscos é entender a

distinção qualitativa entre as modalidades de risco que a organização enfrenta. Nossa
pesquisa em campo mostra que todo risco cai em uma de três categorias. Em qualquer
uma delas, a materialização do risco pode ser fatal para a estratégia e até para a
sobrevivência da empresa.

Categoria I: riscos evitáveis. São riscos internos, surgidos dentro da organização. São
controláveis e devem ser eliminados ou evitados. Exemplos incluem riscos trazidos por
atos não autorizados, ilegais, antiéticos, incorretos ou inadequados de trabalhadores e
gestores e riscos de falhas em processos operacionais de rotina. Obviamente, toda
empresa deve ter uma margem de tolerância para falhas ou erros que não viriam a causar
sérios danos à empresa — e que, para serem totalmente evitados, custaria caro demais.
Em geral, no entanto, é preciso tentar eliminar esses riscos, pois assumi-los não traz
nenhum benefício estratégico. Um operador de mercado trapaceiro ou um funcionário que
suborna uma autoridade podem trazer um ganho a curto prazo. Com o tempo, no entanto,
esses atos vão derrubar o valor da empresa.

A melhor maneira de administrar essa categoria de risco é com a prevenção ativa:

monitorar processos operacionais e conduzir o comportamento e as decisões de
indivíduos rumo às normas desejadas. Já que há considerável literatura sobre a
abordagem de compliance baseada em regras, pedimos ao leitor interessado que confira o
quadro “Como identificar e administrar riscos evitáveis” para não entrar, aqui, numa
discussão exaustiva de melhores práticas.

Categoria II: riscos da estratégia. Para conseguir um retorno maior com sua estratégia,
uma empresa aceita voluntariamente um certo risco. Ao emprestar dinheiro, um banco
assume risco de crédito, por exemplo; muitas empresas assumem risco em atividades de
pesquisa e desenvolvimento.

Riscos da estratégia são bem distintos de riscos evitáveis por não serem inerentemente
indesejáveis. Se o retorno esperado de uma estratégia for alto, em geral a empresa terá de
assumir riscos consideráveis — e administrar esses riscos é crucial para obter os
potenciais ganhos. A BP aceitou o alto risco da exploração de petróleo quilômetros abaixo
da superfície do Golfo do México devido ao alto valor do óleo e do gás que esperava
extrair dali.

Não há como administrar riscos da estratégia com um modelo de controle baseado em

regras. Em vez disso, é preciso um sistema de gestão de riscos que reduza a
probabilidade de que os riscos assumidos venham a se concretizar e aumente a
capacidade da empresa de administrar ou conter problemas correla-tos que eventualmente
ocorram. Um sistema desses não faria a empresa desistir de empreendimentos de risco;
ao contrário, permitiria que entrasse em projetos de maior risco e maior retorno do que
concorrentes com uma gestão de riscos menos eficaz.

Categoria III: riscos externos. Certos riscos decorrem de fatos alheios à empresa e estão
além da sua influência ou controle. São riscos causados por desastres naturais e políticos
e grandes transformações macroeconômicas. Riscos externos exigem uma terceira
abordagem. Já que não há como impedir a ocorrência desses eventos, a gestão da
empresa deve se concentrar na identificação (em retrospecto, tendem a ser evidentes) e
na mitigação de seu impacto.

Toda empresa deve ajustar seus processos de gestão de riscos a cada categoria dessas.
Uma abordagem baseada em compliance, embora boa para a gestão de riscos evitáveis, é
totalmente inadequada para riscos da estratégia e riscos externos, que exigem uma
abordagem radicalmente distinta, baseada na discussão aberta e explícita do risco. Aqui,
no entanto, é mais fácil falar do que fazer; muita pesquisa comportamental e
organizacional já demonstrou que o indivíduo tem fortes vieses cognitivos que o impedem
de pensar sobre o risco e de discuti-lo — até que seja tarde demais.

Por que é difícil falar de riscos

Vários estudos revelam que o ser humano superestima seu poder de influenciar
acontecimentos que, na realidade, são fortemente determinados pelo acaso. Tendemos a
confiar demais na exatidão de nossas projeções e avaliações de risco e a reduzir demais o
leque de desfechos que poderiam ocorrer.

Além disso, ancoramos nossas estimativas nos dados que temos à mão, apesar do notório
perigo de fazer extrapolações lineares, a partir da história recente, para um futuro muito
incerto e variável. Muitas vezes, agravamos o problema com o viés da confirmação, que
nos leva a privilegiar informações que corroboram nossa posição (em geral, acertos) e a
suprimir informações que a contradigam (em geral, erros). E se um acontecimento foge a
nossas expectativas, tendemos a intensificar o compromisso, irracionalmente jogando
ainda mais recursos em um curso de ação infrutífero — ou seja, investindo numa canoa
furada.

Vieses organizacionais também prejudicam nossa capacidade de falar sobre o risco e o

erro. Diante de condições incertas, é comum uma equipe resvalar para o pensamento de
grupo, o “groupthink”: uma vez que um determinado curso de ação conquista o apoio de
um grupo, novos integrantes tendem a calar suas objeções — ainda que válidas — e a
acatar o rumo definido. O risco de groupthink é maior se a equipe é chefiada por um líder
dominador ou confiante demais — líder que queira minimizar conflitos, atrasos e
questionamentos a sua autoridade.

Juntos, esses vieses individuais e organizacionais explicam por que tanta empresa ignora
ou interpreta erroneamente ameaças ambíguas. Em vez de mitigá-lo, muitas empresas
acabam incubando o risco através da normalização do desvio — pois aprendem a tolerar
falhas e erros aparentemente menores e a tratar sinais iniciais de perigo como alarme
falso, em vez de alerta para um perigo iminente.

Um bom processo de gestão de risco precisa combater esses vieses. “Mitigar riscos é algo
difícil, não é um ato natural para um ser humano”, diz Gentry Lee, engenheiro-chefe de
sistemas do Jet Propulsion Laboratory (JPL), divisão da agência espacial dos EUA, a
Nasa. Especialistas em foguetes nas equipes do JPL vieram das melhores universidades
do país. Muitos deles nunca viveram um revés — seja na faculdade, seja no trabalho. O
maior desafio de Lee na instituição de uma nova cultura de risco no JPL era fazer essas
equipes se sentirem à vontade para pensar e falar sobre o que poderia dar errado com
seus espetaculares projetos.

Aqui, regras sobre o que fazer e o que não fazer não irão ajudar. Aliás, normalmente têm o
efeito oposto, incentivando uma mentalidade de “checklist” que inibe o questionamento e a
discussão. A gestão de riscos da estratégia e de riscos externos requer abordagens muito
distintas. Para começar, vejamos como identificar e mitigar riscos da estratégia.
Como administrar riscos da estratégia

Nos últimos dez anos de estudo, deparamos com três abordagens distintas à gestão de
riscos da estratégia. O melhor modelo para uma determinada empresa vai depender muito
do contexto no qual a organização opera. Cada abordagem implica estruturas e papéis
bem distintos para um departamento de gestão de risco, mas as três incentivam o pessoal
a questionar premissas atuais e a discutir informações ligadas ao risco. Nossa conclusão
de que não há uma abordagem boa para toda e qualquer situação vai contra esforços de
autoridades reguladoras e associações profissionais no sentido de padronizar a atividade.

Especialistas independentes. Certas organizações — sobretudo aquelas como o JPL, na

vanguarda da inovação tecnológica — enfrentam alto risco intrínseco, pois trabalham com
projetos de desenvolvimento de produtos longos, complexos e caros. Mas, já que muito
desse risco vem de lidar com leis conhecidas da natureza, o risco muda pouco ao longo do
tempo. Para essas organizações, a gestão de riscos pode ser abordada no nível de
projetos.

O JPL, por exemplo, instituiu um conselho de análise de riscos formado de peritos técnicos
independentes cujo papel é questionar decisões de design, avaliação de risco e mitigação
de risco de engenheiros de projetos. Esses especialistas garantem que, ao longo de todo o
ciclo de desenvolvimento de produtos, haja periodicamente uma avaliação de riscos. Já
que os riscos são relativamente constantes, o conselho só precisa se reunir uma ou duas
vezes por ano; já o líder do projeto e o cabeça do conselho de avaliação se reúnem todo
trimestre.

Reuniões do conselho de avaliação de riscos são intensas. Criam o que Gentry Lee chama
de “cultura de confronto intelectual”. É como diz um integrante do conselho, Chris Lewicki:
“Somos bem duros um com o outro; ‘apedrejamos, fazemos comentários bem críticos
sobre tudo o que está acontecendo”. No processo, um engenheiro consegue ver seu
trabalho de outra perspectiva. “A pessoa consegue se distanciar um pouco daquilo que
faz”, acrescenta Lewicki.

A meta das reuniões, a um só tempo construtivas e confrontadoras, não é desencorajar

uma equipe de apostar em missões e ideias altamente ambiciosas. O que faz é obrigar
todo engenheiro a pensar de antemão em como irá descrever e defender decisões de
design e a ver se considerou suficientemente prováveis falhas e defeitos. No papel de
advogados do diabo, membros do conselho se contrapõem à confiança naturalmente
desmedida do pessoal da engenharia, ajudando a evitar um comprometimento maior com
projetos cujo grau de risco é inaceitável.

No JPL, o conselho de avaliação de riscos não só promove um debate vigoroso sobre

riscos de projetos, mas também tem voz sobre orçamentos. O conselho estipula reservas
de custo e tempo para cada componente do projeto de acordo com seu grau de inovação.
Uma simples extensão de uma missão anterior exigiria uma reserva financeira de 10% a
20%, por exemplo, ao passo que um componente totalmente novo, que ainda nem se
provou na Terra — que dirá em um planeta inexplorado —, poderia exigir uma reserva
contingencial de 50% a 75%. Essas reservas garantem que quando (inevitavelmente)
surgirem problemas, a equipe do projeto terá verba e tempo para resolvê-los sem
comprometer a data de lançamento. O JPL leva a sério as estimativas — e já adiou ou
cancelou projetos quando não havia fundos suficientes para compor as reservas
recomendadas.

Facilitadores. Muitas organizações, como concessionárias tradicionais de água e luz,

operam em ambientes tecnológicos e de mercado estáveis, nos quais a demanda é
relativamente previsível. Numa situação dessas, o risco nasce em grande medida de
decisões operacionais aparentemente sem qualquer relação ao longo de uma organização
complexa. É um risco que se acumula de forma gradual e pode permanecer oculto por um
longo tempo.

Já que nenhum grupo isoladamente tem o conhecimento para assumir a gestão de riscos
em nível operacional por toda a organização, a empresa pode destacar uma equipe
relativamente pequena e centralizada de gestão de risco para coletar informações de
gerentes operacionais. Isso deixa os gerentes mais conscientes dos riscos que foram
assumidos organização afora e dá a tomadores de decisão um retrato completo do perfil
de risco da empresa.

Vimos esse modelo em ação na Hydro One, a companhia canadense de eletricidade. Com
o expresso apoio do presidente da empresa, o diretor de risco, John Fraser, faz dezenas
de workshops todo ano para que trabalhadores de todos os níveis e setores identifiquem e
classifiquem por ordem de importância os principais riscos para os objetivos estratégicos
da empresa. O pessoal usa uma tecnologia de voto anônimo para classificar cada risco,
numa escala de 1 a 5, em termos de impacto, probabilidade de ocorrência e força de
mecanismos existentes de controle. Os rankings são discutidos nos workshops e o pessoal
tem liberdade para expressar e discutir sua percepção dos riscos. No final, o grupo chega
a uma visão consensual que é retratada graficamente em um mapa de riscos, sugere
planos de ação e destaca um “responsável” para cada grande risco.

Para reforçar a prestação de contas, a Hydro One vincula a alocação de capital e decisões
orçamentárias aos riscos identificados. O processo de planejamento de capital no âmbito
corporativo aloca milhões e milhões de dólares, principalmente a projetos que reduzam
riscos de forma eficaz e eficiente. O grupo de risco recorre a especialistas técnicos para
questionar planos de investimento e avaliações de risco de engenheiros operacionais e
para garantir uma avaliação especializada e independente do processo de alocação de
recursos. Na reunião anual de alocação de capital, gerentes operacionais precisam
defender suas propostas diante de colegas e altos executivos. Por querer que seus
projetos consigam verba no processo de planejamento de capital baseado em riscos, os
gerentes aprendem a superar a tendência a ocultar ou minimizar riscos nas áreas pelas
quais respondem.

Especialistas integrados. A indústria de serviços financeiros representa um desafio

especial devido à volátil dinâmica de mercados de ativos e ao potencial impacto de
decisões tomadas por operadores e gestores de investimentos descentralizados. O perfil
de risco de um banco de investimento pode mudar radicalmente com uma única operação
ou uma grande mexida no mercado. No caso dessas firmas, a gestão de riscos requer
especialistas integrados à organização para continuamente monitorar e influenciar o perfil
de risco da empresa, trabalhando lado a lado com gerentes de linha cujas atividades
estejam gerando novas ideias, inovação e riscos — e, se tudo correr bem, lucro.

Foi esse o modelo adotado pelo JP Morgan Private Bank em 2007, no início da crise
financeira mundial. Gerentes de risco, incorporados à organização operacional, se
reportam tanto a executivos de linha como a um departamento centralizado e
independente de gestão de risco. Graças ao contato em pessoa com gerentes
operacionais, gerentes de risco com conhecimento do mercado podem estar sempre
perguntando “e se…?”, questionando premissas de gestores de carteiras e obrigando
todos a considerar distintos cenários. Gerentes de risco avaliam o efeito de uma potencial
operação no risco da carteira inteira de investimentos — não só em circunstâncias
normais, mas também em momentos de crise, quando cresce a correlação de retornos
entre distintas categorias de ativos. “Um gestor de carteira pode me mostrar três
operações, e o modelo [de risco] talvez diga que as três vão contribuir para o mesmo tipo
de risco”, explica Gregoriy Zhikarev, gerente de risco do JP Morgan. “Em 90% dos casos,
o gerente diz: ‘Não, não é isso que quero’. Isso feito, podemos sentar e reformular as
operações.”
No caso da inserção de gerentes de risco na organização operacional, o grande perigo é
que sejam “assimilados”. Ou seja, que se alinhem ao círculo íntimo da equipe de liderança
da unidade de negócios — e que passem a fazer negócios, em vez de questioná-los. Cabe
ao diretor de risco da empresa — e, em última instância, ao presidente, que dá o tom da
cultura de risco da empresa — impedir que isso ocorra.

Fuja da cilada da segmentação

Mesmo na presença de um sistema que promova férteis discussões sobre riscos, uma
segunda cilada cognitivo-comportamental aguarda a gerência. Já que muitos riscos da
estratégia (e certos riscos externos) são bastante previsíveis — até familiares —, a
empresa tende a rotulá-los e compartimentá-los, sobretudo com base em atividades
operacionais. Bancos normalmente administram o que chamam de “risco de crédito”, “risco
de mercado” e “risco operacional” em grupos separados. Outras empresas
compartimentam a gestão do “risco da marca”, do “risco reputacional”, do “risco da cadeia
de suprimento”, do “risco de recursos humanos”, do “risco de TI” e do “risco financeiro”.

Esses silos organizacionais dispersam tanto a informação como a responsabilidade pela

eficaz gestão do risco. Impedem a discussão sobre a interação de distintos riscos. Numa
boa discussão sobre riscos deve haver não só embate, mas também integração. Uma
empresa pode sair dos trilhos devido a uma combinação de pequenos fatos que reforçam
uns os outros de forma inesperada.

Os gerentes podem cultivar uma perspectiva do risco da empresa como um todo

ancorando as discussões no planejamento estratégico, um processo integrado que a
maioria das empresas bem administradas já possui. A empresa indiana de serviços de TI
Infosys, por exemplo, baseia discussões sobre risco no Balanced Scorecard, sua
ferramenta de gestão para mensuração da estratégia e comunicação. “Quando nos
perguntamos que riscos deveríamos estar monitorando”, conta M.D. Ranganath, o diretor
de risco, “gradualmente fechamos o foco em riscos para objetivos de negócios
especificados no scorecard da empresa”.

Ao montar seu Balanced Scorecard, um objetivo importante da Infosys tinha sido “cultivar
relacionamento com clientes”. Para medir o progresso, a empresa estipulara indicadores
como o número de clientes internacionais que geravam mais de US$ 50 milhões em
receita ao ano e o porcentual de elevação anual da receita oriunda de grandes clientes. Ao
analisar a meta e os indicadores de desempenho em conjunto, a empresa percebeu que a
estratégia tinha criado um novo fator de risco: o calote de clientes. Quando o modelo da
Infosys era fundado numa série de pequenos clientes, o calote de um só não
comprometeria a estratégia da empresa. Já o calote de um cliente de US$ 50 milhões
seria um grande golpe. A Infosys passou a monitorar a taxa do swap de crédito de todo
cliente de vulto como o principal indicador da probabilidade de calote. Quando a taxa de
um cliente subia, a Infosys acelerava a cobrança de recebíveis ou solicitava a amortização
da dívida para reduzir a probabilidade ou o impacto de um calote.

Um outro exemplo vem da Volkswagen do Brasil, a subsidiária brasileira da montadora

alemã. O braço de gestão de risco da subsidiária usa o mapa da estratégia da empresa
como ponto de partida para toda conversa sobre riscos. Para cada objetivo no mapa, o
grupo identifica eventos de risco que poderiam impedir a subsidiária de atingir tal meta. Em
seguida, a equipe produz um Boletim de Evento de Risco (“Risc Event Card”) para cada
risco no mapa, indicando os efeitos práticos do evento sobre as operações, a
probabilidade de ocorrência, os principais indicadores e potenciais ações de mitigação.
Indica, ainda, quem é o principal responsável pela gestão do risco (veja o quadro “Boletim
de Evento de Risco”). Isso feito, a equipe de risco faz uma síntese de alto nível dos
resultados à alta gerência (veja “Boletim do Relatório de Riscos”).

Além de adotar um processo sistemático para identificar e mitigar riscos da estratégia, a

empresa precisa de uma estrutura de monitoramento de riscos. Na Infosys, essa estrutura
é dupla: há uma equipe de risco central que identifica riscos gerais à estratégia e
estabelece a política central e equipes funcionais especializadas que concebem e
monitoram políticas e controles, em consulta com equipes de negócios locais. As equipes
descentralizadas têm autoridade e know-how para ajudar linhas de negócios a responder a
ameaças e mudanças em seu perfil de risco, levando apenas as exceções para avaliação
pela equipe de risco central. Se um gerente de relacionamento com clientes quiser
conceder um prazo maior de crédito para uma empresa cujos parâmetros de risco de
crédito são elevados, por exemplo, o gerente de risco funcional pode mandar o caso para
a central para exame.

Esses exemplos mostram que a dimensão e o escopo do departamento de risco não são
ditados pelo porte da organização. A Hydro One, que é grande, tem uma equipe de risco
relativamente pequena para a conscientização e a comunicação sobre riscos empresa
afora e para assessorar a equipe executiva na alocação de recursos com base no risco. Já
empresas ou divisões relativamente pequenas, como o JPL ou o JP Morgan Private Bank,
precisam de vários comitês de avaliação no nível de projetos ou de equipes de gerentes
de risco incorporados à organização para avaliar, com conhecimento especializado,
decisões de negócios. E a Infosys, uma empresa de grande porte com vasto escopo
operacional e estratégico, requer um departamento forte e centralizado de gestão de risco,
bem como gerentes de risco dispersos pela empresa — para respaldar decisões de
negócios locais e facilitar o intercâmbio de informações com o grupo de risco centralizado.
Como controlar o incontrolável

Riscos externos, a terceira categoria, em geral não podem ser reduzidos ou evitados com
as abordagens empregadas para a gestão de riscos evitáveis e de estratégia. Riscos
externos estão, basicamente, fora do controle da empresa, cujo foco deve ser identificá-
los, avaliar seu potencial impacto e descobrir a melhor maneira de mitigar seus efeitos
caso se materializem.

Certos eventos de risco externos são tão iminentes que é possível geri-los como no caso
de riscos de estratégia. Durante a desaceleração econômica após a crise financeira
mundial, por exemplo, a Infosys identificou um novo risco ligado à meta de cultivar uma
força de trabalho global: o aumento do protecionismo, que poderia criar sérias restrições à
emissão de vistos e licenças de trabalho para estrangeiros em vários países da OCDE nos
quais a Infosys tinha compromissos de vulto com clientes. Embora leis protecionistas
sejam tecnicamente um risco externo (pois fogem ao controle da empresa), a Infosys
tratou a questão como um risco para a estratégia e criou um Boletim de Evento de Risco
específico — boletim que trouxe um novo indicador de risco: o número e a porcentagem de
funcionários com dupla cidadania ou visto para trabalhar fora da Índia. Se esse número
caísse devido à rotatividade de pessoal, a estratégia global da Infosys podia ser
comprometida. Daí a Infosys ter instituído políticas de contratação e retenção para mitigar
as consequências desse evento de risco externo.

A maioria dos eventos de risco externos, no entanto, exige uma abordagem analítica
distinta — ou porque a probabilidade de ocorrência é muito baixa, ou porque é difícil para
um gestor visualizar um evento desses durante o processo normal de estratégia.
Identificamos várias fontes distintas de riscos externos:

• Desastres naturais e econômicos com impacto imediato. De modo geral, são riscos
previsíveis, embora o momento em que se materializam normalmente não seja (o estado
americano da Califórnia vai viver um grande terremoto um dia, mas não há como precisar
onde ou quando). Um risco desses só pode ser previsto por sinais relativamente fracos.
Exemplos incluem desastres naturais como a erupção do vulcão islandês em 2010, que
fechou o espaço aéreo europeu por uma semana, e catástrofes econômicas como o
pipocar de uma grande bolha no preço de ativos. Quando um risco desses se materializa,
seus efeitos normalmente são drásticos e imediatos, como no caso dos problemas
causados pelo terremoto e tsunami no Japão em 2011.

• Mudanças geopolíticas e ambientais com impacto a longo prazo. Aqui entram rupturas
políticas como grandes mudanças em políticas públicas, golpes, revoluções e guerras;
alterações ambientais de longo prazo como o aquecimento global; e o esgotamento de
recursos naturais vitais, como a água doce.

• Riscos competitivos com impacto a médio prazo. Isso inclui o aparecimento de

tecnologias disruptivas (como internet, smartphones e códigos de barras) e lances
estratégicos radicais de empresas do setor (como a estreia da Amazon no varejo de livros
e a da Apple no mercado de telefonia celular e aparelhos eletrônicos).

Para cada fonte externa de riscos, empresas adotam uma abordagem analítica distinta.

Teste de estresse com cenários extremos. Um teste de estresse ajuda a empresa a avaliar
alterações de peso em uma ou duas variáveis cujo efeito seria importante e imediato,
ainda que não dê para prever o momento exato no qual ocorreriam. Empresas no setor de
serviços financeiros usam testes de estresse para avaliar, por exemplo, como um evento
como a triplicação dos preços do petróleo, uma grande virada no câmbio ou em taxas de
juros, ou o calote de uma grande instituição ou de um país afetariam suas posições e
investimentos no mercado.
Só que os benefícios de um teste de estresse dependem absurdamente das premissas —
que por si podem ser tendenciosas — sobre o quanto a variável em questão vai mudar.
Em 2007 e 2008, por exemplo, testes de estresse com riscos extremos de muitos bancos
partiram de um cenário no qual preços de imóveis nos EUA paravam de subir e
permaneciam nesse nível por vários períodos. Pouquíssimos pensaram em testar o que
aconteceria se os preços começassem a cair — um excelente exemplo da tendência a
ancorar estimativas em dados recentes, que estão à mão. A maioria das empresas fez
extrapolações com base em preços recentes de imóveis nos EUA, que havia décadas não
sofriam uma queda generalizada. Com isso, avaliaram o mercado com demasiado
otimismo.

Planejamento de cenários. Essa ferramenta é boa para a análise a longo prazo, em geral
cinco a dez anos à frente. Surgida na Shell Oil na década de 1960, a análise de cenários é
um processo sistemático para a definição de contornos plausíveis para o mundo no futuro.
Participantes examinam forças políticas, econômicas, tecnológicas, sociais,
regulamentares e ambientais e definem uma série de fatores — em geral, quatro — que
teriam o maior impacto sobre a empresa. Há empresas que se valem expressamente do
know-how de conselhos consultivos para se inteirar de tendências importantes — fora do
radar rotineiro da empresa e do setor — que deveriam ser consideradas em seus cenários.

Para cada fator eleito, os participantes estimam valores máximos e mínimos projetados
para um período de cinco a dez anos. A combinação dos valores extremos de cada um
dos quatro fatores leva a 16 cenários. Em geral, metade é implausível e descartada. Isso
feito, os participantes avaliam como a estratégia da empresa se sairia nos cenários
restantes. Se verem que a estratégia está condicionada a uma visão basicamente otimista,
gerentes podem modificá-la para incluir cenários pessimistas ou traçar planos para mudar
a estratégia caso indícios apontem para uma maior probabilidade de a situação se reverter
contra ela.

Jogos de guerra. Jogos de guerra avaliam a vulnerabilidade de uma empresa a

tecnologias de ruptura ou a mudanças em estratégias de concorrentes. Num jogo de
guerra, a empresa atribui a três ou quatro equipes a missão de conceber estratégias ou
medidas plausíveis de curto prazo que concorrentes atuais ou potenciais poderiam adotar
em um ou dois anos — horizonte de tempo mais curto do que o da análise de cenários.
Essas equipes então se reúnem para analisar de que modo concorrentes astutas poderiam
atacar a estratégia da empresa. O processo ajuda a combater a tendência de líderes a
ignorar evidências que contrariem sua atual opinião, incluindo a possibilidade de medidas
que concorrentes poderiam tomar para obstruir sua estratégia.

Uma empresa não tem como alterar a probabilidade de eventos de risco identificados por
métodos como teste de riscos extremos, planejamento de cenários e jogos de guerra. Mas
gestores podem tomar medidas específicas para mitigar seu impacto. Já que a
impossibilidade de prevenção não acarreta risco moral, a empresa pode usar um seguro
ou hedge para mitigar certos riscos, como faz uma companhia aérea ao recorrer a
derivativos financeiros para se proteger de disparadas no preço do combustível. Outra
saída para a empresa é investir hoje para evitar custos muito maiores mais tarde. Uma
fabricante com instalações em áreas sujeitas a terremotos, por exemplo, pode aumentar
os gastos com edificações para proteger instalações críticas de fortes tremores. Além
disso, empresas expostas a riscos distintos, mas comparáveis, podem cooperar para
mitigá-los. Centrais de dados de TI de uma universidade na Carolina do Norte, por
exemplo, estariam sujeitas ao risco de furacões, enquanto as de uma universidade
equivalente sobre a falha de San Andreas, na Califórnia, a terremotos. A probabilidade de
que ambos os desastres ocorressem no mesmo dia é pequena o bastante para que as
duas instituições optassem por fazer o backup dos sistemas uma da outra toda noite de
forma a mitigar seus riscos.
O desafio para a liderança

Gerenciar o risco é muito distinto de gerenciar a estratégia. A gestão do risco se concentra

no negativo — em perigos e falhas —, não em oportunidades e êxitos. Vai exatamente
contra a cultura do “tudo é possível” que a maioria das equipes de liderança tenta fomentar
na hora de implementar a estratégia. E muitos líderes têm a tendência a desconsiderar o
futuro; relutam em gastar tempo e dinheiro agora para evitar um problema futuro incerto
que pode se materializar lá na frente, no mandato de outra pessoa. Além disso, para
mitigar riscos em geral é preciso dispersar recursos e diversificar investimentos,
exatamente o oposto do foco intenso de uma estratégia de sucesso. Pode ir contra a
cultura do gestor promover processos que identifiquem riscos para estratégias que ele, o
líder, ajudou a formular.

Por isso tudo, a maioria das empresas precisa de um departamento exclusivo para lidar
com a gestão de riscos da estratégia e de riscos externos. O tamanho dessa equipe vai
variar de empresa para empresa, mas o grupo deve se reportar diretamente à cúpula.
Aliás, cultivar uma relação estreita com a alta administração será, para muitos, sua tarefa
mais crítica; a capacidade de uma empresa de resistir a tormentas depende muito do quão
a sério seus executivos levam a equipe de gestão de risco quando o sol brilha forte e não
há nuvens no horizonte.

Foi isso o que distinguiu os bancos que naufragaram na crise financeira daqueles que
sobreviveram. Em instituições que quebraram, a gestão de risco fora relegada a uma
atividade de compliance; ali, gerentes de risco tinham pouco acesso à alta cúpula e ao
conselho de administração. Além disso, seus executivos volta e meia ignoravam alertas de
gerentes de risco sobre posições altamente alavancadas e concentradas. Em comparação,
Goldman Sachs e JPMorgan Chase, dois bancos que resistiram bem à crise financeira,
tinham fortes departamentos internos de gestão de risco e equipes de liderança que
entendiam e gerenciavam a multifacetada exposição de ambas as instituições a riscos.
Barry Zubrow, diretor de risco do JP Morgan Chase, disse: “Posso ter o cargo, mas [o
presidente] Jamie Dimon é o diretor de risco da empresa”.

A gestão de riscos é contrária à intuição. Vai contra muitos vieses individuais e

organizacionais. Regras e compliance podem mitigar certos riscos críticos, mas não todos.
Uma gestão de risco ativa e com boa relação custo-benefício exige que gestores pensem
de forma sistemática sobre as várias categorias de risco que enfrentam para que possam
instituir processos condizentes para cada um. Esses processos vão neutralizar a tendência
da gestão a ver o mundo como gostaria que fosse, e não como realmente é ou poderia vir
a ser.