A IMPORTÂNCIA DA GESTÃO DOS RISCOS

ESTRATÉGICOS
Autores: Antônio Edson Maciel Dos Santos (coordenador); Antonio Manuel Fonseca
Ribeiro; Alberto Yamandu Messano Colucci; Paulo A Baraldi; Rainer Lutke; Tatiana Oliveira
Leite.

1. Introdução

Vivemos em um momento de constante transformação, na forma de gerir,

relacionar, estudar e fazer negócios. No âmbito das organizações, são cada vez
mais comuns as grandes e rápidas mudanças, o surgimento de novos concorrentes
e negócios com potencial disruptivo, o que exige um esforço adaptativo muito
grande na própria gestão das empresas. Isso as obriga a ter estratégias flexíveis e
ágeis e a considerar com maior ênfase os riscos envolvidos.
Os riscos considerados estratégicos assumem uma importância maior pelo
efeito que podem provocar na organização, merecendo especial atenção dos
gestores e dos conselheiros, que formulam e aprovam as estratégias.
As organizações mais bem-sucedidas identificam e classificam corretamente
os riscos, vislumbram como explorá-los de forma vantajosa e mitigam suas
consequências indesejadas.
Estudos independentes de empresas globais de capital aberto têm
demonstrado repetidamente que os riscos estratégicos representam
aproximadamente 60% das principais perdas de valor de mercado, seguidos pelos
riscos operacionais (30%) e riscos financeiros (10%)1. No entanto, na prática, muitos
programas de gestão de riscos corporativos minimizam ou ignoram completamente
os riscos estratégicos.

2. Relação entre riscos e estratégia

Alfred Chandler, professor de história econômica da Harvard Business

School, entendia estratégia como a determinação dos objetivos de longo prazo de
uma empresa, a adoção de linhas de ação e a alocação de recursos necessários
para a realização desses objetivos2.
A palavra risco provém do latim riscum, cuja definição envolve o conceito de
ousar – riscare. Assim, qualquer ação ou empreendimento conduz implícita ou
explícitamente a uma estratégia que está associada a algum nível de risco.

1J. Lam, Enterprise Risk Management: From Incentives to Controls, 2014, pp. 434-436.
2A.Chandler, Strategy and Structure: Chapters in the History of the American Industrial Enterprise,
1962.
* Este documento reflete a opinião do grupo de trabalho composto por membros da
Comissão de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do
instituto. 1
 Segundo o Coso (Committee of Sponsoring Organizations), risco é “a
possibilidade de que eventos ocorram e afetem o alcance da estratégia e dos
objetivos de negócios”3.
Para atingir seus objetivos de negócio, as organizações elaboram um plano
estratégico compatível com sua missão, visão e valores, definem os fatores críticos
de sucesso, considerando seu apetite ao risco, para melhor explorar as
oportunidades de mercado.
Os fatores críticos de sucesso são aqueles que determinam em grande
medida a probabilidade de uma empresa atingir ou não seus objetivos/metas por
meio da execução da sua estratégia.
Entende-se por risco estratégico os eventos futuros, cuja materialização afeta
significativamente a estratégia em sua totalidade ou parte importante dela, ou o
próprio modelo de negócios, podendo provocar perda duradoura ou relevante de
valor econômico para a empresa.
Nessa definição incluem-se os riscos originalmente operacionais que se
transformam em estratégicos, uma vez que passem a impactar a capacidade da
empresa de realizar sua estratégia; assim como mudanças de contexto que
aumentam o nível de risco aceitável estabelecido no apetite ao risco definido para a
estratégia em curso.
A gestão dos riscos estratégicos passa a ser elemento-chave para o sucesso
e a sobrevivência das organizações; é essencial que os riscos estratégicos sejam
identificados, avaliados e monitorados, e que a organização esteja preparada para
mitigá-los.
Os riscos estratégicos estão relacionados diretamente com a cadeia de valor
do negócio, ou seja, com eventos que podem impactar a competitividade da
empresa, estão associados ao processo de tomada de decisão da alta
administração e são inerentes à atividade empresarial e à busca de retorno
econômico.

3. Governança da gestão de risco estratégico, papéis e responsabilidades

O conselho de administração é o principal responsável, em conjunto com a

gestão, por determinar os objetivos estratégicos, os direcionamentos e o perfil de
riscos da organização adequados ao apetite a riscos, e relacionados a sua cultura e
identidade.
Entre os relevantes propósitos e responsabilidades do conselho de
administração, destaca-se sua função de supervisão da gestão. Para cumprir essa
função, é recomendável o apoio dos comitês de assessoramento ao conselho, entre
os quais o de Auditoria e Riscos.
O apetite ao risco associa-se ao nível de risco que a organização está
disposta a aceitar na busca da realização de seus objetivos. Ele deve ser

3 Coso, Enterprise Risk Management, 2017.

* Este documento reflete a opinião do grupo de trabalho composto por membros da
Comissão de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do
instituto. 2
estabelecido pelo conselho de administração – ou pelos sócios, caso a empresa não
possua conselho, considerando o melhor interesse da organização, e serve como
ponto de referência para o estabelecimento de estratégias e para a escolha dos
objetivos relacionados a essas estratégias. A partir desse apetite, configuram-se o
perfil de riscos da empresa, o modelo de governança e seus respectivos
instrumentos de gestão.
Os riscos estratégicos devem ser reportados periodicamente ao conselho de
administração, que tem, entre outras atribuições, a responsabilidade de avaliar e
direcionar as ações cabíveis, balanceando os níveis de riscos e retorno econômico
esperados pela organização.
A diretoria executiva deve apresentar, de forma periódica, uma reavaliação
dos riscos inerentes ao plano estratégico, por meio de um processo de
gerenciamento integrado de riscos, e demostrar a eventual variação da
probabilidade de ocorrência de riscos já considerados. Em todos os casos, a
diretoria deve apresentar o impacto (financeiro, operacional, reputacional, legal,
entre outros) e as medidas mitigatórias propostas.
O conselho deve avaliar essas informações, que podem, em situações-limite,
exigir mudanças significativas no plano aprovado.
No processo de aprovação do plano estratégico o conselho deverá se
certificar de que os riscos conhecidos estão presentes, avaliá-los em conjunto com a
diretoria e propor questionamentos sobre outros possíveis riscos não considerados
no plano. Tudo isso em conformidade com o apetite ao risco determinado como
diretriz estratégica pelo próprio conselho, e considerando uma tolerância aos riscos
para algumas iniciativas específicas.
.
4. Classificação dos riscos estratégicos

Existem diversas formas de classificar os riscos estratégicos; neste

documento aborda-se uma classificação em dois grandes grupos: riscos da
estratégia e riscos emergentes
Os riscos da estratégia são aqueles inerentes ao próprio plano estratégico
adotado, ou já preexistentes na organização, que devem ser discutidos na
elaboração da estratégia e monitorados durante a execução.
Os riscos emergentes são aqueles derivados de alterações no ambiente, que
emergem durante a fase de execução do plano, e portanto não previstos na
elaboração da estratégia.
Alguns desses riscos podem ser previsíveis a partir de indícios;
consequentemente, a organização deve estar alerta ao surgimento desses sinais;
outros podem ser imprevisiveis, surgindo de forma surpreendente, atingindo as
organizações e impactando diretamente a execução da estratégia.

4.1. Riscos da estratégia

* Este documento reflete a opinião do grupo de trabalho composto por membros da

Comissão de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do
instituto. 3
 São aqueles causados por decisões da administração e da governança; a
seguir destacamos alguns exemplos:

➲ inovação tecnológica;
➲ obsolescência tecnológica;
➲ gestão de talentos;
➲ capacidade intelectual, produtiva e/ou financeira;
➲ ambientais e/ou sociais;
➲ falta de liquidez;
➲ desgaste da imagem;
➲ disponibilidade de crédito;
➲ reações da concorrência.

Tais riscos devem ser mapeados já na fase de formulação do plano

estratégico, considerando diferentes cenários e possíveis reações do mercado ao
movimento estratégico da empresa.
Esses riscos podem ser geridos nas matrizes de riscos usuais, pois a
identificação e o monitoramento dependem totalmente da organização; mas devem
ser claramente mostrados em capítulo à parte como riscos estratégicos, visto que
afetam a realização das iniciativas estratégicas ou o modelo de negócios da
organização.
É possível adotar ações para reduzir sua probabilidade de ocorrência ou,
ainda, mitigar os impactos dos riscos sobre os objetivos, por meio de investimentos
em tecnologia (automação), capacitações, controles específicos, mudanças de
processos e na aplicação do modelo das três linhas de riscos e controles do IIA (The
Institute of Internal Auditors) integrado com a gestão de riscos e controles internos,
emitido pelo Coso.
É importante destacar que a essência da competição é a disposição para
assumir novos riscos, pois eles trazem o diferencial que permite manter a posição da
vantagem competitiva. Porém, se não gerenciados corretamente, podem gerar perda
substancial do valor econômico da organização. Isso implica muitas vezes a
necessidade de uma verdadeira mudança cultural sobre as formas de encarar os
riscos em geral.
O gerenciamento de riscos não cria a estratégia da organização, mas pode
protegê-la e influenciar de forma fundamental sua própria execução. Tendo
conhecimento dos riscos envolvidos e do impacto que estes poderão causar à
organização, e de eventuais desalinhamentos com as tolerâncias ao risco que foram
definidas, é possível que ações alternativas tenham de ser avaliadas e adotadas.

4.2. Riscos emergentes

* Este documento reflete a opinião do grupo de trabalho composto por membros da

Comissão de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do
instituto. 4
 Segundo o Coso, trata-se de riscos novos, emergentes e que sofreram
mudanças e ameaçam o alcance da estratégia e dos objetivos de negócio da
organização, que aqui são classificados em previsiveis e não previsíveis.

4.2.1. Riscos emergentes previsíveis

São aqueles provenientes do ambiente externo, mas sobre os quais a

organização, se bem preparada, pode ter algum grau de gestão e inclusive usá-los
em seu benefício. Estão abarcados, por exemplos a seguir:

➲ ações dos governos (mudanças políticas, macroeconômicas, regulatórias);

➲ disrupções tecnológicas;
➲ novas tendências demográficas/ sociais;
➲ comportamento do consumidor;
➲ aparição de novos concorrentes não mapeados no cenário estratégico;
➲ cibernéticos;
➲ surgimento de concorrentes provenientes de outros segmentos.

Às vezes esses riscos podem ser identificados na fase de construção de

cenários para a elaboração do plano estratégico, e serão incluídos no método de
gestão de riscos escolhido.
Mas, por sua natureza, eles normalmente não são sequer imagináveis na fase
de formulação do plano, pois pertencem a um futuro de disrupções, que podem
aparecer sob diversas formas. De fato, a experiência dos últimos anos demostra que
esses fenômenos disruptivos são cada vez mais frequentes e velozes. Portanto,
visto que são desconhecidos, não há como inserí-los nas matrizes tradicionais de
gestão de riscos. Mecanismos alternativos deverão ser implementados para seu
monitoramento e controle.
Apesar de aparentemente imprevisíveis, esses riscos não surgem
inesperadamente. A organização atenta poderá encontrar alguns indícios de sua
aparição concreta no mercado, muito antes de esses eventos se realizarem. O mais
importante é identificar os alertas antecipados do risco, e assim poder aproveitá-lo
como oportunidade, seja para adaptar a estratégia antes dos concorrentes, seja para
adquirir ou se associar ao agente do risco, no caso de empresas que trazem
disrupções tecnológicas ou forte agressividade ao mercado.
A primeira ação, ainda em fase de formulação do plano estratégico, é
identificar quais iniciativas do plano estão expostas a algum desses riscos. A partir
daí, deverá ser feito um monitoramento permanente de “indícios”, no qual a
organização toda deverá estar envolvida. Profissionais da área comercial e
marketing são excelentes “sensores” de indícios relacionados com mercados;
revistas técnicas e participação em feiras tecnológicas podem trazer excelentes
insights sobre ameaças incipientes; advogados podem contribuir com informações
sobre novos projetos de lei ou novos regulamentos.
* Este documento reflete a opinião do grupo de trabalho composto por membros da
Comissão de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do
instituto. 5
 Além da pro-atividade dos profissionais da organização na procura de indícios
de mudança, certamente necessária, e que implica em uma cultura de alerta
permanente ao acontecer dos mercados, existem hoje ferramentas tecnológicas que
permitem a uma organização atenta, a detecção antecipada de alterações, quase
em tempo real.
De fato, o uso de big-data, data-analytics e Inteligência Artificial, crescente
não só nas organizações da chamada nova economia, disponibiliza informações
sobre preferências dos consumidores, novos concorrentes, novas tendências e
possíveis disrupções. O uso desses recursos será chave para as decisões de
alterações táticas e estratégicas; as organizações deverão ter sistemas para
capturar esses dados e transformá-los em informações úteis para a Administração.
É muito importante a empresa compreender que o plano estratégico não é um
documento estático – necessita ser atualizado periodicamente, conforme as
mudanças dos cenários em que a empresa está inserida – e aceitar que alguns
indícios aparentemente vagos ou irrelevantes podem conter grandes ameaças.
Muitas empresas gigantescas quase desapareceram do mercado por negligenciar
indícios, provavelmente visíveis.
Além de coletar os indícios, é preciso que a organização tenha canais para
que essa informação transite e chegue até os entes decisórios (diretoria e conselho).
Filtros que obstruem esses canais, devido a receios pessoais, agendas ocultas dos
supervisores, superestimação da organização, devem ser desestimulados.
Organizações cujo porte não permite um canal de inteligência competitiva
adequado para essa função podem usar as funções existentes, como marketing,
risco e compliance.
Os alertas assim identificados (indícios de ameaças à estratégia) devem ser
inclusos em relatórios que cheguem aos níveis superiores (diretoria) e, nos casos
considerados críticos, aos conselheiros.
O que não se deve é negligenciá-los, pois esses tipos de riscos agridem
muitas vezes o próprio core business da empresa. O conselho deverá estar atento
quando indícios da sua materialização aparecerem durante a execução do plano
estratégico, e deverá exigir estar informado desses riscos, ainda que fora dos
mecanismos tradicionais de gestão de riscos.

4.2.2. Riscos emergentes não previsíveis

Pouco ou nada pode ser feito para evitar a materialização desses riscos,
cujos efeitos podem atingir não somente a continuidade dos negócios, como
também provocar tragédias humanas e sociais. Mas, ainda assim, medidas podem e
devem ser tomadas com o objetivo de preparar-se minimamente para tais
infortúnios. Listamos aqui alguns exemplos:

➲ desastres naturais;
➲ ameaças à sustentabilidade/ambiente derivadas de ações de terceiros;
* Este documento reflete a opinião do grupo de trabalho composto por membros da
Comissão de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do
instituto. 6
 ➲ pandemias.

Se o ambiente em que a empresa atua mostra alguma probabilidade de

ocorrência de tais riscos (regiões de atividade sísmica, ou de frequência na aparição
de tornados etc.), ela deve incluir no seu plano estratégico uma análise de impacto
dos custos versus benefícios para avaliar e implementar medidas de mitigação.
Pode-se mencionar como exemplo: implantar projetos de arquitetura/
construção específicas para enfrentar tais riscos, incorporar soluções de engenharia
industrial adequados a esse fim, prever a duplicação dos arquivos e sistemas de
dados em lugar diferente, manter grupos treinados para operar em possíveis
catástrofes etc. Também, em alguns casos, pode ser considerada a terceirização de
parte dos riscos mediante seguros específicos para cobrir em parte, ou totalmente,
os custos e os lucros cessantes derivados da interrupção forçada das operações.
É fundamental um correto acompanhamento dos indicadores retrospectivos e
prospectivos desses riscos.

5. Métodos de gestão do risco

Existem diversos modelos e métodos de gestão de riscos que podem ser

adotados pelas empresas para o devido tratamento de riscos estratégicos.
O Instituto Brasileiro de Governança Corporativa (IBGC) publicou guias de
orientação, artigos, realizou webinars que abordam o assunto e podem servir como
norte para empresas que desejam implantar a gestão de riscos. Dentre as diversas
publicações do IBGC destaca-se o Caderno 19 – Gerenciamento de Riscos
Corporativos: Evolução em Governança e Estratégia. O Código das Melhores
Práticas de Governança Corporativa indica, no tópico "Gerenciamento de riscos,
controles internos e conformidade (compliance)”, a necessidade de o conselho
assegurar que a diretoria possua "mecanismos e controles internos para conhecer,
avaliar e controlar os riscos, de forma a mantê-los em níveis compatíveis com os
limites fixados".
Em 2017, o Coso lançou seu mais recente framework, Gerenciamento de
Riscos Corporativos – Integrado com Estratégia e Performance, que traz um modelo
aplicável à gestão de riscos estratégicos da organização.
Além desses modelos, existem outros que podem ser aplicáveis às empresas
e que devem ser escolhidos de acordo com cada momento e situação específicos
das organizações.
A adoção de um método de gestão de riscos é de extrema importância e
servirá como forma de padronização tanto de linguagem quanto de sistematização
da discussão, identificação, avaliação e tratamento de riscos estratégicos, porém é
de extrema necessidade a mensagem e a divulgação dos indicadores aprovados
pelo conselho, trazendo assim às empresas uniformidade para a devida priorização
dos riscos mais significativos que poderão afetar sua estratégia e o alinhamento
cultural da empresa baseado em riscos empresariais
* Este documento reflete a opinião do grupo de trabalho composto por membros da
Comissão de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do
instituto. 7
6. Ameaças a serem consideradas nos futuros cenários estratégicos

A história tem mostrado que eventos de baixíssima probabilidade e alto

impacto, os chamados “Cisnes Negros”, acontecem com uma frequência bem maior
que a esperada, e os modelos atuais são incapazes de prevê-los ou mitigá-los
adequadamente.
A pandemia de Covid-19, ocorrida em 2020, demonstrou o impacto
devastador de crises no contexto da economia globalizada: redução da atividade
econômica, aumento do desemprego, dos riscos e incertezas no ambiente dos
negócios. No âmbito jurídico, contratos foram abruptamente suspensos ou
cancelados, afetando significativamente a cadeia logística, bem como a cadeia de
valor das empresas e seus clientes.
Acordos internacionais foram ignorados, interrompendo o fluxo de pessoas e
mercadorias, a inadimplência afetou todos os envolvidos e as transações sofreram
duro golpe. Não reagir aos fatos com uma análise crítica dos riscos a que as
empresas estavam expostas pode levar à destruição significativa de valor ou até
mesmo a seu fechamento.
Subitamente as empresas tiveram de buscar opções de manutenção de seu
plano estratégico ou promover mudanças que possibilitassem o alcance de seus
objetivos. Em vários casos o planejamento estratégico ou parte dele teve de ser
refeito em virtude de mudança substancial do ambiente de negócio. Quando não foi
possível alinhar o apetite a risco definido pela empresa, foi necessário reavaliá-lo ou
buscar outra opção estratégica.

7. Recomendações práticas para a gestão dos riscos estratégicos

Seguem algumas recomendações para os gestores e conselheiros no tratamento

dos riscos estratégicos:

➲ certificar-se de que os riscos derivados da estratégia estão incorporados no

plano estratégico;
➲ garantir que os riscos internos estão sendo avaliados e contêm possíveis
medidas de mitigação;
➲ conferir que riscos externos (os que foram previsíveis nessa fase) estão
apresentados e avaliados, assim como suas consequências e tratamento;
➲ verificar se o plano estratégico respeita a determinação de apetite ao risco
definido pelo conselho, assim como debater sobre tolerância a riscos
específicos das diferentes iniciativas do plano;
➲ solicitar ao CEO a definição clara de papéis e responsabilidades, bem como
método para suportar o processo de gestão de riscos, a fim de assegurar a
qualidade das informações e o reporte tempestivo aos órgãos de
governança.
* Este documento reflete a opinião do grupo de trabalho composto por membros da
Comissão de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do
instituto. 8
 ➲ desafiar a diretoria sobre a abrangência dos riscos identificados e sua
avaliação;
➲ encorajar o CEO, e colaborar no que for possível, no processo de
aculturamento em gestão de riscos, para que seja disseminada na
organização a prática do pensar estratégico e do estado de alerta, para que
cada profissional possa ser um “sensor” de indícios de ameaças/
oportunidades;
➲ solicitar à diretoria executiva a constituição de um canal de alerta
antecipado, que prepare relatórios periódicos para a alta administração
sobre indícios de movimentos de impacto nos mercados (novas tecnologias,
novas regulamentações, novos hábitos de compra etc.);
➲ avaliar periodicamente e com especial atenção o acompanhamento da
organização sobre os riscos estratégicos, exigindo cronogramas para as
medidas de mitigação;
➲ colaborar com a organização, detectando nas reuniões de associações de
classe e diálogos com parceiros de negócios possíveis indícios de
mudanças que impactem a estratégia.

Riscos e estratégia, conforme demonstrado neste documento, estão

diretamente ligados. Assim, como é papel do conselheiro tratar da estratégia das
empresas, também é seu papel desafiar a administração para que riscos
estratégicos estejam sempre em seu radar, trazendo à empresa a possibilidade de
identificar riscos e, se necessário, adequar ações para o sucesso de suas
estratégias. Quando a organização possui comitês de assessoramento (Auditoria,
Riscos, Pessoas, Inovação entre outros), o conselho deve utilizá-los para ajudar no
processo de gestão de riscos da organização.

Referências:

BERNSTEIN, PETER. Desafio aos Deuses: A Fascinante História do Risco. 3. ed., Rio
de Janeiro, Campus, 1996.
CHANDLER, ALFRED. Strategy and Structure: Chapters in the History of the American
Industrial Enterprise. Cambridge (MA), MIT Press, 1962.
COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF TREADWAY COMMISSION). Ge-
renciamento de Riscos Corporativos – Integrado com Estratégia e Performance. Ju-
nho 2017.
GILAD B. Early Warning: Using Competitive Intelligence to Anticipate Market Shifts,
Control Risk, and Create Powerful Strategies. Nova York, American Management
Association, 2003.
IBGC (INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA). Código das Melhores
Práticas de Governança Corporativa. 5. ed., São Paulo, IBGC, 2015.

* Este documento reflete a opinião do grupo de trabalho composto por membros da

Comissão de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do
instituto. 9
_____. Gerenciamento de Riscos Corporativos: Evolução em Governança e
Estratégia. São Paulo, IBGC, 2017 (série Caderno de Governança Corporativa, n.
19).
_____. O Papel do Conselho de Administração na Estratégia das Organizações. São
Paulo, IBGC, 2017 (série IBGC Orienta).
KAPLAN, ROBERT S. & Mikes, Anette. “Gestão de Riscos: Um Novo Modelo”. Harvard
Business Review, jun. 2012.
LAM, JAMES. Enterprise Risk Management: From Incentives to Controls. 2. ed., Hobo-
ken, Wiley, 2014.
Porter, Michael E. “Know Your Place: How to Assess the Attractiveness of Your In-
dustry and Your Company’s Position In It”. Inc., vol. 13, n. 9, set. 1991.
_____. “O Que é Estratégia”. Harvard Business Review, nov.-dez. 1996.

Esse documento contou com a revisão de: Alex Lelis Buzato Borges e
Luciana Bacci Costa

* Este documento reflete a opinião do grupo de trabalho composto por membros da

Comissão de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do
instituto. 10