O propósito de qualquer organização é criar valor para suas partes interessadas. A expectativa de valor a ser criado no futuro é afetada por incertezas de várias origens, tornando inviável falar em projeção de valor sem também mencionar a faixa de variação esperada dessa projeção. Risco é esse range: o efeito da incerteza nos objetivos (de criação de valor) de uma organização, conforme a definição da ISO 31.000 e do COSO, os padrões de Gestão de Risco mais empregados no Brasil e no mundo.

Valor e Risco são irmãos siameses, tal e qual média e desvio-padrão. A consequência disso é óbvia: toda e qualquer decisão tomada pela organização deveria provocar uma reavaliação do valor a ser criado e do risco a ele atrelado. Se levarmos as premissas do Modelo de Excelência da Gestão (MEG®) da FNQ em consideração, as alterações de valor e risco deveriam ser comunicadas às partes interessadas.

Gestão de Risco é o processo empregado para assegurar que tudo isso aconteça de forma estruturada, e há muitos anos as organizações contam com as diretrizes da ISO 31.000 e do COSO Framework para implantar esse processo. Aliás, praticamente todas as grandes empresas de capital aberto no mundo informam em seus relatórios públicos que têm Gestão de Risco aderente a um desses padrões ou a um de seus diversos derivados setoriais.

Até aqui, está fácil, certo? O problema é que, crise após crise, incidente grave após incidente grave, a confiança das partes interessadas no processo de Gestão de Risco esvaneceu-se. Na minha modesta opinião, essa descrença pode acabar afetando o MEG®.

Pelo menos 30% do conteúdo do MEG® são pura Gestão de Risco. É só analisar os Critérios de Excelência:

Quando atribuímos uma pontuação alta a uma organização, sob a ótica do MEG®, estamos reconhecendo sua Gestão de Risco como madura e eficaz, fato esse que deve provocar uma reflexão para os profissionais que, como eu, labutam diariamente com o MEG®.

O principal obstáculo à eficácia da Gestão de Risco convencional é que tendemos a tratá-la como uma entidade patrulheira ou fiscalizadora, assim como acontecia com a Qualidade antes dos anos 80. Essa constatação é que motivou vários autores (vide comentários sobre bibliografia, ao final do artigo) a empregar o termo Inteligência de Risco, em contraponto ao já trivializado Gestão de Risco, significando a incorporação da análise de risco em todas as decisões e em todas as projeções de valor da organização.

É fácil de falar e difícil de fazer: o desenvolvimento de uma RIO (Risk-Intelligent Organization) não é trivial, pois o termo “todas” usado acima tem o mesmo escopo empregado no MEG®,  ou seja, a Inteligência de Risco abrange todas as partes interessadas, atividades, produtos e processos na cadeia de valor estendida.

A Gestão de Risco em uma RIO possui características marcantes:

•    É orientada para o futuro: o sistema é sensível a mudanças de cenário e não confia somente em indicadores históricos, evitando a síndrome do “isso nunca aconteceu”.
•    Risco é aceito como uma coisa necessária e inevitável para que a criação de valor diferenciado seja possível. A organização é antifrágil, pois ela aprende e melhora com os próprios erros, os quais são cometidos suficientemente cedo. Também aprende, e muito, com os erros dos outros.
•    A análise de risco é realista. Não há receio ou vergonha de se assumir que há incerteza em uma decisão, e a incerteza é quantificada explicitamente na forma de risco. Risco escondido é considerado o pior tipo de risco na cultura da RIO.
•    A análise de risco está integrada e incorporada aos processos decisórios e de Change Management.
•    A Gestão de Risco é ágil e adaptativa (nimble). Os especialistas em risco não são vistos como “dr. No”, mas sim como pessoas que ajudam a tomar decisões e a projetar valor.
•    É holística: abrange todos os tipos de valor e de risco, mantendo uma linguagem comum. A Gestão de Risco não acontece somente trimestralmente em escritórios que discutem finanças corporativas; acontece continuamente, em todas as áreas da organização.
•    Promove accountability: parte da premissa de que a responsabilidade por risco é de cada gestor e de que haverá consequências, positivas ou negativas, no seu reconhecimento.

É possível e desejável que o Quociente de Inteligência de Risco (o grau em que uma determinada organização é uma RIO) seja medido, seja por um especialista ou por meio de autoavaliação. As agências de risco já inseriram em seu modus operandi esse tipo de avaliação, com o fim de enriquecer suas análises de risco, mas ainda não há um método universal aceito para medir o QIR de uma organização.

A boa notícia é que o QIR pode ser aumentado em cada etapa do processo clássico de Gestão de Risco, por meio do aprimoramento cultural e conceitual e pela inserção de ferramentas, tais como as exemplificadas na tabela a seguir.
 

Afirmei, no início deste artigo, que a confiança na Gestão de Risco havia deteriorado. Isso não significa que as partes interessadas a achem menos relevante – muito pelo contrário, creio que a tendência é aumentar o escrutínio sobre os tipos e a magnitude dos riscos aos quais o valor de uma organização está exposto.

Uma potencial consequência disso é que as organizações poderão ficar medrosas e supercautelosas (risk averse) além da conta, o que não seria bom, uma vez que ninguém cresce e prospera sem correr risco ou errar saudavelmente. É aí que a Inteligência de Risco revelará todo seu potencial: mostrar que a organização conhece muito bem seus riscos e que seu sistema de gestão lida com eles naturalmente.
 
Finalmente, uma RIO desenvolve duas competências sagradas das organizações que buscam a Excelência: a capacidade de integrar e a capacidade de aprender. As partes interessadas agradecerão e ficarão mais – bem, digamos... – interessadas na organização.

Bibliografia

Este artigo, embora contenha vários conceitos e acrônimos que eu desenvolvi, é fortemente influenciado, como não poderia deixar de sê-lo, pela literatura internacional sobre Risco. Em especial, menciono as seguintes influências relevantes e aproveito para recomendar a leitura:

Financial Darwinism – Create Value Or Self-Destruct in a World of Risk (Leo M. Tilman, 2009, publicado nos EUA pela John Wiley): influenciou a forma de definir Inteligência de Risco, em especial em como ela ajuda a buscar maior valor futuro para a organização. Esse livro explica claramente a crise financeira em que o mundo desenvolvido continua encalacrado, bem como detalha sistemáticas para avaliar o valor ajustado a risco de uma organização.
Antifragile - Things that Gain from Disorder (Nassim N. Taleb, 2012, publicado nos EUA pela Random House): criou o conceito de “sistema antifrágil”, que ajuda a explicar os erros passados que levaram a várias crises sistêmicas. Explora como o medo de errar nos torna mais frágeis.
Surviving and Thriving in Uncertainty – Creating the Risk Intelligent Enterprise (Frederick Funston e Stephen Wagner, 2010, publicado nos EUA pela John Wiley): define as principais falhas da Gestão de Risco convencional e detalha várias ferramentas para aumentar o QIR da organização. O termo “dr. No” foi emprestado desse livro.
Risk Intelligence – How to Live with Uncertainty (Dylan Evans, 2012, publicado nos EUA pela Free Press): detalha como medir e incrementar o QIR de um indivíduo com base em testes e treinamento.