Queria falar hoje sobre um tema que considero bem importante, por vários motivos diante dos riscos não financeiros operacionais, em especial os cibernético, aonde uma palavra faz toda a a diferença: resiliência organizacional.
Queria abordar alguns conceitos, assim como alguma das estratégias recomendadas para fortalecer a capacidade de uma empresa em gerir e mitigar riscos de maneira proativa.
Propriedade do Risco
A clara definição de propriedade do risco é importante para a gestão de riscos numa empresa. Na prática, isso significa que o risco deve ser gerenciado por quem tem a autoridade e o controle para mitigá-lo eficazmente. Para isto devemos então nos assegurar que a responsabilidade pelos riscos esteja claramente definida em todos os níveis da empresa desde a alta direção até o nível operacional. Cada nível de gestão deve entender claramente quais riscos estão sob sua responsabilidade e serem capacitados para gerenciá-los adequadamente.
Por exemplo no nível de conselho, comitês e da alta gestão, os riscos estratégicos como instabilidades políticas ou macroeconômicas, devem ser uma responsabilidade central. Já em contra partida os riscos operacionais ou mais específicos podem ser melhor gerenciados pelos líderes das unidades de negócios ou departamentos específicos como: TI, RH, financeiro, entre outros.
Este alinhamento garante que decisões rápidas e eficazes possam ser tomadas em resposta a eventos de risco emergentes. Além disso, promove uma cultura de responsabilidade e transparência, o que é fundamentall para uma governança corporativa sólida.
Supervisão efetiva
O papel do conselho na supervisão da gestão de riscos é de vital importância, aonde o olhar na gestão de riscos deve ir além do simples recebimento de relatórios periódicos, aonde o conselho deve ativamente questionar e desafiar as abordagens de gestão de riscos da administração, a melhorar continuamente suas práticas. Para isso, é essencial que o conselho receba informações de risco que sejam não apenas atuais e precisas, mas também relevantes e significativas, permitindo que compreendam verdadeiramente o impacto dos riscos na estratégia corporativa.
Esta supervisão envolve entender profundamente como os riscos podem impactar a estratégia da empresa e estar envolvido na definição de apetite e tolerância ao risco, e assim ajudando a garantir que a gestão de riscos seja proativa e alinhada com os objetivos estratégicos da empresa, evitando surpresas desagradáveis e permitindo respostas rápidas quando necessário.
Deve também garantir que os sistemas de informação de risco sejam robustos, fornecendo dados precisos e em tempo hábil para permitir uma resposta rápida e informada a mudanças no ambiente de risco.
Gestão Proativa de Riscos
A agilidade é um componente essencial para qualquer gestão de riscos eficiente, por isto mesmo ao adotar uma gestão proativa de riscos, significa que a empresa não apenas responde aos riscos à medida que surgem, mas também se empenha em prever e mitigar riscos futuros.
Isso pode ser alcançado por meio de análises regulares do ambiente de negócios e de riscos, integrando avaliações de risco no planejamento estratégico e operacional. Assim a integração de atualizações regulares de risco no processo de planejamento estratégico ajuda as empresas a se prepararem melhor para o futuro.
Ferramentas como a análise de cenários prospectivos e avaliações de risco orientadas para o futuro, com testes de estresse podem ser utilizadas para antecipar o impacto de possíveis eventos de risco e para desenvolver planos de mitigação adequados, permitindo que a empresa identifique potenciais mudanças e riscos antes que eles se manifestem.
Assim a empresa pode se posicionar de maneira proativa, em vez de reativa, no ambiente de mercado.
Integração com a Estratégia Corporativa
Para que a gestão de riscos seja verdadeiramente eficaz, ela deve estar integrada com a estratégia corporativa, o que significa que as decisões estratégicas devem considerar o panorama de riscos. Assim ao integrar com o planejamento estratégico, vai facilitar em muito o alinhamento entre o apetite de risco e os objetivos de negócios, permitindo que a empresa aproveite as oportunidades de mercado de forma mais eficiente e com riscos calculados.
Os riscos do tipo 'cisne negro', aqueles que são extremamente raros mas de impacto significativo, como desastres naturais ou crises econômicas globais, requerem uma atenção especial na gestão de riscos estratégicos.
Retorno sobre o Gerenciamento de Riscos
Finalmente, é essencial que haja uma compreensão clara do retorno sobre o investimento em gestão de riscos. Enquanto o investimento em riscos pode inicialmente parecer um custo adicional, os benefícios de evitar crises, reduzir interrupções e capitalizar em oportunidades podem superar significativamente esses custos.
As empresas devem ser capazes de medir como a gestão eficaz de riscos contribui para a realização dos objetivos estratégicos, a redução de custos e a prevenção de perdas. Além disso, um bom programa de gestão de riscos pode trazer vantagens competitivas, permitindo à empresa agir com rapidez e confiança em face de oportunidades emergentes ou crises. Assim, a avaliação do ROI em gestão de riscos deve considerar não apenas os custos evitados, mas também os benefícios estratégicos e operacionais que uma gestão de riscos eficaz traz para a empresa.
As empresas devem avaliar o sucesso de seus programas de gestão de riscos não apenas em termos de crises evitadas, mas também no seu impacto na realização de objetivos estratégicos e na criação de valor a longo prazo.
Esses cinco pontos detalhados acima mostram a importância de entender e aplicar a resiliência ao risco dentro de uma empresa, ao integrar esses princípios com a estratégia corporativa e as operações do dia a dia, as empresas podem não apenas proteger-se contra riscos adversos, mas também posicionar-se para aproveitar as oportunidades que esses riscos podem apresentar.
A resiliência organizacional enquanto capacidade de uma empresa de antecipar, preparar-se, responder e adaptar-se a eventos inesperados para manter suas funções essenciais, depende do estági de maturidade da empresa.
A resiliência esta diretamente relacionada o nível de maturidade da gestão de riscos da empresa, e neste sentido para facilitar este entendimento, podemos separar a evolução das capacidades de gestão de riscos em quatro estágios principais de maturidade:
Estágio 1 - Iniciação
No primeiro estágio a gestão de riscos é centralizada e focada principalmente em riscos históricos conhecidos. Neste estágio, são implementados processos para identificar e registrar riscos dentro de tolerâncias aceitas, utilizando ferramentas de documentação de riscos para comunicar perfis de risco e apoiar a tomada de decisão pela alta gestão e pelo conselho. Contudo, esta abordagem pode não fornecer uma base sólida para decisões estratégicas, pois os relatórios são frequentemente desenvolvidos a partir de uma perspectiva de auditoria interna ou do departamento de gestão de riscos, sem uma propriedade efetiva dos riscos pelas unidades de negócios e grupos funcionais.
Aqui a resiliência está em sua forma mais básica, aonde a empresa começa a reconhecer e registrar riscos conhecidos, o que representa os primeiros passos para construir uma capacidade de resposta. Embora nesta fase a abordagem seja mais reativa do que proativa, ela estabelece a base para uma compreensão mais profunda dos riscos que podem afetar a empresa. Neste este estágio importante estabelecer os processos e a infraestrutura necessários para uma gestão de riscos mais robusta, que são pré-requisitos para desenvolver resiliência.
Estágio 2 - Desenvolvimento
À medida que a empresa avança para o segundo estágio, começa a focar tanto em riscos emergentes quanto em riscos passados, vinculando riscos identificados nas áreas operacionais aos riscos no nível estratégico da empresa. Metodologias consistentes são empregadas para avaliar riscos e determinar tolerâncias de risco. Embora as ferramentas de riscos sejam utilizadas para complementar o processo de planejamento estratégico e relatórios de risco mais robustos sejam desenvolvidos, as análises de risco ainda não são totalmente traduzidas em mudanças operacionais. A gestão de riscos neste estágio se torna mais eficaz, mas ainda é episódica, o que pode ser insuficiente em um ambiente de constante mudança e volatilidade de riscos.
Aqui a empresa começa a abordar tanto riscos passados quanto emergentes, com isto Aaresiliência é reforçada pela capacidade de conectar riscos operacionais a estratégias empresariais, permitindo que a gestão de riscos seja mais alinhada e integrada com as metas organizacionais. Este estágio promove uma maior conscientização sobre os riscos e começa a moldar uma cultura organizacional que não apenas reage aos riscos conhecidos, mas também começa a antecipar riscos potenciais. Isso amplia a capacidade da organização de responder mais efetivamente a eventos inesperados.
Estágio 3 - Integração
O terceiro estágio é marcado por uma mudança cultural em direção à propriedade do risco na linha de frente, quando a empresa se torna mais proativa, focando em riscos emergentes e potenciais cisnes negros, além dos riscos passados. O risco é integrado ao planejamento de negócios, e as avaliações de riscos estratégicos completadas no estágio anterior são traduzidas em planos operacionais. Durante este estágio, os riscos são discutidos em conexão com objetivos estratégicos específicos, o que frequentemente revela riscos anteriormente não considerados. As práticas de avaliação e gestão de riscos tornam-se rotineiras e são mais profundamente incorporadas na empresa.
O terceiro estágio é onde a resiliência é significativamente aprimorada através da integração profunda de riscos nas operações e planejamento estratégico da empresa, pois a empresa não apenas reage aos riscos, mas proativamente os antecipa e planeja respostas. As práticas de gestão de riscos tornam-se rotineiras e integradas nas atividades diárias, reforçando a capacidade da empresa de absorver e se adaptar a choques. Além disso, a avaliação de riscos começa a influenciar diretamente a formulação de estratégias e planos operacionais, permitindo uma adaptação mais rápida e eficaz a mudanças significativas no ambiente de negócios.
Estágio 4 - Maturidade
No quarto e último estágio, as unidades de negócios desenvolvem indicadores-chave e métricas de desempenho para gerenciar suas operações dentro das tolerâncias de risco definidas. A gestão de riscos se torna um elemento das atividades de gestão rotineiras. Uma cultura consciente de riscos é desenvolvida em toda a organização, com todos os funcionários responsáveis e responsabilizados pelos riscos relacionados aos seus papéis. O risco estratégico, agora totalmente incorporado, permite que o conselho e a gestão tomem decisões com maior confiança e clareza. Capacidades de modelagem de cenários e testes de estresse reverso são utilizados para entender o impacto potencial de eventos de risco severos e desenvolver planos de mitigação.
No estágio final a resiliência é uma característica definidora da cultura organizacional com todos na organização conscientes e engajados na identificação e gestão de riscos. Os sistemas de alerta precoce e as capacidades de modelagem de cenários estão bem desenvolvidos, permitindo não apenas a mitigação eficaz de riscos, mas também a exploração de oportunidades que podem surgir durante períodos de turbulência. A resiliência neste estágio permite que a empresa não apenas sobreviva, mas também prospere, transformando potenciais ameaças em vantagens competitivas.
Como podemos ver a resiliência é construída e fortalecida gradualmente à medida que a empresa avança de uma visão reativa para uma abordagem estratégica e proativa de gestão de riscos, culminando em uma capacidade sustentada de enfrentar e se adaptar a adversidades, garantindo a continuidade dos negócios e o crescimento estratégico a longo prazo.
